Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# AWS politiques gérées pour les fonctions professionnelles
<a name="access_policies_job-functions"></a>

Nous vous recommandons d'utiliser des politiques qui [accordent le moins de privilèges](best-practices.md#grant-least-privilege) ou d'accorder uniquement les autorisations requises pour effectuer une tâche. Le moyen le plus sûr d'octroyer le moindre privilège consiste à écrire une politique personnalisée contenant uniquement les autorisations requises par votre équipe. Vous devez créer un processus pour autoriser votre équipe à demander plus d'autorisations si nécessaire. Il faut du temps et de l’expertise pour [créer des politiques gérées par le client IAM](access_policies_create-console.md) qui ne fournissent à votre équipe que les autorisations dont elle a besoin.

Pour commencer à ajouter des autorisations à vos identités IAM (utilisateurs, groupes d'utilisateurs et rôles), vous pouvez utiliser[AWS politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies). AWS les politiques gérées couvrent les cas d'utilisation courants et sont disponibles dans votre Compte AWS. AWS les politiques gérées n'accordent pas les autorisations du moindre privilège. Vous devez prendre en compte le risque de sécurité constitué par l'octroi, à vos principaux, de davantage d'autorisations que nécessaire pour accomplir leur tâche.

Vous pouvez associer des politiques AWS gérées, y compris des fonctions de travail, à n'importe quelle identité IAM. Pour passer aux autorisations du moindre privilège, vous pouvez exécuter Gestion des identités et des accès AWS Access Analyzer pour surveiller les principaux à l'aide de politiques AWS gérées. Lorsque vous savez quelles autorisations ils utilisent, vous pouvez écrire une politique personnalisée ou générer une politique avec uniquement les autorisations requises pour votre équipe. Cela est moins sûr, mais offre plus de flexibilité à mesure que vous apprenez comment votre équipe utilise AWS.

AWS les politiques gérées pour les fonctions professionnelles sont conçues pour s'aligner étroitement sur les fonctions professionnelles courantes dans le secteur informatique. Vous pouvez utiliser ces politiques pour accorder les autorisations nécessaires afin d'exécuter les tâches prévues de la part quelqu'un occupant une fonction spécifique. Ces politiques regroupent les autorisations pour de nombreux services dans une seule politique plus facile à utiliser que des autorisations dispersées dans de nombreuses politiques.

**Utiliser des rôles pour combiner les services**  
Certaines politiques utilisent des rôles de service IAM pour vous aider à tirer parti des fonctionnalités d'autres AWS services. Ces politiques accordent l'accès à un service`iam:passrole`, ce qui permet à l'utilisateur disposant de cette politique de transmettre un rôle à un AWS service. Ce rôle délègue les autorisations IAM au AWS service pour effectuer des actions en votre nom.

Vous devez créer les rôles selon vos besoins. Par exemple, la politique d'administrateur réseau permet à un utilisateur disposant de cette politique de transmettre un rôle nommé flow-logs-vpc « » au CloudWatch service Amazon. CloudWatch utilise ce rôle pour enregistrer et capturer le trafic IP VPCs créé par l'utilisateur.

Pour s'accorder aux meilleures pratiques de sécurité, les politiques pour les activités professionnelles incluent des filtres qui limitent les noms de rôles valides possibles à transmettre. Cela permet d'éviter d'accorder des autorisations inutiles. Si vos utilisateurs ont besoin des rôles de services facultatifs, vous devez créer un rôle qui suit la convention d'affectation de noms spécifiée dans la politique. Vous pouvez ensuite accorder des autorisations pour le rôle. L'utilisateur peut alors configurer le service pour utiliser ce rôle, et lui octroyer toutes les autorisations fournies par le rôle.

Dans les sections suivantes, chaque nom de politique comporte un lien vers la page des détails de la politique dans AWS Management Console. Vous pouvez alors consulter le document de politique et examiner les autorisations qu'il accorde.

## Fonction de tâche Administrateur
<a name="jf_administrator"></a>

**AWS nom de la politique gérée : [AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess)**

**Cas d'utilisation :** cet utilisateur a un accès total et peut déléguer des autorisations à tous les services et toutes les ressources dans AWS.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique autorise toutes les actions pour tous les AWS services et pour toutes les ressources du compte. Pour plus d'informations sur la stratégie gérée, consultez le *Guide [AdministratorAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AdministratorAccess.html)de référence des politiques AWS gérées*.

**Note**  
Avant qu'un utilisateur ou un rôle IAM puisse accéder à la AWS Billing and Cost Management console avec les autorisations définies dans cette politique, vous devez d'abord activer l'accès aux utilisateurs et aux rôles IAM. Pour ce faire, suivez les instructions de la section [Autoriser l’accès à la console de facturation](getting-started-account-iam.md) pour déléguer l’accès à la console de facturation.

## Fonction de tâche Facturation
<a name="jf_accounts-payable"></a>

**AWS nom de la politique gérée :** [Facturation](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/Billing)

**Cas d'utilisation :** cet utilisateur a besoin d'afficher les informations de facturation, de préparer les paiements et d'autoriser les paiements. L'utilisateur peut surveiller les coûts cumulés pour l'ensemble du AWS service.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique accorde la totalité des autorisations de gestion de la facturation, des coûts, des moyens de paiement et des rapports. Pour d’autres exemples de politique de gestion des coûts, consultez les [exemples de politique AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-example-policies.html) dans le *Guide de l’utilisateur AWS Billing and Cost Management * Pour plus d’informations sur les politiques gérées, consultez [Billing](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/Billing.html) dans le *Guide de référence des politiques gérées par AWS *.

**Note**  
Avant qu'un utilisateur ou un rôle IAM puisse accéder à la AWS Billing and Cost Management console avec les autorisations définies dans cette politique, vous devez d'abord activer l'accès aux utilisateurs et aux rôles IAM. Pour ce faire, suivez les instructions de la section [Autoriser l’accès à la console de facturation](getting-started-account-iam.md) pour déléguer l’accès à la console de facturation.

## Fonction de tâche Administrateur de base de données
<a name="jf_database-administrator"></a>

**AWS nom de la politique gérée : [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)**

**Cas d'utilisation :** cet utilisateur installe, configure et gère des bases de données dans le AWS cloud.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique accorde les autorisations de créer, configurer et gérer des bases de données. Il inclut l'accès aux services AWS de base de données, tels qu'Amazon DynamoDB, Amazon Relational Database Service (RDS) et Amazon Redshift. Consultez la politique pour la liste entière de services de base de données que prend en charge cette politique. Pour plus d'informations sur la stratégie gérée, consultez le *Guide [DatabaseAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DatabaseAdministrator.html)de référence des politiques AWS gérées*.

Cette politique relative aux fonctions professionnelles favorise la capacité de transférer des rôles aux AWS services. Elle autorise l'action `iam:PassRole` seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez [Création des rôles et association des politiques (console)](access_policies_job-functions_create-policies.md) plus loin dans cette rubrique.


| Cas d’utilisation | Nom de rôle (\$1 correspond à un caractère générique) | Type de rôle de service à sélectionner | Sélectionnez cette politique AWS gérée | 
| --- | --- | --- | --- | 
| Permettre à l'utilisateur de surveiller des bases de données RDS | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | Rôle Amazon RDS pour la surveillance améliorée | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) | 
| Permettre AWS Lambda de surveiller votre base de données et d'accéder à des bases de données externes | [rdbms-lambda-access](https://aws.amazon.com/blogs/big-data/from-sql-to-microservices-integrating-aws-lambda-with-relational-databases) | Amazon EC2 | [AWSLambda\$1FullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSLambda_FullAccess) | 
| Autoriser Lambda à télécharger des fichiers vers Amazon S3 et vers des clusters Amazon Redshift avec DynamoDB | [lambda\$1exec\$1role](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | AWS Lambda | Créer une nouvelle politique gérée, tel que défini dans l'[AWS Big Data Blog](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | 
| Autoriser les fonctions Lambda à agir comme des déclencheurs pour vos tables DynamoDB | [lambda-dynamodb-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaRôle Dynamo DBExecution](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) | 
| Autoriser les fonctions Lambda à accéder à Amazon RDS dans un VPC | [lambda-vpc-execution-role](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | Créer un rôle avec une politique d'approbation, tel que défini dans le [Guide du développeur AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/vpc-rds.html) | [AWSLambdaVPCAccessExecutionRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaVPCAccessExecutionRole) | 
|  AWS Data Pipeline Autoriser l'accès à vos AWS ressources | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Créer un rôle avec une politique d'approbation, tel que défini dans le [Guide du développeur AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | La AWS Data Pipeline documentation répertorie les autorisations requises pour ce cas d'utilisation. Voir les [rôles IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) pour AWS Data Pipeline | 
| Permettre à vos applications qui s'exécutent sur des instances Amazon EC2 d'accéder à vos ressources AWS  | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Créer un rôle avec une politique d'approbation, tel que défini dans le [Guide du développeur AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) | 

## Fonction de tâche Scientifique des données
<a name="jf_data-scientist"></a>

**AWS nom de la politique gérée : [DataScientist](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DataScientist)**

**Cas d'utilisation :** cet utilisateur exécute des tâches et des demandes Hadoop. L'utilisateur accède également à des informations pour l'analytique des données et la business intelligence, et analyse celles-ci.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique accorde les autorisations nécessaires pour créer, gérer et exécuter des requêtes sur un cluster Amazon EMR et pour effectuer des analyses de données à l'aide d'outils tels qu'Amazon. QuickSight La politique inclut l'accès à des services de data scientist supplémentaires AWS Data Pipeline, tels qu'Amazon EC2, Amazon Kinesis, Amazon Machine Learning et AI. SageMaker Consultez la politique pour la liste entière de services de scientifique de données que prend en charge cette politique. Pour plus d'informations sur la stratégie gérée, consultez le *Guide [DataScientist](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/DataScientist.html)de référence des politiques AWS gérées*.

Cette politique relative aux fonctions professionnelles favorise la capacité de transférer des rôles aux AWS services. Une déclaration permet de transmettre n'importe quel rôle à l' SageMaker IA. Une autre instruction autorise l'action `iam:PassRole` seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez [Création des rôles et association des politiques (console)](access_policies_job-functions_create-policies.md) plus loin dans cette rubrique.


| Cas d’utilisation | Nom de rôle (\$1 correspond à un caractère générique) | Type de rôle de service à sélectionner | AWS politique gérée à sélectionner | 
| --- | --- | --- | --- | 
| Autoriser les instances Amazon EC2 à accéder aux services et aux ressources appropriés pour les clusters | [EMR- \$1 EC2 DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR pour EC2  | [AmazonElasticMapReduceforEC2Rôle](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonElasticMapReduceforEC2Role) | 
| Autoriser Amazon EMR à accéder au service et aux ressources Amazon EC2 pour les clusters | [EMR\$1 DefaultRole](https://docs.aws.amazon.com/emr/latest/DeveloperGuide/emr-iam-roles-defaultroles.html) | Amazon EMR | [Amazon EMRService Policy\$1v2](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEMRServicePolicy_v2) | 
| Autoriser le service géré Kinesis pour Apache Flink à accéder aux sources de données de diffusion | [kinesis-\$1](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader) | Créer un rôle avec une politique d'approbation, tel que défini dans l'[AWS Big Data Blog](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader). | Consultez l'[AWS Big Data Blog](https://aws.amazon.com/blogs/big-data/a-zero-administration-amazon-redshift-database-loader), qui définit les quatre options possibles en fonction de votre cas d'utilisation. | 
|  AWS Data Pipeline Autoriser l'accès à vos AWS ressources | [DataPipelineDefaultRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Créer un rôle avec une politique d'approbation, tel que défini dans le [Guide du développeur AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | La AWS Data Pipeline documentation répertorie les autorisations requises pour ce cas d'utilisation. Voir les [rôles IAM](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) pour AWS Data Pipeline | 
| Permettre à vos applications qui s'exécutent sur des instances Amazon EC2 d'accéder à vos ressources AWS  | [DataPipelineDefaultResourceRole](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | Créer un rôle avec une politique d'approbation, tel que défini dans le [Guide du développeur AWS Data Pipeline](https://docs.aws.amazon.com/datapipeline/latest/DeveloperGuide/dp-iam-roles.html) | [AmazonEC2RoleforDataPipelineRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2RoleforDataPipelineRole) | 

## Fonction de tâche Utilisateur avec pouvoir Développeur
<a name="jf_developer-power-user"></a>

**AWS nom de la politique gérée : [PowerUserAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/PowerUserAccess)**

**Cas d'utilisation :** cet utilisateur exécute des tâches de développement d'applications et peut créer et configurer des ressources et des services qui prennent en charge le développement d'applications AWS conscientes.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** La première déclaration de cette politique utilise l'[`NotAction`](reference_policies_elements_notaction.md)élément pour autoriser toutes les actions pour tous les AWS services et pour toutes les ressources Gestion des identités et des accès AWS, à l'exception de AWS Organizations, et Gestion de compte AWS. La seconde instruction accorde des autorisations IAM pour créer un rôle lié à un service. Elle est requise par certains services qui doivent accéder aux ressources d'un autre service, par exemple, un compartiment Amazon S3. Il accorde également des AWS Organizations autorisations pour consulter les informations relatives à l'organisation de l'utilisateur, notamment l'adresse e-mail du compte de gestion et les limites de l'organisation. Bien que cette politique limite l'IAM AWS Organizations, elle permet à l'utilisateur d'effectuer toutes les actions IAM Identity Center si IAM Identity Center est activé. Il accorde également à la gestion du compte des autorisations permettant de voir quelles AWS régions sont activées ou désactivées pour le compte.

## Fonction de tâche Administrateur réseau
<a name="jf_network-administrator"></a>

**AWS nom de la politique gérée : [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)**

**Cas d'utilisation :** cet utilisateur est chargé de configurer et de gérer les ressources AWS du réseau.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique accorde des autorisations pour créer et gérer des ressources réseau dans Auto Scaling, Amazon EC2 AWS Direct Connect, Route 53, Amazon CloudFront, Elastic Load Balancing AWS Elastic Beanstalk, Amazon SNS CloudWatch, Logs CloudWatch , Amazon S3, IAM et Amazon Virtual Private Cloud. Pour plus d'informations sur la stratégie gérée, consultez le *Guide [NetworkAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/NetworkAdministrator.html)de référence des politiques AWS gérées*.

Cette fonction nécessite la capacité de transmettre des rôles aux AWS services. Elle accorde `iam:GetRole` et `iam:PassRole` seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez [Création des rôles et association des politiques (console)](access_policies_job-functions_create-policies.md) plus loin dans cette rubrique.


| Cas d’utilisation | Nom de rôle (\$1 correspond à un caractère générique) | Type de rôle de service à sélectionner | AWS politique gérée à sélectionner | 
| --- | --- | --- | --- | 
| Permet à Amazon VPC de créer et de gérer les CloudWatch journaux au nom de l'utilisateur afin de surveiller le trafic IP entrant et sortant de votre VPC | [flow-logs-\$1](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | Créer un rôle avec une politique d'approbation, tel que défini dans le [Guide de l'utilisateur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam) | Ce cas d'utilisation n'a pas de politique AWS gérée existante, mais la documentation répertorie les autorisations requises. Consultez le [Guide de l'utilisateur Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html#flow-logs-iam). | 

## Accès en lecture seule
<a name="awsmp_readonlyaccess"></a>

**AWS nom de la politique gérée : [ReadOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/ReadOnlyAccess)**

**Cas d'utilisation :** cet utilisateur nécessite un accès en lecture seule à toutes les ressources d'un Compte AWS.

**Important**  
Cet utilisateur aura également accès à la lecture des données dans des services de stockage tels que les compartiments Amazon S3 et les tables Amazon DynamoDB.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** cette politique octroie les autorisations de répertorier, obtenir, décrire ou afficher les ressources et leurs attributs. Elle n'inclut pas des fonctions de mutation, telles que créer ou supprimer. Cette politique inclut l'accès en lecture seule aux AWS services liés à la sécurité, tels que et. Gestion des identités et des accès AWS AWS Billing and Cost Management Consultez la politique pour la liste entière des services et actions que prend en charge cette politique. Pour plus d'informations sur la stratégie gérée, consultez le *Guide [ReadOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ReadOnlyAccess.html)de référence des politiques AWS gérées*. Si vous avez besoin d’une politique similaire qui n’accorde pas l’accès à la lecture des données dans les services de stockage, consultez [Fonction de tâche Utilisateur en affichage seul](#jf_view-only-user).

## Accès complet aux actions de service MCP
<a name="jf_mcp-service-actions"></a>

**AWS nom de la politique gérée : [AWSMcpServiceActionsFullAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSMcpServiceActionsFullAccess)**

**Cas d'utilisation :** cet utilisateur doit accéder aux AWS services via des serveurs AWS MCP. Cette politique n'accorde pas l'accès aux actions entreprises par un service MCP à d'autres AWS services.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique accorde l'autorisation d'appeler n'importe quelle action de service AWS MCP. Vous pouvez l'utiliser lorsque vous n'avez pas besoin de spécifier d'autorisations par service AWS MCP. Il n'accorde pas d'autorisations aux actions entreprises par le service MCP à d'autres AWS services. Ces autorisations doivent toujours être accordées séparément et en plus des actions du service MCP. Pour plus d'informations sur la stratégie gérée, consultez le *Guide [AWSMcpServiceActionsFullAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSMcpServiceActionsFullAccess.html)de référence des politiques AWS gérées*.

## Fonction de tâche Audit de sécurité
<a name="jf_security-auditor"></a>

**AWS nom de la politique gérée : [SecurityAudit](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/SecurityAudit)**

**Cas d'utilisation :** cet utilisateur surveille les comptes pour vérifier leur conformité aux exigences de sécurité. Il peut accéder aux journaux et aux événements pour rechercher des brèches de sécurité potentielles ou d'éventuelles activités malveillantes.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique accorde des autorisations pour consulter les données de configuration de nombreux AWS services et pour consulter leurs journaux. Pour plus d'informations sur la stratégie gérée, consultez le *Guide [SecurityAudit](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SecurityAudit.html)de référence des politiques AWS gérées*.

## Fonction de tâche Utilisateur support
<a name="jf_support-user"></a>

**AWS nom de la politique gérée : AWSSupport** [Access](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSSupportAccess)

**Cas d'utilisation :** cet utilisateur contacte le AWS Support, crée des dossiers d'assistance et consulte l'état des dossiers existants.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique accorde des autorisations pour créer et mettre à jour Support des dossiers. Pour plus d'informations sur la politique gérée, consultez le *Guide de référence [AWSSupportAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/AWSSupportAccess.html) in AWS Managed Policy*.

## Fonction de tâche Administrateur système
<a name="jf_system-administrator"></a>

**AWS nom de la politique gérée : [SystemAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/SystemAdministrator)**

**Cas d'utilisation :** cet utilisateur configure et gère les ressources pour les opérations de développement.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique accorde des autorisations pour créer et gérer des ressources sur une grande variété de AWS services AWS CloudTrail, notamment Amazon CloudWatch, AWS CodeCommit, AWS CodeDeploy, AWS Config, AWS Directory Service,, Amazon EC2,, Gestion des identités et des accès AWS, AWS Key Management Service, AWS Lambda Amazon RDS, Route 53, Amazon S3, Amazon SES, Amazon SQS et AWS Trusted Advisor Amazon VPC. Pour plus d'informations sur la stratégie gérée, consultez le *Guide [SystemAdministrator](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/SystemAdministrator.html)de référence des politiques AWS gérées*.

Cette fonction nécessite la capacité de transmettre des rôles aux AWS services. Elle accorde `iam:GetRole` et `iam:PassRole` seulement pour les rôles nommés dans le tableau suivant. Pour plus d'informations, consultez [Création des rôles et association des politiques (console)](access_policies_job-functions_create-policies.md) plus loin dans cette rubrique. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).


| Cas d’utilisation | Nom de rôle (\$1 correspond à un caractère générique) | Type de rôle de service à sélectionner | AWS politique gérée à sélectionner | 
| --- | --- | --- | --- | 
| Autoriser les applications s'exécutant dans des instances EC2 d'un cluster Amazon ECS à accéder à Amazon ECS | [ecr-sysadmin-\$1](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html) | Rôle Amazon EC2 pour EC2 Container Service  | [EC2ContainerServiceforEC2Rôle Amazon](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role) | 
| Permettre à un utilisateur de surveiller des bases de données | [rds-monitoring-role](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Monitoring.OS.html) | Rôle Amazon RDS pour la surveillance améliorée | [AmazonRDSEnhancedMonitoringRole](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AmazonRDSEnhancedMonitoringRole) | 
| Autorisez les applications exécutées dans des instances EC2 à accéder aux AWS ressources. | [ec2-sysadmin-\$1](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) | Amazon EC2 | Exemple de politique de rôle qui accorde l’accès à un compartiment S3, comme illustré dans le [Guide de l’utilisateur Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html) ; à personnaliser en fonction des besoins | 
| Autoriser Lambda à lire les flux DynamoDB et à écrire dans les journaux CloudWatch  | [lambda-sysadmin-\$1](https://docs.aws.amazon.com/lambda/latest/dg/with-ddb.html) | AWS Lambda | [AWSLambdaRôle Dynamo DBExecution](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/service-role/AWSLambdaDynamoDBExecutionRole) | 

## Fonction de tâche Utilisateur en affichage seul
<a name="jf_view-only-user"></a>

**AWS nom de la politique gérée : [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess)**

**Cas d'utilisation :** cet utilisateur peut consulter la liste des AWS ressources et des métadonnées de base du compte pour tous les services. Il ne peut pas lire le contenu des ressources ou les metadonnées au-delà des informations de quotas et de listes des ressources.

**Mises à jour de la politique :** AWS maintient et met à jour cette politique. Pour obtenir un historique des modifications apportées à cette politique, affichez la politique dans la console IAM, puis choisissez l'onglet **Policy versions (Versions de politique**. Pour de plus amples informations sur les mises à jour de politique de fonction de tâche, veuillez consulter [Mises à jour des politiques AWS gérées pour les fonctions professionnelles](#security-iam-awsmanpol-jobfunction-updates).

**Description de la politique :** Cette politique accorde `List*``Describe*`,, `Get*``View*`, et `Lookup*` l'accès aux ressources pour les AWS services. Pour connaître les actions incluses dans cette politique pour chaque service, consultez [ViewOnlyAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess). Pour plus d'informations sur la stratégie gérée, consultez le *Guide [ViewOnlyAccess](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/ViewOnlyAccess.html)de référence des politiques AWS gérées*.

## Mises à jour des politiques AWS gérées pour les fonctions professionnelles
<a name="security-iam-awsmanpol-jobfunction-updates"></a>

Ces politiques sont toutes maintenues AWS et mises à jour pour inclure la prise en charge des nouveaux services et des nouvelles fonctionnalités au fur et à mesure qu'ils sont ajoutés par les AWS services. Elles ne peuvent pas être modifiées par les clients. Vous pouvez créer une copie de la politique, puis la modifier, mais cette copie n'est pas automatiquement mise à jour car elle AWS introduit de nouveaux services et opérations d'API.

Pour une politique de fonction de tâche, vous pouvez afficher l'historique des versions, ainsi que l'heure et la date de chaque mise à jour dans la console IAM. Pour cela, utilisez les liens sur cette page pour afficher les détails de la politique. Ensuite, choisissez l'onglet **Policy versions (Versions de politique)** pour afficher les versions. Cette page affiche les 25 dernières versions d'une politique. Pour afficher toutes les versions d'une politique, appelez la [get-policy-version](https://docs.aws.amazon.com/cli/latest/reference/iam/get-policy-version.html) AWS CLI commande ou l'opération [GetPolicyVersion](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetPolicyVersion.html)API.

**Note**  
Vous pouvez avoir jusqu'à cinq versions d'une politique gérée par le client, mais vous pouvez AWS conserver l'historique complet des versions des politiques AWS gérées.

# Création des rôles et association des politiques (console)
<a name="access_policies_job-functions_create-policies"></a>

Plusieurs des politiques répertoriées précédemment permettent de configurer des AWS services avec des rôles qui permettent à ces services d'effectuer des opérations en votre nom. Les politiques de fonctions professionnelles spécifient les noms de rôles exacts à utiliser ou incluent au moins un préfixe qui indique la première partie du nom qui peut être utilisé. Pour créer un de ces rôles, suivez les étapes de la procédure ci-dessous.

**Pour créer un rôle pour une Service AWS (console IAM)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).

1. Pour **Trusted entity** (Entité de confiance), choisissez **Service AWS**.

1. Pour **Service ou cas d’utilisation**, choisissez un service, puis choisissez le cas d’utilisation. Les cas d'utilisation sont définis par le service pour inclure la politique d'approbation nécessaire au service.

1. Choisissez **Suivant**.

1. Pour **Politiques d’autorisations**, les options dépendent du cas d’utilisation que vous avez sélectionné :
   + Si le service définit les autorisations pour le rôle, il n’est pas possible de sélectionner les politiques d’autorisation.
   + Choisissez parmi un ensemble limité de politiques d’autorisation.
   + Choisissez parmi toutes les politiques d’autorisation.
   + Ne sélectionnez aucune politique d’autorisation, créez les politiques une fois le rôle créé, puis attachez-les au rôle.

1. (Facultatif) Définissez une [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service.

   1. Ouvrez la section **Définir une limite des autorisations** et choisissez **Utiliser une limite des autorisations pour contrôler le nombre maximum d’autorisations de rôle**. 

      IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte.

   1. Sélectionnez la politique à utiliser comme limite d'autorisations.

1. Choisissez **Suivant**.

1. Pour **Nom du rôle**, les options dépendent du service :
   + Si le service définit le nom du rôle, vous ne pouvez pas modifier le nom du rôle.
   + Si le service définit un préfixe pour le nom du rôle, vous pouvez saisir un suffixe facultatif.
   + Si le service ne définit pas le nom du rôle, vous pouvez le nommer.
**Important**  
Lorsque vous nommez un rôle, notez ce qui suit :  
Les noms de rôles doivent être uniques au sein du Compte AWS vôtre et ne peuvent pas être rendus uniques au cas par cas.  
Par exemple, ne créez pas deux rôles nommés **PRODROLE** et **prodrole**. Lorsqu’un nom de rôle est utilisé dans une politique ou dans le cadre d’un ARN, le nom de rôle est sensible à la casse. Cependant, lorsqu’un nom de rôle apparaît aux clients dans la console, par exemple lors de la procédure d’ouverture de session, le nom de rôle est insensible à la casse.
Vous ne pouvez pas modifier le nom du rôle après sa création, car d’autres entités pourraient y faire référence.

1. (Facultatif) Pour **Description**, saisissez la description du rôle.

1. (Facultatif) Pour modifier les cas d’utilisation et les autorisations du rôle, dans les sections **Étape 1 : sélectionner les entités de confiance** ou **Étape 2 : ajouter des autorisations**, sélectionnez **Modifier**.

1. (Facultatif) Pour identifier, organiser ou rechercher le rôle, ajoutez des identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la section [Balises pour les Gestion des identités et des accès AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le Guide de l'*utilisateur d'IAM*.

1. Passez en revue les informations du rôle, puis choisissez **Create role** (Créer un rôle).

## Exemple 1 : Configuration d'un utilisateur en tant qu'administrateur de base de données (console)
<a name="jf_example_1"></a>

Cet exemple illustre les étapes nécessaires pour configurer Alice, un utilisateur IAM, en tant que [Database Administrator](access_policies_job-functions.md#jf_database-administrator) (Administrateur de base de données). Vous utilisez les informations dans la première ligne de la table de cette section et autorisez l'utilisateur à activer la surveillance d'Amazon RDS. Vous attachez la [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator)politique à l'utilisateur IAM d'Alice afin qu'il puisse gérer les services de base de données Amazon. Cette politique permet également à Alice de transmettre un rôle appelé `rds-monitoring-role` au service Amazon RDS qui autorise ce dernier à superviser les bases de données Amazon RDS en son nom.

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Choisissez **Politiques**, tapez **database** dans la zone de recherche, puis appuyez sur Entrée.

1. Sélectionnez le bouton radio correspondant à la **DatabaseAdministrator**politique, choisissez **Actions**, puis choisissez **Joindre**.

1. Dans la liste des utilisateurs, sélectionnez **Alice**, puis choisissez **Attacher la politique**. Alice peut désormais administrer des AWS bases de données. Cependant, pour permettre à Alice de surveiller ces bases de données, vous devez configurer le rôle du service.

1. Dans le panneau de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).

1. Choisissez le type de fonction du **AWS service** (Service ), puis **Amazon RDS**.

1. Sélectionnez le cas d'utilisation **Amazon RDS Role for Enhanced Monitoring**.

1. Amazon RDS définit les autorisations pour votre rôle. Choisissez **Suivant : Vérification** pour continuer.

1. Le nom du rôle doit être l'un de ceux spécifiés par la DatabaseAdministrator politique actuelle d'Alice. L'un de ces noms est **rds-monitoring-role**. Saisissez ceci pour le **Role name** (Nom du rôle).

1. (Facultatif) Dans le champ **Description du rôle**, saisissez la description du nouveau rôle.

1. Après avoir passé en revue les détails, choisissez **Créer un rôle**.

1. Alice peut désormais activer **RDS Enhanced Monitoring** (Surveillance améliorée RDS) dans la section **Monitoring** (Surveillance) de la console Amazon RDS. Par exemple, elle peut utiliser cette fonction lorsqu'elle crée une instance de base de données ou qu'elle crée un réplica en lecture, ou quand elle modifie une instance de base de données. Ils doivent saisir le nom du rôle qu'ils ont créé (rds-monitoring-role) dans le champ **Rôle de surveillance** lorsqu'ils définissent **Activer la surveillance améliorée** sur **Oui**. 

## Exemple 2 : Configuration d'un utilisateur en tant qu'administrateur réseau (console)
<a name="jf_example_2"></a>

Cet exemple montre les étapes nécessaires pour configurer Juan, un utilisateur IAM, en tant que [Administrateur réseau](access_policies_job-functions.md#jf_network-administrator). Il utilise les informations de la table de cette section pour autoriser Juan à superviser le trafic IP entrant et sortant d'un VPC. Cela permet également à Jorge de capturer ces informations dans les journaux de CloudWatch Logs. Vous attachez la [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator)politique à l'utilisateur IAM de Jorge afin qu'il puisse configurer les ressources AWS réseau. Cette politique permet également à Juan de transmettre un rôle dont le nom commence par `flow-logs*` à Amazon EC2 lorsque vous créez un journal de flux. Dans ce scénario, à la différence de l'exemple 1, il n'y a aucun type de rôle de service prédéfini. Vous devez donc procéder différemment pour certaines étapes.

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **Politiques**, puis saisissez **network** dans la zone de recherche et appuyez sur Entrée.

1. Sélectionnez le bouton radio à côté de **NetworkAdministrator**la politique, choisissez **Actions**, puis choisissez **Joindre**.

1. Dans la liste des utilisateurs, cochez la case en regard de **Juan**, puis choisissez **Attacher la politique**. Jorge peut désormais administrer les ressources AWS du réseau. Cependant, pour activer la surveillance du trafic IP dans votre VPC, vous devez configurer le rôle de service.

1. Comme le rôle de service à créer n'a pas de politique gérée prédéfinie, il doit d'abord être créé. Dans le panneau de navigation, sélectionnez **Politicies** (Politiques), puis **Create policy** (Créer une politique).

1. Dans la section **Éditeur de politiques**, choisissez l'option **JSON** et copiez le texte du document de stratégie JSON suivant. Collez ce texte dans la zone de texte **JSON**. 

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Action": [
           "logs:CreateLogGroup",
           "logs:CreateLogStream",
           "logs:PutLogEvents",
           "logs:DescribeLogGroups",
           "logs:DescribeLogStreams"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
     ]
   }
   ```

------

1.  Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la [validation de la politique](access_policies_policy-validator.md), puis choisissez **Suivant**. 
**Note**  
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l'éditeur **visuel**, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter [Restructuration de politique](troubleshoot_policies.md#troubleshoot_viseditor-restructure).

1. Sur la page **Vérifier et créer**, tapez **vpc-flow-logs-policy-for-service-role** pour le nom de la politique. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique, puis choisissez **Créer une politique** pour enregistrer votre travail.

   La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée.

1. Dans le panneau de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).

1. Choisissez le type de fonction du **AWS service** (Service ), puis **Amazon EC2**.

1. Sélectionnez le cas d'utilisation **Amazon EC2**.

1. Sur la page **Joindre des politiques d'autorisation**, choisissez la politique que vous avez créée précédemmentfor-service-role, **vpc-flow-logs-policy-**, puis choisissez **Suivant : Réviser**.

1. Le nom du rôle doit être autorisé par la NetworkAdministrator politique actuelle de Jorge. Tout nom qui commence par `flow-logs-` est autorisé. Pour cet exemple, saisissez **flow-logs-for-jorge** comme **Role name** (Nom du rôle).

1. (Facultatif) Dans le champ **Description du rôle**, saisissez la description du nouveau rôle.

1. Après avoir passé en revue les détails, choisissez **Créer un rôle**.

1. Vous pouvez désormais configurer la politique d'approbation nécessaire pour ce scénario. Sur la page **Rôles**, choisissez le **flow-logs-for-jorge**rôle (le nom, pas la case à cocher). Sur la page des détails de votre nouveau rôle, choisissez l'onglet **Relations d'approbation**, puis choisissez **Modifier la relation d'approbation**.

1. Modifier la ligne « Service » comme suit, en remplaçant l'entrée pour `ec2.amazonaws.com` :

   ```
           "Service": "vpc-flow-logs.amazonaws.com"
   ```

1. Juan peut désormais créer des journaux de flux pour un VPC ou un sous-réseau dans la console Amazon EC2. Lorsque vous créez le journal de flux, spécifiez le **flow-logs-for-jorge**rôle. Ce rôle dispose des autorisations pour créer le journal et y consigner des données.