Vue d'ensemble de la gestion des autorisations d'accès aux ressources de votre IAM Identity Center - AWS IAM Identity Center
IAMRessources et opérations de l'Identity CenterPrésentation de la propriété des ressourcesGestion de l’accès aux ressourcesSpécification des éléments de politique : actions, effets, ressources et principesSpécification de conditions dans une politique

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vue d'ensemble de la gestion des autorisations d'accès aux ressources de votre IAM Identity Center

Chaque AWS ressource appartient à un Compte AWS, et les autorisations de création ou d'accès aux ressources sont régies par des politiques d'autorisation. Pour fournir un accès, un administrateur de compte peut ajouter des autorisations aux IAM identités (c'est-à-dire aux utilisateurs, aux groupes et aux rôles). Certains services (tels que AWS Lambda) prennent également en charge l'ajout d'autorisations aux ressources.

Note

Un administrateur de compte (ou utilisateur administrateur) est un utilisateur doté des privilèges d’administrateur. Pour plus d'informations, consultez les IAMmeilleures pratiques dans le guide de IAM l'utilisateur.

IAMRessources et opérations de l'Identity Center

Dans IAM Identity Center, les ressources principales sont les instances d'applications, les profils et les ensembles d'autorisations.

Présentation de la propriété des ressources

Le propriétaire d'une ressource est celui Compte AWS qui a créé une ressource. En d'autres termes, le propriétaire Compte AWS de la ressource est l'entité principale (le compte, un utilisateur ou un IAM rôle) qui authentifie la demande qui crée la ressource. Les exemples suivants illustrent comment cela fonctionne :

  • Si le Utilisateur racine d'un compte AWS crée une ressource IAM Identity Center, telle qu'une instance d'application ou un ensemble d'autorisations, vous Compte AWS êtes le propriétaire de cette ressource.

  • Si vous créez un utilisateur dans votre AWS compte et que vous lui accordez l'autorisation de créer des ressources IAM Identity Center, l'utilisateur peut alors créer des ressources IAM Identity Center. Cependant, votre AWS compte, auquel appartient l'utilisateur, est propriétaire des ressources.

  • Si vous créez un IAM rôle dans votre AWS compte avec les autorisations nécessaires pour créer des ressources IAM Identity Center, toute personne pouvant assumer ce rôle peut créer des ressources IAM Identity Center. C'est à vous Compte AWS, à qui appartient le rôle, que vous êtes propriétaire des ressources de l'IAMIdentity Center.

Gestion de l’accès aux ressources

Une politique d'autorisation décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.

Note

Cette section traite de l'utilisation IAM dans le contexte d'IAMIdentity Center. Il ne fournit pas d'informations détaillées sur le IAM service. Pour une IAM documentation complète, voir Qu'est-ce que c'est IAM ? dans le guide de IAM l'utilisateur. Pour plus d'informations sur la syntaxe et les descriptions des IAM politiques, consultez la référence aux AWS IAM politiques dans le Guide de IAM l'utilisateur.

Les politiques associées à une IAM identité sont appelées politiques basées sur l'identité (IAMpolitiques). Les politiques qui sont attachées à une ressource sont appelées politiques basées sur la ressource. IAMIdentity Center prend uniquement en charge les politiques basées sur l'identité (IAMpolitiques).

Politiques basées sur l'identité (politiques) IAM

Vous pouvez ajouter des autorisations aux IAM identités. Par exemple, vous pouvez effectuer les opérations suivantes :

  • Associez une politique d'autorisations à un utilisateur ou à un groupe de votre compte Compte AWS : un administrateur de compte peut utiliser une politique d'autorisations associée à un utilisateur particulier pour autoriser cet utilisateur à ajouter une ressource IAM Identity Center, telle qu'une nouvelle application.

  • Associer une politique d'autorisations à un rôle (accorder des autorisations entre comptes) : vous pouvez associer une politique d'autorisations basée sur l'identité à un IAM rôle pour accorder des autorisations entre comptes.

    Pour plus d'informations sur l'utilisation IAM pour déléguer des autorisations, consultez la section Gestion des accès dans le Guide de IAM l'utilisateur.

La politique d'autorisation suivante accorde des autorisations à un utilisateur lui permettant d'exécuter toutes les actions commençant par List. Ces actions affichent des informations sur une ressource IAM Identity Center, telle qu'une instance d'application ou un ensemble d'autorisations. Notez que le caractère générique (*) dans l'Resourceélément indique que les actions sont autorisées pour toutes les ressources IAM Identity Center détenues par le compte. 

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"sso:List*",
         "Resource":"*"
      }
   ]
}

Pour plus d'informations sur l'utilisation de politiques basées sur l'IAMidentité avec Identity Center, consultez. Exemples de politiques basées sur l'identité pour IAM Identity Center Pour plus d'informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez la section Identités (utilisateurs, groupes et rôles) dans le guide de IAM l'utilisateur.

Politiques basées sur les ressources

D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. IAMIdentity Center ne prend pas en charge les politiques basées sur les ressources.

Spécification des éléments de politique : actions, effets, ressources et principes

Pour chaque ressource IAM Identity Center (voirIAMRessources et opérations de l'Identity Center), le service définit un ensemble d'APIopérations. Pour accorder des autorisations pour ces API opérations, IAM Identity Center définit un ensemble d'actions que vous pouvez spécifier dans une politique. Notez que l'exécution d'une API opération peut nécessiter des autorisations pour plusieurs actions.

Voici les éléments de base d’une politique :

  • Ressource : dans une politique, vous utilisez un nom de ressource Amazon (ARN) pour identifier la ressource à laquelle la politique s'applique.

  • Action : vous utilisez des mots clés d’action pour identifier les opérations de ressource que vous voulez accorder ou refuser. Par exemple, l'sso:DescribePermissionsPoliciesautorisation autorise l'utilisateur à effectuer l'DescribePermissionsPoliciesopération IAM Identity Center.

  • Effet – Vous spécifiez l’effet produit lorsque l’utilisateur demande l’action spécifique, qui peut être une autorisation ou un refus. Si vous n’accordez pas explicitement l’accès pour (autoriser) une ressource, l’accès est implicitement refusé. Vous pouvez aussi explicitement refuser l’accès à une ressource, ce que vous pouvez faire afin de vous assurer qu’un utilisateur n’y a pas accès, même si une politique différente accorde l’accès.

  • Principal — Dans les politiques basées sur l'identité (IAMpolitiques), l'utilisateur auquel la politique est attachée est le principal implicite. Pour les politiques basées sur une ressource, vous spécifiez l’utilisateur, le compte, le service ou une autre entité qui doit recevoir les autorisations (s’applique uniquement aux politiques basées sur une ressource). IAMIdentity Center ne prend pas en charge les politiques basées sur les ressources.

Pour en savoir plus sur la syntaxe et les descriptions des IAM politiques, consultez la référence aux AWS IAM politiques dans le Guide de IAM l'utilisateur.

Spécification de conditions dans une politique

Lorsque vous accordez des autorisations, vous pouvez utiliser le langage d'access policy pour spécifier les conditions qui doivent être remplies pour qu'une stratégie prenne effet. Par exemple, il est possible d’appliquer une politique après seulement une date spécifique. Pour plus d'informations sur la spécification de conditions dans un langage de politique, voir Condition dans le guide de IAM l'utilisateur.

Pour exprimer des conditions, vous utilisez des clés de condition prédéfinies. Il n'existe aucune clé de condition spécifique à IAM Identity Center. Cependant, il existe des clés de AWS condition que vous pouvez utiliser selon les besoins. Pour obtenir la liste complète des AWS clés, voir Clés de condition globales disponibles dans le guide de IAM l'utilisateur.