Niveaux d'accès dans les récapitulatifs de politique
AWSRécapitulatif des niveaux d'accès
Les récapitulatifs de politique comprennent un récapitulatif de niveau d'accès décrivant les autorisations d'action définies pour chaque service mentionné dans la politique. Pour en savoir plus sur les récapitulatifs de politiques, consultez Récapitulatifs de la politique. Les récapitulatifs de niveau d'accès indiquent si les actions dans chaque niveau d'accès (List, Read, Tagging, Write, et Permissions
management) ont des autorisations Full ou Limited définies dans la politique. Pour afficher la classification des niveaux d'accès affectée à chaque action d'un service, consultez Actions, ressources et clés de condition pour les services AWS.
L'exemple suivant illustre l'accès fourni par une politique pour les services donnés. Pour consulter des exemples de documents de politique JSON complets et les récapitulatifs associés, consultez Exemples de récapitulatifs de la politique.
| Service | Niveau d’accès | Cette politique fournit les autorisations suivantes : |
|---|---|---|
| IAM | Accès complet | Accès à toutes les actions au sein du service IAM. |
| CloudWatch | Complet : List (Liste) | Accès à toutes les actions CloudWatch dans le niveau d'accès List, mais aucun accès aux actions avec la classification de niveau d'accès Read, Write ou Permissions
management. |
| Data Pipeline | Limité : List (Liste), Read (Lire) | Accès à au moins une action AWS Data Pipeline, mais pas à toutes, dans les niveaux d'accès List et Read, mais pas aux actions Write ni Permissions
management |
| EC2 | Complet : List (Liste), Read (Lire) Limité : Write (Écrire) | Accès à toutes les actions Amazon EC2 List et Read, et accès à au moins une action Amazon EC2 Write, mais à pas toutes, mais aucun accès aux actions ayant la classification de niveau d'accès Permissions management. |
| S3 | Limité : Read (Lire), Write (Écrire), Permissions management (Gestion des autorisations) | Accès à au moins une action Amazon S3 Read, Write et Permissions management, mais pas toutes à la fois. |
| CodeDeploy | (empty) | Accès inconnu, car IAM ne reconnaît pas ce service. |
| API Gateway | Aucune | Aucun accès n'est défini dans la politique. |
| CodeBuild |
Aucune action n'est définie. |
Aucun accès, car aucune action n'est définie pour le service. Pour comprendre et corriger ce problème, veuillez consulter Ma politique n'accorde pas les autorisations escomptées. |
Dans le récapitulatif d’une politique, Accès complet indique que la politique donne accès à toutes les actions au sein du service. Les politiques permettant l'accès à certaines, mais pas à l'ensemble des actions contenues dans un service sont regroupées en fonction de la classification de niveau d'accès. Cela est indiqué par un des regroupements de niveaux d'accès suivants :
-
Complet : La politique fournit un accès complet à toutes les actions contenues dans la classification de niveau d'accès spécifiée.
-
Limité : La politique fournit un accès à une ou plusieurs actions, mais pas à l'ensemble des actions contenues dans la classification de niveau d'accès spécifiée.
-
Aucun : La politique ne fournit aucun accès.
-
(vide) : IAM ne reconnaît pas ce service. Si le nom du service comprend une faute de frappe, la politique ne fournit aucun accès au service. Si le nom du service est correct, il se peut que le service ne prenne pas en charge les récapitulatifs de politique ou qu'il soit en mode aperçu. Dans ce cas, la politique peut accorder l'accès, mais celui-ci ne peut pas être affiché dans le récapitulatif de la politique. Pour demander la prise en charge du récapitulatif de politique d'un service disponible pour tous (GA), consultez Le service ne prend pas en charge les récapitulatifs de politique IAM.
Les récapitulatifs de niveau d'accès qui comprennent l'accès limité (partiel) à des actions sont regroupés grâce aux classification de niveau d'accès AWS List, Read, Tagging, Write ou Permissions management.
AWSNiveaux d'accès
AWS définit les classifications de niveau d'accès suivantes pour les actions d'un service :
-
List (Liste) : Autorisation de répertorier les ressources au sein du service afin de déterminer si un objet existe. Les actions associées à ce niveau d'accès peuvent répertorier les objets mais ne peuvent pas voir le contenu d'une ressource. Par exemple, l'action
ListBucketAmazon S3 possède le niveau d'accès List (Liste). -
Read (Lire) : Autorisation de lire le contenu et les attributs de ressources dans le service, mais pas de les modifier. Par exemple, les actions Amazon S3
GetObjectetGetBucketLocationpossèdent le niveau d'accès Read (Lecture). -
Balisage : Autorisation d'effectuer des actions qui modifient uniquement l'état des balises de ressource. Par exemple, les actions IAM
TagRoleetUntagRoleont le niveau d'accès Tagging (Balisage), car elles autorisent uniquement le balisage ou l'annulation du balisage d'un rôle. Cependant, l'actionCreateRoleautorise le balisage d'une ressource de rôle lorsque vous créez ce rôle. Étant donné que l'action n'ajoute pas uniquement une balise, elle possède le niveau d'accèsWrite. -
Write (Écrire) : autorisation de créer, supprimer ou modifier des ressources du service. Par exemple, les actions Amazon S3
CreateBucketDeleteBucketetPutObjectpossèdent le niveau d'accès Write (Écriture). Les actionsWritepeuvent également autoriser la modification d'une balise de ressource. Toutefois, une action qui autorise uniquement les modifications des balises possède le niveau d'accèsTagging. -
Gestion des autorisations : la gestion des autorisations désigne les actions qui contrôlent l’accès au sein des Services AWS, y compris les autorisations d’identité IAM et non IAM, mais exclut les contrôles d’accès au niveau du réseau tels que les groupes de sécurité. Par exemple, la plupart des actions IAM et AWS Organizations, ainsi que les actions Amazon S3
PutBucketPolicyetDeleteBucketPolicy, sont associées au niveau d’accès Gestion des autorisations.Conseil
Afin d'améliorer la sécurité de votre Compte AWS, nous vous conseillons de restreindre ou de surveiller régulièrement les politiques dotées de la classification de niveau d'accès Permissions management (Gestion des autorisations).
Pour afficher la classification des niveaux d'accès de toutes les actions d'un service, consultez Actions, ressources et clés de condition pour les services AWS.
