Politiques gérées par AWS pour les fonctions de tâches
Nous vous recommandons d'utiliser des politiques qui accordent le moins de privilèges ou d'accorder uniquement les autorisations requises pour effectuer une tâche. Le moyen le plus sûr d'octroyer le moindre privilège consiste à écrire une politique personnalisée contenant uniquement les autorisations requises par votre équipe. Vous devez créer un processus pour autoriser votre équipe à demander plus d'autorisations si nécessaire. Il faut du temps et de l’expertise pour créer des politiques gérées par le client IAM qui ne fournissent à votre équipe que les autorisations dont elle a besoin.
Pour commencer à ajouter des autorisations à vos identités IAM (utilisateurs, groupes d'utilisateurs et rôles), vous pouvez utiliser Politiques gérées par AWS. Les politiques gérées par AWS couvrent des cas d'utilisation courants et sont disponibles dans votre Compte AWS. Les politiques gérées par AWS n'octroient pas d'autorisations de moindre privilège. Vous devez prendre en compte le risque de sécurité constitué par l'octroi, à vos principaux, de davantage d'autorisations que nécessaire pour accomplir leur tâche.
Vous pouvez attacher des politiques gérées par AWS, notamment des fonctions de tâche, à n'importe quelle identité IAM. Pour passer à des autorisations de moindre privilège, vous pouvez exécuter l’analyseur d’accès AWS Identity and Access Management afin de contrôler les principaux avec des politiques gérées par AWS. Lorsque vous savez quelles autorisations ils utilisent, vous pouvez écrire une politique personnalisée ou générer une politique avec uniquement les autorisations requises pour votre équipe. Ceci est moins sécurisé, mais offre plus de flexibilité lorsque vous apprenez comment votre équipe utilise AWS.
AWSLes politiques gérées par pour les fonctions professionnelles sont conçues de manière à s'aligner sur les tâches courantes du secteur de l'informatique. Vous pouvez utiliser ces politiques pour accorder les autorisations nécessaires afin d'exécuter les tâches prévues de la part quelqu'un occupant une fonction spécifique. Ces politiques regroupent les autorisations pour de nombreux services dans une seule politique plus facile à utiliser que des autorisations dispersées dans de nombreuses politiques.
Utiliser des rôles pour combiner les services
Certaines des politiques utilisent des rôles de services IAM pour vous aider à tirer parti des fonctions disponibles dans d'autres services AWS. Ces politiques accordent l'accès à iam:passrole, qui permet à un utilisateur avec cette politique de transmettre un rôle à un service AWS. Ce rôle délègue des autorisations IAM au service AWS afin qu'il puisse exécuter des actions de votre part.
Vous devez créer les rôles selon vos besoins. Par exemple, la politique Administrateur réseau autorise un utilisateur disposant de cette politique à transmettre un rôle nommé « flow-logs-vpc » au service Amazon CloudWatch. CloudWatch utilise ce rôle pour journaliser et capturer le trafic IP pour les VPC créés par l'utilisateur.
Pour s'accorder aux meilleures pratiques de sécurité, les politiques pour les activités professionnelles incluent des filtres qui limitent les noms de rôles valides possibles à transmettre. Cela permet d'éviter d'accorder des autorisations inutiles. Si vos utilisateurs ont besoin des rôles de services facultatifs, vous devez créer un rôle qui suit la convention d'affectation de noms spécifiée dans la politique. Vous pouvez ensuite accorder des autorisations pour le rôle. L'utilisateur peut alors configurer le service pour utiliser ce rôle, et lui octroyer toutes les autorisations fournies par le rôle.
Dans les sections suivantes, chaque nom de politique comporte un lien vers la page des détails de la politique dans AWS Management Console. Vous pouvez alors consulter le document de politique et examiner les autorisations qu'il accorde.
Fonction de tâche Administrateur
Nom de politique gérée par AWS : AdministratorAccess
Cas d'utilisation : cet utilisateur a un accès total et peut déléguer des autorisations à tous les services et toutes les ressources dans AWS.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : Cette politique permet toutes les actions pour tous les services et toutes les ressources AWS du compte. Pour plus d’informations sur les politiques gérées, consultez AdministratorAccess dans le Guide de référence des politiques gérées par AWS.
Note
Avant qu'un utilisateur ou rôle IAM puisse accéder à la console AWS Billing and Cost Management avec les autorisations de cette politique, vous devez tout d'abord activer l'accès de l'utilisateur ou rôle IAM. Pour ce faire, suivez les instructions de la section Autoriser l’accès à la console de facturation pour déléguer l’accès à la console de facturation.
Fonction de tâche Facturation
Nom de politique gérée par AWS : Billing
Cas d'utilisation : cet utilisateur a besoin d'afficher les informations de facturation, de préparer les paiements et d'autoriser les paiements. Il peut surveiller les coûts cumulés pour le service AWS dans son intégralité.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : Cette politique accorde la totalité des autorisations de gestion de la facturation, des coûts, des moyens de paiement et des rapports. Pour d’autres exemples de politique de gestion des coûts, consultez les exemples de politique AWS Billing dans le Guide de l’utilisateur AWS Billing and Cost Management Pour plus d’informations sur les politiques gérées, consultez Billing dans le Guide de référence des politiques gérées par AWS.
Note
Avant qu'un utilisateur ou rôle IAM puisse accéder à la console AWS Billing and Cost Management avec les autorisations de cette politique, vous devez tout d'abord activer l'accès de l'utilisateur ou rôle IAM. Pour ce faire, suivez les instructions de la section Autoriser l’accès à la console de facturation pour déléguer l’accès à la console de facturation.
Fonction de tâche Administrateur de base de données
Nom de politique gérée par AWS : DatabaseAdministrator
Cas d'utilisation : cet utilisateur met en place, configure et gère des bases de données dans le Cloud AWS.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : Cette politique accorde les autorisations de créer, configurer et gérer des bases de données. Elle comprend l'accès aux services de base de données AWS tels que 'Amazon DynamoDB, Amazon Relational Database Service (RDS) et Amazon Redshift. Consultez la politique pour la liste entière de services de base de données que prend en charge cette politique. Pour plus d’informations sur les politiques gérées, consultez DatabaseAdministrator dans le Guide de référence des politiques gérées par AWS.
Cette politique de fonction de tâche prend en charge la possibilité de transmettre des rôles à des services AWS. Elle autorise l'action iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique.
| Cas d’utilisation | Nom de rôle (* correspond à un caractère générique) | Type de rôle de service à sélectionner | Sélectionner cette politique gérée par AWS |
|---|---|---|---|
| Permettre à l'utilisateur de surveiller des bases de données RDS | rds-monitoring-role | Rôle Amazon RDS pour la surveillance améliorée | AmazonRDSEnhancedMonitoringRole |
| Autoriser AWS Lambda à surveiller votre base de données et à accéder à des bases de données externes | rdbms-lambda-access |
Amazon EC2 | AWSLambda_FullAccess |
| Autoriser Lambda à télécharger des fichiers vers Amazon S3 et vers des clusters Amazon Redshift avec DynamoDB | lambda_exec_role |
AWS Lambda | Créer une nouvelle politique gérée, tel que défini dans l'AWS Big Data Blog |
| Autoriser les fonctions Lambda à agir comme des déclencheurs pour vos tables DynamoDB | lambda-dynamodb-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
| Autoriser les fonctions Lambda à accéder à Amazon RDS dans un VPC | lambda-vpc-execution-role | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Lambda | AWSLambdaVPCAccessExecutionRole |
| Autoriser AWS Data Pipeline à accéder à vos ressources AWS | DataPipelineDefaultRole | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline | La documentation AWS Data Pipeline répertorie les autorisations requises pour ce cas d'utilisation. Veuillez consulter Rôles IAM pour AWS Data Pipeline |
| Permettre à vos applications qui s'exécutent sur des instances Amazon EC2 d'accéder à vos ressources AWS | DataPipelineDefaultResourceRole | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline | AmazonEC2RoleforDataPipelineRole |
Fonction de tâche Scientifique des données
Nom de politique gérée par AWS : DataScientist
Cas d'utilisation : cet utilisateur exécute des tâches et des demandes Hadoop. L'utilisateur accède également à des informations pour l'analytique des données et la business intelligence, et analyse celles-ci.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Policy description (Description de la politique) : cette politique accorde des autorisations pour créer, gérer et exécuter des demandes sur un cluster Amazon EMR, et effectuer des analyses de données avec des outils tels qu'Amazon QuickSight. Cette politique comprend un accès à des services supplémentaires de scientifique des données, tels que AWS Data Pipeline, Amazon EC2, Amazon Kinesis, Amazon Machine Learning et l’IA SageMaker. Consultez la politique pour la liste entière de services de scientifique de données que prend en charge cette politique. Pour plus d’informations sur les politiques gérées, consultez DataScientist dans le Guide de référence des politiques gérées par AWS.
Cette politique de fonction de tâche prend en charge la possibilité de transmettre des rôles à des services AWS. Une instruction qui permet de transmettre n’importe quel rôle à l’IA SageMaker. Une autre instruction autorise l'action iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique.
| Cas d’utilisation | Nom de rôle (* correspond à un caractère générique) | Type de rôle de service à sélectionner | AWSPolitique gérée par à sélectionner |
|---|---|---|---|
| Autoriser les instances Amazon EC2 à accéder aux services et aux ressources appropriés pour les clusters | EMR-EC2_DefaultRole | Amazon EMR pour EC2 | AmazonElasticMapReduceforEC2Role |
| Autoriser Amazon EMR à accéder au service et aux ressources Amazon EC2 pour les clusters | EMR_DefaultRole | Amazon EMR | AmazonEMRServicePolicy_v2 |
| Autoriser le service géré Kinesis pour Apache Flink à accéder aux sources de données de diffusion | kinesis-* |
Créer un rôle avec une politique d'approbation, tel que défini dans l'AWS Big Data Blog |
Consultez l'AWS Big Data Blog |
| Autoriser AWS Data Pipeline à accéder à vos ressources AWS | DataPipelineDefaultRole | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline | La documentation AWS Data Pipeline répertorie les autorisations requises pour ce cas d'utilisation. Veuillez consulter Rôles IAM pour AWS Data Pipeline |
| Permettre à vos applications qui s'exécutent sur des instances Amazon EC2 d'accéder à vos ressources AWS | DataPipelineDefaultResourceRole | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide du développeur AWS Data Pipeline | AmazonEC2RoleforDataPipelineRole |
Fonction de tâche Utilisateur avec pouvoir Développeur
Nom de politique gérée par AWS : PowerUserAccess
Cas d'utilisation : cet utilisateur effectue des tâches de développement d'application, et peut créer et configurer des ressources et des services prenant en charge le développement d'applications compatibles avec AWS.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : la première instruction de cette politique utilise l'élément NotAction pour autoriser toutes les actions pour tous les services AWS et toutes les ressources à l'exception de AWS Identity and Access Management, AWS Organizations, et Gestion de compte AWS. La seconde instruction accorde des autorisations IAM pour créer un rôle lié à un service. Elle est requise par certains services qui doivent accéder aux ressources d'un autre service, par exemple, un compartiment Amazon S3. Elle accorde également des autorisations à AWS Organizationspour afficher des informations sur l’organisation de l’utilisateur, en particulier l’adresse e-mail du compte de gestion et les limitations de l’organisation. Bien que cette politique limite l’accès à IAM, AWS Organizations, elle permet à l’utilisateur d’effectuer toutes les actions si IAM Identity Center est activé. Il accorde également des autorisations de gestion de compte pour afficher AWS les régions qui sont activées ou désactivez pour le compte.
Fonction de tâche Administrateur réseau
Nom de politique gérée par AWS : NetworkAdministrator
Cas d'utilisation : cet utilisateur est chargé de mettre en place et de gérer les ressources réseau AWS.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : cette politique octroie les autorisations de créer et de gérer des ressources réseau dans Auto Scaling, Amazon EC2, AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing, AWS Elastic Beanstalk, Amazon SNS, CloudWatch, CloudWatch Logs, Amazon S3, IAM et Amazon Virtual Private Cloud. Pour plus d’informations sur les politiques gérées, consultez NetworkAdministrator dans le Guide de référence des politiques gérées par AWS.
Cette fonction exige de pouvoir transmettre des rôles à des services AWS. Elle accorde iam:GetRole et iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique.
| Cas d’utilisation | Nom de rôle (* correspond à un caractère générique) | Type de rôle de service à sélectionner | AWSPolitique gérée par à sélectionner |
|---|---|---|---|
| Permet à Amazon VPC de créer et gérer des journaux dans CloudWatch Logs au nom de l'utilisateur afin de contrôler le trafic IP entrant et sortant de votre VPC | flow-logs-* | Créer un rôle avec une politique d'approbation, tel que défini dans le Guide de l'utilisateur Amazon VPC | Ce cas d'utilisation ne dispose pas de politique gérée par AWS existante, mais la documentation répertorie les autorisations requises. Consultez le Guide de l'utilisateur Amazon VPC. |
Accès en lecture seule
nom de politique gérée par AWS : ReadOnlyAccess
Cas d'utilisation : cet utilisateur nécessite un accès en lecture seule à toutes les ressources d'un Compte AWS.
Important
Cet utilisateur aura également accès à la lecture des données dans des services de stockage tels que les compartiments Amazon S3 et les tables Amazon DynamoDB.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : cette politique octroie les autorisations de répertorier, obtenir, décrire ou afficher les ressources et leurs attributs. Elle n'inclut pas des fonctions de mutation, telles que créer ou supprimer. Cette politique inclut un accès en lecture seule aux services AWS liés à la sécurité, tels que AWS Identity and Access Management et AWS Billing and Cost Management. Consultez la politique pour la liste entière des services et actions que prend en charge cette politique. Pour plus d’informations sur les politiques gérées, consultez ReadOnlyAccess dans le Guide de référence des politiques gérées par AWS. Si vous avez besoin d’une politique similaire qui n’accorde pas l’accès à la lecture des données dans les services de stockage, consultez Fonction de tâche Utilisateur en affichage seul.
Fonction de tâche Audit de sécurité
Nom de politique gérée par AWS : SecurityAudit
Cas d'utilisation : cet utilisateur surveille les comptes pour vérifier leur conformité aux exigences de sécurité. Il peut accéder aux journaux et aux événements pour rechercher des brèches de sécurité potentielles ou d'éventuelles activités malveillantes.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : Cette politique accorde des autorisations d'affichage des données de configuration de nombreux services AWS et permet la consultation de leur journaux. Pour plus d’informations sur les politiques gérées, consultez SecurityAudit dans le Guide de référence des politiques gérées par AWS.
Fonction de tâche Utilisateur support
nom de la politique gérée AWS : AWSSupportAccess
Cas d'utilisation : cet utilisateur contacte le support AWS, crée des demandes de support et consulte le statut des demandes existantes.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : cette politique accorde des autorisations de création et de mise à jour des cas Support. Pour plus d’informations sur les politiques gérées, consultez AWSSupportAccess dans le Guide de référence des politiques gérées par AWS.
Fonction de tâche Administrateur système
Nom de politique gérée par AWS : SystemAdministrator
Cas d'utilisation : cet utilisateur configure et gère les ressources pour les opérations de développement.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : cette politique octroie les autorisations de créer et de maintenir des ressources dans un grand nombre de services AWS, notamment AWS CloudTrail, Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service, Amazon EC2, AWS Identity and Access Management, AWS Key Management Service, AWS Lambda, Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS, AWS Trusted Advisor et Amazon VPC. Pour plus d’informations sur les politiques gérées, consultez SystemAdministrator dans le Guide de référence des politiques gérées par AWS.
Cette fonction exige de pouvoir transmettre des rôles à des services AWS. Elle accorde iam:GetRole et iam:PassRole seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez Création des rôles et association des politiques (console) plus loin dans cette rubrique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
| Cas d’utilisation | Nom de rôle (* correspond à un caractère générique) | Type de rôle de service à sélectionner | AWSPolitique gérée par à sélectionner |
|---|---|---|---|
| Autoriser les applications s'exécutant dans des instances EC2 d'un cluster Amazon ECS à accéder à Amazon ECS | ecr-sysadmin-* | Rôle Amazon EC2 pour EC2 Container Service | AmazonEC2ContainerServiceforEC2Role |
| Permettre à un utilisateur de surveiller des bases de données | rds-monitoring-role | Rôle Amazon RDS pour la surveillance améliorée | AmazonRDSEnhancedMonitoringRole |
| Autorisez les applications s'exécutant dans des instances EC2 à accéder aux ressources AWS. | ec2-sysadmin-* | Amazon EC2 | Exemple de politique de rôle qui accorde l’accès à un compartiment S3, comme illustré dans le Guide de l’utilisateur Amazon EC2 ; à personnaliser en fonction des besoins |
| Autoriser Lambda à lire des flux DynamoDB et à écrire dans CloudWatch Logs | lambda-sysadmin-* | AWS Lambda | AWSLambdaDynamoDBExecutionRole |
Fonction de tâche Utilisateur en affichage seul
Nom de politique gérée par AWS :ViewOnlyAccess
Cas d'utilisation : cet utilisateur peut afficher une liste de métadonnées de base et des ressources AWS du compte sur les services. Il ne peut pas lire le contenu des ressources ou les metadonnées au-delà des informations de quotas et de listes des ressources.
Mises à jour de politiques : AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet Policy versions (Versions de politique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter Politiques gérées par AWS pour les activités professionnelles.
Description de la politique : cette politique accorde les accès List*, Describe*, Get*, View* et Lookup* aux ressources description: services AWS. Pour voir les actions que cette politique inclut pour chaque service, consultez ViewOnlyAccess
Politiques gérées par AWS pour les activités professionnelles
Ces politiques sont toutes gérées par AWS et sont actualisées afin d'inclure la prise en charge des nouveaux services et des nouvelles fonctionnalités au fur et à mesure qu'ils sont ajoutés par les services AWS. Elles ne peuvent pas être modifiées par les clients. Vous pouvez faire une copie de la politique, puis modifier cette copie, mais elle n'est pas automatiquement actualisée lorsqu'AWS présente de nouveaux services et de nouvelles opérations API.
Pour une politique de fonction de tâche, vous pouvez afficher l'historique des versions, ainsi que l'heure et la date de chaque mise à jour dans la console IAM. Pour cela, utilisez les liens sur cette page pour afficher les détails de la politique. Ensuite, choisissez l'onglet Policy versions (Versions de politique) pour afficher les versions. Cette page affiche les 25 dernières versions d'une politique. Pour afficher toutes les versions d'une politique, appelez la commande get-policy-version AWS CLI ou l'opération d'API GetPolicyVersion.
Note
Vous pouvez avoir jusqu'à cinq versions d'une politique gérée le client, mais AWS retient l'historique complet des versions des politiques gérées par AWS.
