Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Transfert des demandes de sessions d’accès (FAS) et évaluation des autorisations Lors de la création, de la mise à jour et de la suppression de CloudFormation piles, les utilisateurs peuvent éventuellement spécifier un ARN de rôle IAM. Si aucun rôle n'est fourni, CloudFormation utilise son mécanisme de service par défaut pour interagir avec d'autres AWS services. Dans ce scénario, l’appelant doit disposer des autorisations nécessaires pour les ressources gérées. Par ailleurs, lorsqu'un utilisateur fournit son propre rôle IAM, il CloudFormation assume ce rôle pour effectuer des interactions de service en son nom. Que l'utilisateur fournisse ou non un rôle IAM, il CloudFormation génère un nouveau jeton FAS délimité pour chaque opération sur les ressources. Par conséquent, les [clés de condition liées au FAS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html#access_fas_policy_conditions), y compris `aws:ViaAWSService`, sont renseignées dans les deux scénarios. L'utilisation du FAS influe sur la manière dont les politiques IAM sont évaluées pendant CloudFormation les opérations. Lors de la création d’une pile à l’aide d’un modèle qui inclut des ressources affectées par des clés de condition liées au FAS, des refus d’autorisation peuvent se produire. **Exemple de politique IAM** Tenez compte de la politique IAM suivante. `Statement2`empêchera systématiquement la création d'une `AWS::KMS::Key` ressource dans CloudFormation. La restriction sera appliquée de manière cohérente, qu’un rôle IAM soit fourni ou non pendant l’opération de pile. Cela est dû au fait que la clé de condition `aws:ViaAWSService` est toujours définie sur `true` en raison de l’utilisation du FAS. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "Statement1", "Effect": "Allow", "Action": [ "kms:CreateKey" ], "Resource": [ "*" ] }, { "Sid": "Statement2", "Effect": "Deny", "Action": [ "kms:CreateKey" ], "Resource": [ "*" ], "Condition": { "Bool": { "aws:ViaAWSService": "true" } } } ] } ``` ------ **Exemple de modèle de pile** Par exemple, lorsqu’un utilisateur crée une pile à l’aide du modèle suivant, `aws:ViaAWSService` est défini sur `true`, et les autorisations de rôle seront remplacées par la politique FAS. La création de la pile sera affectée par `Statement2` de la politique IAM, qui refuse l’action `CreateKey`. Cela entraîne une erreur de refus d’autorisation. ``` Resources: myPrimaryKey: Type: AWS::KMS::Key Properties: Description: An example multi-Region primary key KeyPolicy: Version: '2012-10-17' Id: key-default-1 Statement: - Sid: Enable IAM User Permissions Effect: Allow Principal: AWS: !Join - '' - - 'arn:aws:iam::' - !Ref AWS::AccountId - ':root' Action: kms:* Resource: '*' ``` Pour plus d’informations sur le FAS, consultez la section [Transférer les sessions d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html) dans le *Guide de l’utilisateur IAM*. **Note** La plupart des ressources adoptent ce comportement. Toutefois, si vous rencontrez un succès ou un échec inattendu lors de la création, de la mise à jour ou de la suppression d’une ressource, et que votre politique IAM inclut des clés de condition liées à FAS, il est probable que la ressource en question appartienne à un petit sous-ensemble de ressources qui ne suivent pas ce modèle standard.