Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comment AWS Transfer Family fonctionne avec IAM
Avant d'utiliser AWS Identity and Access Management (IAM) pour gérer l'accès à AWS Transfer Family, vous devez comprendre quelles fonctionnalités IAM sont disponibles. AWS Transfer Family Pour obtenir une vue d'ensemble de la façon dont AWS Transfer Family les autres AWS services fonctionnent avec IAM, consultez la section AWS Services compatibles avec IAM dans le Guide de l'utilisateur d'IAM.
Rubriques
AWS Transfer Family Politiques basées sur l'identité
Avec les politiques basées sur l'identité IAM, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. AWS Transfer Family prend en charge des actions, ressources et clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez la référence des éléments de stratégie JSON IAM dans le guide de l'AWS Identity and Access Management utilisateur.
Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Action d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Les actions de stratégie portent généralement le même nom que l'opération AWS d'API associée. Il existe quelques exceptions, telles que les actions avec autorisations uniquement qui n’ont pas d’opération API correspondante. Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées actions dépendantes.
Intégration d’actions dans une stratégie afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de politique en AWS Transfer Family cours utilisent le préfixe suivant avant l'action :transfer:. Par exemple, pour autoriser quelqu'un à créer un serveur, vous devez inclure l'transfer:CreateServeraction dans sa politique à l'aide de l'opération d'CreateServerAPI Transfer Family. Les déclarations de politique doivent inclure un élément Action ou NotAction. AWS Transfer Family
définit son propre ensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule instruction, séparez-les par des virgules, comme suit :
"Action": [ "transfer:action1", "transfer:action2"
Vous pouvez aussi préciser plusieurs actions à l’aide de caractères génériques (*). Par exemple, pour spécifier toutes les actions qui commencent par le mot Describe, incluez l’action suivante.
"Action": "transfer:Describe*"
Pour consulter la liste des AWS Transfer Family actions, reportez-vous à la section Actions définies par AWS Transfer Family dans la référence d'autorisation de service.
Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément de politique JSON Resource indique le ou les objets auxquels l’action s’applique. Les instructions doivent inclure un élément Resource ou NotResource. Il est recommandé de définir une ressource à l’aide de son Amazon Resource Name (ARN). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination autorisations de niveau ressource.
Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (*) afin d’indiquer que l’instruction s’applique à toutes les ressources.
"Resource": "*"
La ressource du serveur Transfer Family possède l'ARN suivant.
arn:aws:transfer:${Region}:${Account}:server/${ServerId}
Par exemple, pour spécifier le serveur s-01234567890abcdef Transfer Family dans votre relevé, utilisez l'ARN suivant.
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/s-01234567890abcdef"
Pour plus d'informations sur le format des ARN, consultez Amazon Resource Names (ARN) dans le Service Authorization Reference ou IAM ARN dans le guide de l'utilisateur IAM.
Pour spécifier toutes les instances qui appartiennent à un compte spécifique, utilisez le caractère générique (*).
"Resource": "arn:aws:transfer:us-east-1:123456789012:server/*"
Certaines AWS Transfer Family actions sont effectuées sur plusieurs ressources, telles que celles utilisées dans les politiques IAM. Dans ces cas-là, vous devez utiliser le caractère générique (*).
"Resource": "arn:aws:transfer:*:123456789012:server/*"
Dans certains cas, vous devez spécifier plusieurs types de ressources, par exemple si vous créez une politique qui autorise l'accès aux serveurs et aux utilisateurs de Transfer Family. Pour spécifier plusieurs ressources dans une seule instruction, séparez leurs ARN par des virgules.
"Resource": [ "resource1", "resource2" ]
Pour consulter la liste des AWS Transfer Family ressources, consultez la section Types de ressources définis par AWS Transfer Family dans la référence d'autorisation de service.
Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.
L’élément Condition (ou le bloc Condition) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément Condition est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des opérateurs de condition, tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.
Si vous spécifiez plusieurs éléments Condition dans une instruction, ou plusieurs clés dans un seul élément Condition, AWS les évalue à l’aide d’une opération AND logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une OR opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez accorder à un utilisateur IAM l’autorisation d’accéder à une ressource uniquement si elle est balisée avec son nom d’utilisateur IAM. Pour plus d’informations, consultez Éléments d’une politique IAM : variables et identifications dans le Guide de l’utilisateur IAM.
AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition AWS globales, voir les clés de contexte de condition AWS globales dans le guide de l'utilisateur IAM.
AWS Transfer Family définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour consulter la liste des clés de AWS Transfer Family condition, reportez-vous à la section Clés de condition pour AWS Transfer Family la référence d'autorisation de service.
Exemples
Pour consulter des exemples de politiques AWS Transfer Family basées sur l'identité, consultez. AWS Transfer Family exemples de politiques basées sur l'identité
AWS Transfer Family Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON qui spécifient les actions qu'un principal spécifié peut effectuer sur la AWS Transfer Family ressource et dans quelles conditions. Amazon S3 prend en charge les politiques d'autorisation basées sur les ressources pour les compartiments Amazon S3. Les politiques basées sur les ressources permettent d'accorder une autorisation à d'autres comptes en fonction des ressources. Vous pouvez également utiliser une politique basée sur les ressources pour autoriser un AWS service à accéder à vos compartiments Amazon S3.
Pour permettre un accès comptes multiples , vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une stratégie basée sur les ressources. L’ajout d’un principal entre comptes à une politique basée sur les ressources ne représente qu’une partie de l’instauration de la relation d’approbation. Lorsque le principal et la ressource se trouvent dans des AWS comptes différents, vous devez également accorder à l'entité principale l'autorisation d'accéder à la ressource. Accordez l'autorisation en attachant une stratégie basée sur les identités à l'entité. Toutefois, si une stratégie basée sur des ressources accorde l'accès à un principal dans le même compte, aucune autre stratégie basée sur l'identité n'est requise. Pour plus d'informations, consultez la section En quoi les rôles IAM diffèrent des politiques basées sur les ressources dans le Guide de l'AWS Identity and Access Management utilisateur.
Le service Amazon S3 ne prend en charge qu'un seul type de politique basée sur les ressources, appelée stratégie de Cette politique définit les entités principales (comptes, utilisateurs, rôles et utilisateurs fédérés) qui peuvent effectuer des actions sur l'objet.compartiment, qui est attachée à un compartiment.
Exemples
Pour consulter des exemples de politiques AWS Transfer Family basées sur les ressources, consultez. AWS Transfer Family exemples de politiques basées sur des balises
Autorisation basée sur les balises AWS Transfer Family
Vous pouvez associer des balises aux AWS Transfer Family ressources ou transmettre des balises dans une demande à AWS Transfer Family. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’élément de condition d’une politique utilisant les clés de condition transfer:ResourceTag/, key-nameaws:RequestTag/ ou key-nameaws:TagKeys. Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès aux AWS Transfer Family ressources, consultezAWS Transfer Family exemples de politiques basées sur des balises.
AWS Transfer Family Rôles IAM
Un rôle IAM est une entité de votre AWS compte qui dispose d'autorisations spécifiques.
Utilisation d'informations d'identification temporaires avec AWS Transfer Family
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que AssumeRoleou GetFederationToken.
AWS Transfer Family prend en charge l'utilisation d'informations d'identification temporaires.
