Directives pour l'évaluation des politiques - AWS Identity and Access Management
Validations communesRestrictions relatives aux services sensibles à la sécuritéRestrictions spécifiques à l'IAMAWS STS-restrictions spécifiquesRestrictions relatives au centre d'identité IAMAWS Organisations : restrictionsValidations supplémentaires spécifiques au serviceExigences relatives à l'accès entre comptes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Directives pour l'évaluation des politiques

AWS évaluera les politiques que vous avez soumises par rapport à un ensemble de directives. Les mêmes directives d'évaluation s'appliquent à la fois aux modèles de politiques et aux limites d'autorisation, des différences mineures étant notées le cas échéant.

À des fins d'évaluation, nous séparons les services en groupes distincts. La distinction la plus importante concerne les services sensibles à la sécurité, qui gèrent l'accès, les informations d'identification et les clés. Les politiques garantissant l'accès à ces services doivent être étroitement axées sur le travail effectué. Les services sensibles en termes de sécurité incluent les suivants : AWS Identity and Access Management (IAM) AWS , Key Management Service (KMS), Resource Access AWS Manager (RAM), AWS IAM Identity Center, AWS Organizations et Secrets Manager. AWS

Une distinction secondaire concerne les services qui peuvent accéder aux données au-delà des limites du compte. Les politiques relatives à ces services doivent inclure des protections pour empêcher tout accès involontaire entre comptes.

Validations communes

Toutes les déclarations de politique doivent suivre les directives suivantes :

  • Toutes les déclarations doivent inclure les champs Effet, Action (ou NotAction), Ressource et Condition dans cet ordre

  • Toutes les actions contenues dans une seule déclaration doivent être répertoriées par ordre alphabétique

  • Tous les éléments ARNs inclus dans la politique doivent suivre la syntaxe définie dans la documentation publique pour les services concernés

  • NotAction les champs ne peuvent être utilisés que dans les instructions Deny

  • Les actions figurant dans les instructions Allow doivent inclure un code de service. Les caractères génériques (« * ») ne sont pas autorisés

Restrictions relatives aux services sensibles à la sécurité

Les restrictions suivantes s'appliquent aux services sensibles à la sécurité mentionnés ci-dessus :

  • Les actions dans les instructions Allow doivent être plus spécifiques que dans [service] :*

  • Les actions figurant dans les instructions Allow pour les modèles de politique d'accès temporaire ne doivent pas contenir de caractères génériques

  • Les actions sensibles, telles que iam : PassRole ou iam :CreateServiceLinkedRole, nécessitent un périmètre supplémentaire, tel que des ressources spécifiques ou des contrôles conditionnels. Ces actions incluent :

    • Transfert de rôle IAM

    • Actions de modification du rôle IAM

    • Actions de modification de la politique IAM

    • AWS Opérations d'écriture ou de chiffrement KMS

    • AWS Opérations d'écriture ou de partage de RAM

    • AWS Opérations du Gestionnaire de secrets pour récupérer ou modifier des secrets, ou modifier des politiques de ressources

  • D'autres actions peuvent utiliser une ressource générique, telle que iam : ListUsers ou iam : GetPolicy

  • Les actions qui gèrent les informations d'identification, telles que iam :CreateAccessKey, sont bloquées

Restrictions spécifiques à l'IAM

Pour IAM :

  • Seules des opérations d'écriture limitées sont autorisées pour les rôles et les politiques IAM. Vous ne pouvez pas demander d'autorisations sur d'autres ressources IAM telles que les utilisateurs, les groupes et les certificats.

  • Les actions d'attachement aux politiques ou de gestion des politiques en ligne sont limitées aux rôles dotés d'une limite d'autorisation. Les limites d'autorisation doivent être fournies par le partenaire ou figurer sur une liste de politiques AWS gérées autorisées. AWS les politiques gérées peuvent être autorisées si elles n'accordent pas d'autorisations hautement privilégiées ou administratives. Par exemple, les politiques AWS gérées pour des fonctions professionnelles spécifiques ou la SecurityAudit politique peuvent être acceptables. AWS examinera chaque politique AWS gérée sur une case-by-case base spécifique au cours du processus d'intégration.

  • La gestion des politiques n'est autorisée que pour les politiques ayant un chemin spécifique au partenaire : arn:aws:iam : :@ {} :policy/partner_domain.com/ [feature] * AccountId

  • Les balises ne peuvent être appliquées que lors de la création de ressources, et uniquement pour les rôles et les politiques

  • iam : PassRole les chèques doivent correspondre à un nom ou à un préfixe de chemin spécifique

AWS STS-restrictions spécifiques

Pour AWS STS :

  • sts : AssumeRole doit être limité à un rôle (ARN), à un préfixe d'ARN de rôle spécifique, ou limité à un ensemble de comptes ou à une unité organisationnelle ID/organizational

Restrictions relatives au centre d'identité IAM

Pour AWS IAM Identity Center, les actions suivantes sont bloquées :

  • Toutes les actions relatives à la gestion des autorisations (par exemple, sso :AttachCustomerManagedPolicyReferenceToPermissionSet)

  • Modifications apportées aux utilisateurs, aux groupes et aux membres pour AWS Identity Store

  • Gestion des balises

AWS Organisations : restrictions

Pour AWS les Organisations, seules les actions de lecture seront autorisées.

Validations supplémentaires spécifiques au service

  • Les actions qui acquièrent des secrets ou des informations d'identification, telles que glue : GetConnection ou redshift :GetClusterCredentials, doivent avoir des conditions correspondant à la totalité ARNs, aux préfixes ARN ou aux balises

  • Pour Amazon Redshift : redshift : n'GetClusterCredentials est autorisé que sur un nom de base de données spécifique, et redshift : GetClusterCredentialsWith IAM n'est autorisé que sur un nom de groupe de travail spécifique

Note

Lorsque vous gérez les ressources IAM du compte, nous vous recommandons d'utiliser un chemin indiquant votre nom, par exemple arn:aws:iam : :111122223333 :. role/partner.com/rolename Cela permettra de différencier les ressources associées à votre intégration et de faciliter la découverte, l'audit et l'analyse pour les clients.

Exigences relatives à l'accès entre comptes

Les instructions susceptibles d'autoriser l'accès entre comptes doivent inclure au moins l'un des éléments suivants :

  • Une condition spécifiant le compte ou l'organisation de la ressource (par exemple, aws : ResourceOrgId correspondant à une ou plusieurs valeurs attendues)

  • Un champ de ressource qui inclut un compte spécifique (par exemple, arn:aws:sqs : *:111122223333 : *)

  • Un champ de ressource qui inclut un compte non générique et le nom complet de la ressource (par exemple, arn:aws:s3 : full-bucket-name

Note

L'accès entre comptes est une fonctionnalité sensible qui nécessite une justification commerciale claire. AWS examinera attentivement la nécessité d'un accès entre comptes lors du processus d'intégration.