Création des rôles et association des politiques (console) - AWS Identity and Access Management
Exemple 1 : Configuration d'un utilisateur en tant qu'administrateur de base de données (console)Exemple 2 : Configuration d'un utilisateur en tant qu'administrateur réseau (console)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création des rôles et association des politiques (console)

Plusieurs des politiques répertoriées précédemment permettent de configurer des AWS services avec des rôles qui permettent à ces services d'effectuer des opérations en votre nom. Les politiques de fonctions professionnelles spécifient les noms de rôles exacts à utiliser ou incluent au moins un préfixe qui indique la première partie du nom qui peut être utilisé. Pour créer un de ces rôles, suivez les étapes de la procédure ci-dessous.

Pour créer un rôle pour une Service AWS (console IAM)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

  3. Pour Trusted entity (Entité de confiance), choisissez Service AWS.

  4. Pour Service ou cas d’utilisation, choisissez un service, puis choisissez le cas d’utilisation. Les cas d'utilisation sont définis par le service pour inclure la politique d'approbation nécessaire au service.

  5. Choisissez Suivant.

  6. Pour Politiques d’autorisations, les options dépendent du cas d’utilisation que vous avez sélectionné :

    • Si le service définit les autorisations pour le rôle, il n’est pas possible de sélectionner les politiques d’autorisation.

    • Choisissez parmi un ensemble limité de politiques d’autorisation.

    • Choisissez parmi toutes les politiques d’autorisation.

    • Ne sélectionnez aucune politique d’autorisation, créez les politiques une fois le rôle créé, puis attachez-les au rôle.

  7. (Facultatif) Définissez une limite d'autorisations. Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service.

    1. Ouvrez la section Définir une limite des autorisations et choisissez Utiliser une limite des autorisations pour contrôler le nombre maximum d’autorisations de rôle.

      IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte.

    2. Sélectionnez la politique à utiliser comme limite d'autorisations.

  8. Choisissez Suivant.

  9. Pour Nom du rôle, les options dépendent du service :

    • Si le service définit le nom du rôle, vous ne pouvez pas modifier le nom du rôle.

    • Si le service définit un préfixe pour le nom du rôle, vous pouvez saisir un suffixe facultatif.

    • Si le service ne définit pas le nom du rôle, vous pouvez le nommer.

      Important

      Lorsque vous nommez un rôle, notez ce qui suit :

      • Les noms de rôles doivent être uniques au sein du Compte AWS vôtre et ne peuvent pas être rendus uniques au cas par cas.

        Par exemple, ne créez pas deux rôles nommés PRODROLE et prodrole. Lorsqu’un nom de rôle est utilisé dans une politique ou dans le cadre d’un ARN, le nom de rôle est sensible à la casse. Cependant, lorsqu’un nom de rôle apparaît aux clients dans la console, par exemple lors de la procédure d’ouverture de session, le nom de rôle est insensible à la casse.

      • Vous ne pouvez pas modifier le nom du rôle après sa création, car d’autres entités pourraient y faire référence.

  10. (Facultatif) Pour Description, saisissez la description du rôle.

  11. (Facultatif) Pour modifier les cas d’utilisation et les autorisations du rôle, dans les sections Étape 1 : sélectionner les entités de confiance ou Étape 2 : ajouter des autorisations, sélectionnez Modifier.

  12. (Facultatif) Pour identifier, organiser ou rechercher le rôle, ajoutez des identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la section Balises pour les AWS Identity and Access Management ressources dans le Guide de l'utilisateur d'IAM.

  13. Passez en revue les informations du rôle, puis choisissez Create role (Créer un rôle).

Exemple 1 : Configuration d'un utilisateur en tant qu'administrateur de base de données (console)

Cet exemple illustre les étapes nécessaires pour configurer Alice, un utilisateur IAM, en tant que Database Administrator (Administrateur de base de données). Vous utilisez les informations dans la première ligne de la table de cette section et autorisez l'utilisateur à activer la surveillance d'Amazon RDS. Vous attachez la DatabaseAdministratorpolitique à l'utilisateur IAM d'Alice afin qu'il puisse gérer les services de base de données Amazon. Cette politique permet également à Alice de transmettre un rôle appelé rds-monitoring-role au service Amazon RDS qui autorise ce dernier à superviser les bases de données Amazon RDS en son nom.

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Choisissez Politiques, tapez database dans la zone de recherche, puis appuyez sur Entrée.

  3. Sélectionnez le bouton radio correspondant à la DatabaseAdministratorpolitique, choisissez Actions, puis choisissez Joindre.

  4. Dans la liste des utilisateurs, sélectionnez Alice, puis choisissez Attacher la politique. Alice peut désormais administrer des AWS bases de données. Cependant, pour permettre à Alice de surveiller ces bases de données, vous devez configurer le rôle du service.

  5. Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

  6. Choisissez le type de fonction du AWS service (Service ), puis Amazon RDS.

  7. Sélectionnez le cas d'utilisation Amazon RDS Role for Enhanced Monitoring.

  8. Amazon RDS définit les autorisations pour votre rôle. Choisissez Suivant : Vérification pour continuer.

  9. Le nom du rôle doit être l'un de ceux spécifiés par la DatabaseAdministrator politique actuelle d'Alice. L'un de ces noms est rds-monitoring-role. Saisissez ceci pour le Role name (Nom du rôle).

  10. (Facultatif) Dans le champ Description du rôle, saisissez la description du nouveau rôle.

  11. Après avoir passé en revue les détails, choisissez Créer un rôle.

  12. Alice peut désormais activer RDS Enhanced Monitoring (Surveillance améliorée RDS) dans la section Monitoring (Surveillance) de la console Amazon RDS. Par exemple, elle peut utiliser cette fonction lorsqu'elle crée une instance de base de données ou qu'elle crée un réplica en lecture, ou quand elle modifie une instance de base de données. Ils doivent saisir le nom du rôle qu'ils ont créé (rds-monitoring-role) dans le champ Rôle de surveillance lorsqu'ils définissent Activer la surveillance améliorée sur Oui.

Exemple 2 : Configuration d'un utilisateur en tant qu'administrateur réseau (console)

Cet exemple montre les étapes nécessaires pour configurer Juan, un utilisateur IAM, en tant que Administrateur réseau. Il utilise les informations de la table de cette section pour autoriser Juan à superviser le trafic IP entrant et sortant d'un VPC. Cela permet également à Jorge de capturer ces informations dans les journaux de CloudWatch Logs. Vous attachez la NetworkAdministratorpolitique à l'utilisateur IAM de Jorge afin qu'il puisse configurer les ressources AWS réseau. Cette politique permet également à Jorge de transmettre un rôle dont le nom commence par flow-logs* à Amazon EC2 lorsque vous créez un journal de flux. Dans ce scénario, à la différence de l'exemple 1, il n'y a aucun type de rôle de service prédéfini. Vous devez donc procéder différemment pour certaines étapes.

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation, choisissez Politiques, puis saisissez network dans la zone de recherche et appuyez sur Entrée.

  3. Sélectionnez le bouton radio à côté de NetworkAdministratorla politique, choisissez Actions, puis choisissez Joindre.

  4. Dans la liste des utilisateurs, cochez la case en regard de Juan, puis choisissez Attacher la politique. Jorge peut désormais administrer les ressources AWS du réseau. Cependant, pour activer la surveillance du trafic IP dans votre VPC, vous devez configurer le rôle de service.

  5. Comme le rôle de service à créer n'a pas de politique gérée prédéfinie, il doit d'abord être créé. Dans le panneau de navigation, sélectionnez Politicies (Politiques), puis Create policy (Créer une politique).

  6. Dans la section Éditeur de politiques, choisissez l'option JSON et copiez le texte du document de stratégie JSON suivant. Collez ce texte dans la zone de texte JSON.

    JSON
    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogGroups",
        "logs:DescribeLogStreams"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

  7. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis choisissez Suivant.

    Note

    Vous pouvez basculer à tout moment entre les options des éditeurs visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l'éditeur visuel, IAM peut restructurer votre politique afin de l'optimiser pour l'éditeur visuel. Pour de plus amples informations, veuillez consulter Restructuration de politique.

  8. Sur la page Vérifier et créer, tapez vpc-flow-logs-policy-for-service-role pour le nom de la politique. Vérifiez les Autorisations définies dans cette politique pour voir les autorisations accordées par votre politique, puis choisissez Créer une politique pour enregistrer votre travail.

    La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée.

  9. Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

  10. Choisissez le type de rôle de AWS service, puis Amazon EC2.

  11. Choisissez le cas d' EC2utilisation d'Amazon.

  12. Sur la page Joindre des politiques d'autorisation, choisissez la politique que vous avez créée précédemmentfor-service-role, vpc-flow-logs-policy-, puis choisissez Suivant : Réviser.

  13. Le nom du rôle doit être autorisé par la NetworkAdministrator politique actuelle de Jorge. Tout nom qui commence par flow-logs- est autorisé. Pour cet exemple, saisissez flow-logs-for-jorge comme Role name (Nom du rôle).

  14. (Facultatif) Dans le champ Description du rôle, saisissez la description du nouveau rôle.

  15. Après avoir passé en revue les détails, choisissez Créer un rôle.

  16. Vous pouvez désormais configurer la politique d'approbation nécessaire pour ce scénario. Sur la page Rôles, choisissez le flow-logs-for-jorgerôle (le nom, pas la case à cocher). Sur la page des détails de votre nouveau rôle, choisissez l'onglet Relations d'approbation, puis choisissez Modifier la relation d'approbation.

  17. Modifier la ligne « Service » comme suit, en remplaçant l'entrée pour ec2.amazonaws.com :

            "Service": "vpc-flow-logs.amazonaws.com"

  18. Jorge peut désormais créer des journaux de flux pour un VPC ou un sous-réseau dans la console Amazon. EC2 Lorsque vous créez le journal de flux, spécifiez le flow-logs-for-jorgerôle. Ce rôle dispose des autorisations pour créer le journal et y consigner des données.