Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les autorisations

Dans le cadre du processus d'intégration des fonctionnalités, vous devrez enregistrer des politiques auprès d'IAM qui définissent les autorisations que vous souhaitez demander pour les comptes des clients AWS . Le processus d'enregistrement fournit une expérience plus cohérente aux clients et permet d'éviter les écueils courants lors de la rédaction de politiques.

Lors de l'inscription, AWS évalue vos politiques par rapport à un ensemble de validations. Ces validations visent à normaliser le format et la structure des politiques et à fournir des protections de base contre les anti-modèles connus. Les validations réduisent également le risque d'augmentation des privilèges, d'accès croisé involontaire et d'accès étendu à des ressources de grande valeur dans les comptes clients.

Types d'autorisations

AWS prendra en compte deux catégories d'autorisations : les autorisations temporaires et les autorisations à long terme.

Autorisations temporaires

Les autorisations temporaires limitent les autorisations attribuées à toute session d'accès délégué temporaire. Les autorisations temporaires sont décrites dans les modèles de politique appliqués à la session déléguée. Les modèles prennent en charge les paramètres que vous fournissez lorsque vous créez une demande de délégation. Ces valeurs de paramètres sont ensuite liées à la session. Les autorisations temporaires fonctionnent de la même manière que les politiques de session disponibles AWS STS aujourd'hui : les politiques limitent les capacités de l'utilisateur sous-jacent, mais n'accordent aucun accès supplémentaire. Pour plus d'informations, consultez la AWS STS documentation sur les politiques de session.

Autorisations à long terme

Les autorisations à long terme limitent les autorisations de tous les rôles créés ou gérés via un accès temporaire. Les autorisations à long terme sont mises en œuvre sous forme de limites d'autorisations IAM. Vous pouvez soumettre une ou plusieurs limites d'autorisation dans AWS le cadre de l'intégration. Une fois approuvé, AWS il partagera avec vous un ARN de politique que vous pourrez référencer dans vos politiques.

Ces politiques de délimitation présentent deux caractéristiques remarquables. Tout d'abord, ils sont immuables. Si vous souhaitez mettre à jour les autorisations, vous pouvez enregistrer une nouvelle limite d'autorisations. Vous pouvez ensuite associer la nouvelle limite d'autorisations aux rôles de vos clients en envoyant une nouvelle demande de délégation. Deuxièmement, les politiques ne sont pas modélisées. Étant donné que la même politique de limites est partagée dans le monde entier, elle ne peut pas être modifiée pour chaque client.

Exemple de cas d'utilisation : charge de travail liée au traitement des données

Prenons l'exemple d'un fournisseur de produits qui gère une charge de travail de traitement des données dans les comptes clients. Le fournisseur doit mettre en place une infrastructure lors de l'intégration initiale, mais il a également besoin d'un accès continu pour gérer la charge de travail.

Autorisations temporaires (pour la configuration initiale) :

Autorisations à long terme (rôle IAM avec limite d'autorisation pour les opérations en cours) :

Les autorisations temporaires sont utilisées une seule fois lors de l'intégration pour configurer l'infrastructure. Le rôle IAM créé au cours de ce processus possède une limite d'autorisation qui limite ses autorisations maximales aux seules opérations nécessaires à la gestion continue de la charge de travail. Cela garantit que même si les politiques du rôle sont modifiées, celui-ci ne peut pas dépasser les autorisations définies dans la limite.