Choix entre politiques gérées et politiques en ligne - AWS Identity and Access Management
Premiers pas avec les politiques géréesUtilisation de politiques en ligne

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Choix entre politiques gérées et politiques en ligne

Prenez en compte vos cas d'utilisation lorsque vous devez choisir entre les politiques gérées et les politiques en ligne. Dans la plupart des cas, nous vous recommandons d'utiliser des politiques gérées plutôt que des politiques en ligne.

Note

Vous pouvez utiliser à la fois des politiques gérées et des politiques en ligne pour définir des autorisations communes et uniques pour une entité du principal.

Les politiques gérées fournissent les fonctions suivantes :

Réutilisation

Une même politique gérée peut être attachée à plusieurs entités du principal (utilisateurs, groupes et rôles). Vous pouvez créer une bibliothèque de politiques qui définissent des autorisations utiles pour vous Compte AWS, puis associer ces politiques aux entités principales selon les besoins.

Gestion centralisée des modifications

Lorsque vous modifiez une politique gérée, le changement est appliqué à toutes les entités du principal auxquelles la politique est attachée. Par exemple, si vous souhaitez ajouter une autorisation pour une nouvelle AWS API, vous pouvez mettre à jour une politique gérée par le client ou associer une politique AWS gérée pour ajouter l'autorisation. Si vous utilisez une politique AWS gérée, AWS mettez-la à jour. Lorsqu’une politique gérée est mise à jour, les modifications sont appliquées à toutes les entités du principal auxquelles la politique gérée est rattachée. En revanche, pour modifier une politique en ligne, vous devez modifier individuellement chaque identité contenant la politique en ligne. Par exemple, si un groupe et un rôle contiennent tous les deux la même politique en ligne, vous devez modifier individuellement les deux entités du principal pour modifier la politique.

Versioning et restauration

Lorsque vous modifiez une politique gérée par le client, la politique modifiée ne remplace pas la politique existante. À la place, IAM crée une nouvelle version de la politique gérée. IAM stocke jusqu'à cinq versions de vos politiques gérées par le client. Vous pouvez utiliser les versions de politique pour restaurer une version antérieure, si nécessaire.

Note

Une version de politique est différente d'un élément de politique Version. L'élément de politique Version est utilisé dans une politique pour définir la version de la langue de la politique. Pour en savoir plus sur les versions de politiques, consultez Gestion des versions des politiques IAM. Pour en savoir plus sur l'élément de politique Version, consultez Éléments de politique JSON IAM : Version.

Délégation de la gestion des autorisations

Vous pouvez autoriser les utilisateurs de votre site Compte AWS à joindre et à détacher des politiques tout en gardant le contrôle sur les autorisations définies dans ces politiques. Pour ce faire, vous pouvez ainsi désigner certains utilisateurs en tant qu'administrateurs disposant de droits complets, autrement dit autorisés à créer, mettre à jour et supprimer des politiques. D'autres utilisateurs peuvent ensuite être désignés en tant qu'administrateurs limitées. Ces administrateurs restreints pouvent attacher des politiques à d'autres entités du principal, mais uniquement celles que vous leur avez autorisés à attacher.

Pour plus d'informations sur la délégation de la gestion des autorisations, consultez Contrôle de l'accès aux politiques.

Limites de caractères des politiques plus grandes

La limite maximale de caractères pour les politiques gérées est supérieure à la limite de caractères pour les politiques de groupe en ligne. Si vous atteignez la limite de taille de caractères pour la politique en ligne, vous pouvez créer d'autres groupes IAM et associer la politique gérée au groupe.

Pour plus d'informations sur les quotas et les limites, consultez IAM et quotas AWS STS.

Mises à jour automatiques pour les politiques AWS gérées

AWS gère les politiques AWS gérées et les met à jour lorsque cela est nécessaire, par exemple pour ajouter des autorisations pour de nouveaux AWS services, sans que vous ayez à apporter de modifications. Les mises à jour sont automatiquement appliquées aux principales entités auxquelles vous avez attaché la politique AWS gérée.

Premiers pas avec les politiques gérées

Nous vous recommandons d'utiliser des politiques qui accordent le moins de privilèges ou d'accorder uniquement les autorisations requises pour effectuer une tâche. Le moyen le plus sûr d'octroyer le moindre privilège consiste à écrire une politique gérée par le client contenant uniquement les autorisations requises par votre équipe. Vous devez créer un processus pour autoriser votre équipe à demander plus d'autorisations si nécessaire. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin.

Pour commencer à ajouter des autorisations à vos identités IAM (utilisateurs, groupes d'utilisateurs et rôles), vous pouvez utiliserAWS politiques gérées. AWS les politiques gérées n'accordent pas les autorisations du moindre privilège. Vous devez prendre en compte le risque de sécurité constitué par l'octroi, à vos principaux, de davantage d'autorisations que nécessaire pour accomplir leur tâche.

Vous pouvez associer des politiques AWS gérées, y compris des fonctions de travail, à n'importe quelle identité IAM. Pour de plus amples informations, veuillez consulter Ajout et suppression d'autorisations basées sur l'identité IAM.

Pour passer aux autorisations du moindre privilège, vous pouvez exécuter AWS Identity and Access Management Access Analyzer pour surveiller les principaux à l'aide de politiques AWS gérées. Lorsque vous savez quelles autorisations ils utilisent, vous pouvez écrire ou générer une politique gérée par le client avec uniquement les autorisations requises pour votre équipe. Cela est moins sûr, mais offre plus de flexibilité à mesure que vous apprenez comment votre équipe utilise AWS. Pour de plus amples informations, veuillez consulter Génération d'une politique IAM Access Analyzer.

AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants. Pour plus d'informations sur les politiques AWS gérées conçues pour des fonctions professionnelles spécifiques, consultezAWS politiques gérées pour les fonctions professionnelles.

Pour obtenir la liste des politiques AWS gérées, consultez le Guide de référence des politiques AWS gérées.

Utilisation de politiques en ligne

Les politiques intégrées sont utiles si vous souhaitez maintenir une one-to-one relation stricte entre une stratégie et l'identité à laquelle elle est appliquée. Par exemple, si vous voulez éviter que les autorisations d'une politique ne soient accidentellement affectées à une identité autre que celle à laquelle elles sont destinées. Lorsque vous utilisez une politique en ligne, ses autorisations ne peuvent pas être attachées par inadvertance à la mauvaise identité. En outre, lorsque vous utilisez le AWS Management Console pour supprimer cette identité, les politiques intégrées à l'identité sont également supprimées car elles font partie de l'entité principale.