Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Exemples de politiques basées sur l'identité IAM pour CloudFormation
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources CloudFormation. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI) ou de AWS l'API. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM. L’administrateur peut ensuite ajouter les politiques IAM aux rôles et les utilisateurs peuvent assumer les rôles. Pour de plus amples informations, veuillez consulter Définition de politiques basées sur l'identité IAM pour CloudFormation.
Les exemples suivants présentent des déclarations de politique que vous pouvez utiliser pour autoriser ou refuser l'autorisation d'utiliser une ou plusieurs CloudFormation actions.
Rubriques
Exiger une URL de modèle spécifique
La politique suivante accorde les autorisations d’utiliser uniquement l’URL de modèle https://s3.amazonaws.com/amzn-s3-demo-bucket/test.template
Refuser toutes les opérations CloudFormation d'importation
La politique suivante accorde les autorisations nécessaires pour effectuer toutes les CloudFormation opérations, à l'exception des opérations d'importation.
Autoriser les opérations d’importation pour des types de ressources spécifiques
La politique suivante accorde les autorisations nécessaires pour toutes les opérations de pile, en plus des opérations d’importation uniquement sur les ressources spécifiées (dans cet exemple, AWS::S3::Bucket.
Refuser les ressources IAM dans les modèles de pile
La politique suivante accorde les autorisations nécessaires pour créer des piles, mais refuse les demandes si le modèle de la pile inclut une ressource du service IAM. Cette politique oblige également les utilisateurs à spécifier le paramètre ResourceTypes, qui est uniquement disponible pour les requêtes d' AWS CLI et d'API. Cette politique utilise des instructions de refus explicites de sorte qu'elle reste en vigueur si une autre politique accorde des autorisations supplémentaires (une instruction de refus explicite prévaut toujours sur une instruction d'autorisation explicite).
Autoriser la création de piles avec des types de ressources spécifiques
La politique suivante est similaire à l’exemple précédent. La politique accorde les autorisations nécessaires pour créer une pile, sauf si le modèle de la pile inclut une ressource du service IAM. Les utilisateurs doivent également spécifier le ResourceTypes paramètre, qui n'est disponible que pour AWS CLI les demandes d'API. Cette politique est plus simple, mais n'utilise pas d'instructions de refus explicites. Elle pourrait donc être supplantée par d'autres politiques, qui accorderaient des autorisations supplémentaires.
Contrôler l’accès en fonction des actions API modifiant les ressources
La politique suivante accorde les autorisations nécessaires pour filtrer l’accès en fonction du nom d’une action API modifiant les ressources. Ceci est utilisé pour contrôler les utilisateurs APIs IAM qui peuvent ajouter ou supprimer des balises sur une pile ou un ensemble de piles. L’opération utilisée pour ajouter ou supprimer des balises doit être ajoutée comme valeur pour la clé de condition. La politique suivante accorde les autorisations TagResource et UntagResource à l’opération de modification CreateStack.
Restriction des opérations sur les ensembles de piles en fonction de la région et des types de ressources
La politique suivante accorde des autorisations pour les ensembles de piles gérés par le service. Un utilisateur disposant de cette politique peut uniquement effectuer des opérations sur des ensembles de piles avec des modèles contenant des types de ressources Amazon S3 (AWS::S3::*) ou le type de ressource AWS::SES::ConfigurationSet. S'il est connecté au compte de gestion de l'organisation avec un identifiant123456789012, l'utilisateur peut également effectuer des opérations uniquement sur des ensembles de piles qui ciblent l'unité d'organisation dotée d'un identifiantou-1fsfsrsdsfrewrstack-set-id qui cible l'identifiant Compte AWS avec987654321012
Les opérations de stack set échouent si le modèle de stack set contient des types de ressources autres que ceux spécifiés dans la stratégie, ou si les cibles de déploiement sont des unités d'organisation ou des comptes IDs autres que ceux spécifiés dans la stratégie pour les comptes de gestion et les ensembles de piles correspondants.
Ces restrictions de politique s'appliquent uniquement lorsque les opérations d'ensembles de piles ciblent les us-east-1, us-west-2, ou eu-west-2 Régions AWS.
Autoriser toutes les opérations du générateur IaC
La politique suivante autorise l'accès aux CloudFormation actions liées à l'analyse des ressources du générateur iAC et à la gestion des modèles. La première instruction accorde les autorisations nécessaires pour décrire, répertorier et lancer des analyses de ressources. Elle permet également d’accéder à des autorisations supplémentaires requises (cloudformation:GetResource, cloudformation:ListResources et cloudformation:ListTypes) qui permettent au générateur IaC de récupérer des informations sur les ressources et les types de ressources disponibles. La deuxième instruction accorde toutes les autorisations nécessaires pour créer, supprimer, décrire, répertorier et mettre à jour les modèles générés.
Vous devez également accorder des autorisations de lecture pour les AWS services cibles à toute personne qui analysera les ressources avec le générateur IaC. Pour de plus amples informations, veuillez consulter Autorisations IAM requises pour l’analyse des ressources.
