Exemples de politiques basées sur l'identité pour AWS Service Catalog - AWS Service Catalog
Accès à la console pour les utilisateurs finauxAccès aux produits pour les utilisateurs finauxExemples de stratégies

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Exemples de politiques basées sur l'identité pour AWS Service Catalog

Accès à la console pour les utilisateurs finaux

Les stratégies AWSServiceCatalogEndUserFullAccess et AWSServiceCatalogEndUserReadOnlyAccess accordent l'accès à la vue de la console Utilisateur final d’ AWS Service Catalog . Lorsqu'un utilisateur disposant de l'une de ces politiques choisit AWS Service Catalog l'une de ces politiques AWS Management Console, la vue de la console de l'utilisateur final affiche les produits qu'il est autorisé à lancer.

Avant que les utilisateurs finaux puissent lancer avec succès un produit AWS Service Catalog auquel vous donnez accès, vous devez leur fournir des autorisations IAM supplémentaires pour leur permettre d'utiliser chacune des AWS ressources sous-jacentes du AWS CloudFormation modèle d'un produit. Par exemple, si un modèle de produit inclut Amazon Relational Database Service (Amazon RDS), vous devez accorder aux utilisateurs les autorisations Amazon RDS pour lancer le produit.

Pour savoir comment permettre aux utilisateurs finaux de lancer des produits tout en appliquant les autorisations de moindre accès aux AWS ressources, voir. Utilisation des AWS Service Catalog contraintes

Si vous appliquez la stratégie AWSServiceCatalogEndUserReadOnlyAccess, vos utilisateurs ont accès à la console Utilisateur final, mais ils n'auront pas les autorisations dont ils ont besoin pour lancer des produits et gérer des produits provisionnés. Vous pouvez accorder ces autorisations directement à un utilisateur final à l'aide d'IAM, mais si vous souhaitez limiter l'accès des utilisateurs finaux aux AWS ressources, vous devez associer la politique à un rôle de lancement. Vous pouvez ensuite AWS Service Catalog appliquer le rôle de lancement à une contrainte de lancement pour le produit. Pour plus d'informations sur l'application d'un rôle de lancement et les limitations d'un rôle de lancement, et trouver un exemple de rôle de lancement, consultez AWS Service Catalog Contraintes de lancement.

Note

Si vous accordez aux utilisateurs des autorisations IAM pour les AWS Service Catalog administrateurs, la vue de la console de l'administrateur s'affiche à la place. N'accordez pas ces autorisations à des utilisateurs finaux, sauf si vous voulez qu'ils aient accès à la vue de la console Administrateur.

Accès aux produits pour les utilisateurs finaux

Avant que les utilisateurs finaux puissent utiliser un produit auquel vous donnez accès, vous devez leur fournir des autorisations IAM supplémentaires pour leur permettre d'utiliser chacune des AWS ressources sous-jacentes du AWS CloudFormation modèle d'un produit. Par exemple, si un modèle de produit inclut Amazon Relational Database Service (Amazon RDS), vous devez accorder aux utilisateurs les autorisations Amazon RDS pour lancer le produit.

Si vous appliquez la stratégie AWSServiceCatalogEndUserReadOnlyAccess, vos utilisateurs ont accès à la vue de la console Utilisateur final, mais ils n'auront pas les autorisations dont ils ont besoin pour lancer des produits et gérer des produits provisionnés. Vous pouvez accorder ces autorisations directement à un utilisateur final dans IAM, mais si vous souhaitez limiter l'accès des utilisateurs finaux aux AWS ressources, vous devez associer la politique à un rôle de lancement. Vous pouvez ensuite AWS Service Catalog appliquer le rôle de lancement à une contrainte de lancement pour le produit. Pour plus d'informations sur l'application d'un rôle de lancement et les limitations d'un rôle de lancement, et trouver un exemple de rôle de lancement, consultez AWS Service Catalog Contraintes de lancement.

Exemples de politiques pour la gestion des produits approvisionnés

Vous pouvez créer des stratégies personnalisées pour mieux répondre aux exigences de sécurité de votre organisation. Les exemples suivants expliquent comment personnaliser le niveau d'accès pour chaque action avec la prise en charge des niveaux utilisateur, rôle et compte. Vous pouvez accorder aux utilisateurs l'accès pour afficher, mettre à jour, résilier et gérer des produits provisionnés créés uniquement par ces utilisateurs, ou créés par d'autres personnes également sous leur rôle ou le compte auquel ils sont connectés. Cet accès est hiérarchique : l'octroi d'un accès au niveau du compte accorde également un accès au niveau du rôle et un accès au niveau de l'utilisateur, tandis que l'ajout d'un accès au niveau du rôle accorde également un accès au niveau utilisateur mais pas au niveau du compte. Vous pouvez spécifier ces accès dans la stratégie JSON à l'aide d'un bloc Condition comme accountLevel, roleLevel ou userLevel.

Ces exemples s'appliquent également aux niveaux d'accès pour les opérations d'écriture d' AWS Service Catalog API : UpdateProvisionedProduct etTerminateProvisionedProduct, et pour les opérations de lecture : DescribeRecordScanProvisionedProducts, etListRecordHistory. Les opérations d'API ScanProvisionedProducts et ListRecordHistory utilisent une entrée appelée AccessLevelFilterKey, et les valeurs de cette clé correspondent aux niveaux du bloc Condition présentés ici (accountLevel équivaut à la valeur « Account » pour AccessLevelFilterKey, roleLevel à « Role », et userLevel à « User »). Pour plus d'informations, consultez le Guide du développeur du Service Catalog.

Accès administrateur complet aux produits approvisionnés

La stratégie suivante donne un accès complet en lecture et écriture aux produits provisionnés et enregistrements au sein du catalogue au niveau compte. 

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*",
         "Condition": {
            "StringEquals": {
               "servicecatalog:accountLevel": "self"
            }
         }
      }
   ]
}

Cette stratégie est fonctionnellement équivalente à la stratégie suivante :

{  
   "Version":"2012-10-17",
   "Statement":[  
      {  
         "Effect":"Allow",
         "Action":[  
            "servicecatalog:*"
         ],
         "Resource":"*"
      }
   ]
}

Le fait de ne pas spécifier de Condition bloc dans une politique pour AWS Service Catalog revient "servicecatalog:accountLevel" à spécifier un accès. Notez que l'accès accountLevel inclut les accès roleLevel et userLevel.

Accès des utilisateurs finaux aux produits fournis

La stratégie suivante restreint l'accès aux opérations de lecture et d'écriture aux seuls produits provisionnés ou enregistrements associés, créés par l'utilisateur actuel.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:ScanProvisionedProducts",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }

Accès administrateur partiel aux produits approvisionnés

Les deux stratégies ci-dessous, si elles sont toutes deux appliquées au même utilisateur, autorisent un type d'accès que l'on pourrait qualifier d'« accès administrateur partiel » en fournissant un accès en lecture seule complet et un accès en écriture limité. Cela signifie que l'utilisateur peut afficher n'importe quel produit provisionné ou enregistrement associé au sein du compte du catalogue, mais qu'il ne peut exécuter aucune action sur aucun produit provisionné ou enregistrement n'appartenant pas à cet utilisateur.

La première stratégie donne à l'utilisateur l'accès aux opérations d'écriture sur les produits provisionnés créés par l'utilisateur actuel, mais pas aux produits provisionnés créés par d'autres personnes. La deuxième stratégie ajoute un accès complet aux opérations de lecture sur les produits provisionnés créés par tous (utilisateur, rôle ou compte). 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeProduct",
                "servicecatalog:DescribeProductView",
                "servicecatalog:DescribeProvisioningParameters",
                "servicecatalog:ListLaunchPaths",
                "servicecatalog:ProvisionProduct",
                "servicecatalog:SearchProducts",
                "servicecatalog:TerminateProvisionedProduct",
                "servicecatalog:UpdateProvisionedProduct"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:userLevel": "self"
                }
            }
        }
    ]
 }
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "servicecatalog:DescribeRecord",
                "servicecatalog:ListRecordHistory",
                "servicecatalog:ScanProvisionedProducts"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "servicecatalog:accountLevel": "self"
                }
            }
        }
    ]
 }