Autorisations personnalisées pour les politiques AWS gérées et gérées par le client - AWS IAM Identity Center
Politiques en ligneAWS politiques géréesPolitiques gérées par le clientLimites d'autorisations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Autorisations personnalisées pour les politiques AWS gérées et gérées par le client

Vous pouvez créer un ensemble d'autorisations avec des autorisations personnalisées, en combinant toutes les politiques AWS gérées et gérées par le client que vous avez dans AWS Identity and Access Management (IAM) avec des politiques intégrées. Vous pouvez également inclure une limite d'autorisations, en définissant le maximum d'autorisations que les autres politiques peuvent accorder aux utilisateurs de votre ensemble d'autorisations.

Pour obtenir des instructions sur la création d'un ensemble d'autorisations, consultezCréation, gestion et suppression d'ensembles d'autorisations.

Types de politiques que vous pouvez associer à votre ensemble d'autorisations

Politiques en ligne

Vous pouvez associer une politique intégrée à un ensemble d'autorisations. Une politique intégrée est un bloc de texte mis en forme comme une IAM politique que vous ajoutez directement à votre ensemble d'autorisations. Vous pouvez coller une politique ou en générer une nouvelle à l'aide de l'outil de création de politiques de la console IAM Identity Center lorsque vous créez un nouvel ensemble d'autorisations. Vous pouvez également créer des IAM politiques à l'aide du générateur AWS de politiques.

Lorsque vous déployez un ensemble d'autorisations avec une politique intégrée, IAM Identity Center crée une IAM politique dans l' Comptes AWS endroit où vous attribuez votre ensemble d'autorisations. IAMIdentity Center crée la politique lorsque vous attribuez l'ensemble d'autorisations au compte. La politique est ensuite attachée au IAM rôle Compte AWS que votre utilisateur assume dans votre entreprise.

Lorsque vous créez une politique intégrée et que vous attribuez votre ensemble d'autorisations, IAM Identity Center configure les politiques qui s'y trouvent Comptes AWS pour vous. Lorsque vous créez votre ensemble d'autorisations avecPolitiques gérées par le client, vous devez créer Comptes AWS vous-même les politiques avant d'attribuer l'ensemble d'autorisations.

AWS politiques gérées

Vous pouvez associer des politiques AWS gérées à votre ensemble d'autorisations. AWS les politiques gérées sont IAM des politiques qui AWS maintiennent. En revanche, Politiques gérées par le client les IAM politiques de votre compte sont celles que vous créez et gérez. AWS les politiques gérées répondent aux cas courants d'utilisation du moindre privilège dans votre Compte AWS Vous pouvez attribuer une politique AWS gérée en tant qu'autorisations pour le rôle créé par IAM Identity Center ou en tant que limite d'autorisations.

AWS maintient des politiques AWS gérées pour les fonctions professionnelles qui attribuent des autorisations d'accès spécifiques à la tâche à vos AWS ressources. Vous pouvez ajouter une politique de fonction professionnelle lorsque vous choisissez d'utiliser des autorisations prédéfinies avec votre ensemble d'autorisations. Lorsque vous choisissez Autorisations personnalisées, vous pouvez ajouter plusieurs règles relatives aux fonctions professionnelles.

Vous contient Compte AWS également un grand nombre de IAM politiques AWS gérées pour des politiques spécifiques Services AWS et des combinaisons de Services AWS. Lorsque vous créez un ensemble d'autorisations avec des autorisations personnalisées, vous pouvez choisir parmi de nombreuses politiques AWS gérées supplémentaires à attribuer à votre ensemble d'autorisations.

AWS remplit chacun d'entre eux Compte AWS avec des politiques AWS gérées. Pour déployer un ensemble d'autorisations avec des politiques AWS gérées, il n'est pas nécessaire de créer au préalable une politique dans votre Comptes AWS. Lorsque vous créez votre ensemble d'autorisations avecPolitiques gérées par le client, vous devez créer Comptes AWS vous-même les politiques avant d'attribuer l'ensemble d'autorisations.

Pour plus d'informations sur les politiques AWS gérées, voir les politiques AWS gérées dans le Guide de IAM l'utilisateur.

Politiques gérées par le client

Vous pouvez associer des politiques gérées par le client à votre ensemble d'autorisations. Les politiques gérées par le client sont des IAM politiques de votre compte que vous créez et gérez. En revanche, AWS politiques gérées les IAM politiques de votre compte sont-elles AWS maintenues. Vous pouvez attribuer une politique gérée par le client en tant qu'autorisations pour le rôle créé par IAM Identity Center ou en tant que limite d'autorisations.

Lorsque vous créez un ensemble d'autorisations avec une politique gérée par le client, vous devez créer une IAM politique portant le même nom et le même chemin pour chaque élément Compte AWS auquel IAM Identity Center attribue votre ensemble d'autorisations. Si vous spécifiez un chemin personnalisé, assurez-vous de spécifier le même chemin dans chacun d'eux Compte AWS. Pour plus d'informations, consultez la section Noms et chemins conviviaux dans le Guide de IAM l'utilisateur. IAMIdentity Center associe la IAM politique au IAM rôle qu'il crée dans votre Compte AWS. Il est recommandé d'appliquer les mêmes autorisations à la politique dans chaque compte auquel vous attribuez l'ensemble d'autorisations. Pour de plus amples informations, veuillez consulter Utiliser des IAM politiques dans les ensembles d'autorisations.

Pour plus d'informations, consultez la section Politiques gérées par le client dans le guide de IAM l'utilisateur.

Limites d'autorisations

Vous pouvez associer une limite d'autorisations à votre ensemble d'autorisations. Une limite d'autorisations est une IAM politique AWS gérée ou gérée par le client qui définit le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un IAM mandant. Lorsque vous appliquez une limite d'autorisations Politiques en lignePolitiques gérées par le client, vous ne AWS politiques gérées pouvez pas accorder d'autorisations dépassant les autorisations accordées par votre limite d'autorisations. Une limite d'autorisations n'accorde aucune autorisation, mais fait en sorte qu'elle IAM ignore toutes les autorisations au-delà de cette limite.

Lorsque vous créez un ensemble d'autorisations avec une politique gérée par le client comme limite d'autorisations, vous devez créer une IAM politique portant le même nom dans chaque Compte AWS cas où IAM Identity Center attribue votre ensemble d'autorisations. IAMIdentity Center associe la IAM politique en tant que limite d'autorisation au IAM rôle qu'il crée dans votre Compte AWS .

Pour plus d'informations, consultez la section Limites des autorisations pour IAM les entités dans le Guide de IAM l'utilisateur.