Amazon Monitron n'est plus ouvert aux nouveaux clients. Les clients existants peuvent continuer à utiliser le service normalement. Pour des fonctionnalités similaires à celles d'Amazon Monitron, consultez notre [article de blog](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron).
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans Amazon Monitron
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de centres de données et d'architectures réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité *du* cloud et la sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le AWS cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon Monitron, consultez la section [AWS Services concernés par programme de conformitéAWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences de votre entreprise, et la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation d'Amazon Monitron. Les rubriques suivantes expliquent comment configurer Amazon Monitron pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres AWS services qui vous aident à surveiller et à sécuriser vos ressources Amazon Monitron.
**Topics**
+ [Protection des données dans Amazon Monitron](data-protection.md)
+ [Identity and Access Management pour Amazon Monitron](security-iam.md)
+ [Journalisation et surveillance dans Amazon Monitron](monitron-logging.md)
+ [Validation de conformité pour Amazon Monitron](monitron-compliance.md)
+ [Sécurité de l'infrastructure dans Amazon Monitron](infrastructure-security.md)
+ [Bonnes pratiques de sécurité pour Amazon Monitron](security-best-practices.md)
# Protection des données dans Amazon Monitron
AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS services. AWS conserve le contrôle des données hébergées sur cette infrastructure, y compris les contrôles de configuration de sécurité pour le traitement du contenu client et des données personnelles. AWS les clients et les partenaires APN, agissant en tant que contrôleurs ou sous-traitants de données, sont responsables de toutes les données personnelles qu'ils placent dans le AWS Cloud.
À des fins de protection des données, nous vous recommandons de protéger les informations d'identification du AWS compte et de configurer les utilisateurs individuels avec Gestion des identités et des accès AWS (IAM), afin que chaque utilisateur ne dispose que des autorisations nécessaires pour accomplir ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole TLS (Transport Layer Security) pour communiquer avec les AWS ressources.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut au sein AWS des services.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données personnelles stockées dans Amazon S3.
Nous vous recommandons vivement de ne jamais placer d’informations identifiables sensibles, telles que les numéros de compte de vos clients, dans des champs de formulaire comme **Nom**. Cela inclut lorsque vous travaillez avec Amazon Monitron ou d'autres AWS services à l'aide de la console, de l'API ou. AWS CLI AWS SDKs Toutes les données que vous saisissez dans Amazon Monitron ou dans d'autres services peuvent être récupérées pour être incluses dans les journaux de diagnostic. Lorsque vous fournissez une URL à un serveur externe, n’incluez pas les informations d’identification non chiffrées dans l’URL pour valider votre demande adressée au serveur.
Pour en savoir plus sur la protection des données, consultez le billet de blog [Modèle de responsabilité partagée AWS et RGPD](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog sur la sécurité d’AWS *.
**Topics**
+ [Données au repos](data-at-rest.md)
+ [Données en transit](data-in-transit.md)
+ [AWS KMS et chiffrement des données dans Amazon Monitron](kms-data-encrypt.md)
# Données au repos
Vos données sont cryptées au repos dans le cloud à l'aide de l'un des deux types de clés via AWS Key Management Service (AWS KMS). Les données sont chiffrées dans Amazon Simple Storage Service (Amazon S3) à l'aide d'un. Clé détenue par AWS Amazon Monitron stocke également les données dans des tables d'Amazon DynamoDB. Par défaut, ils sont chiffrés à l'aide d'une clé CMK AWS détenue. Toutefois, si un client choisit des **paramètres de chiffrement personnalisés** lors de la configuration d'un projet, Amazon Monitron utilise une clé CMK gérée par le client.
Consultez également [Utiliser le chiffrement côté serveur pour le flux Kinesis](monitron-kinesis-export.md#data-export-server-side-encryption).
# Données en transit
Amazon Monitron utilise le protocole TLS (Transport Layer Security) pour chiffrer les données transférées entre vos capteurs et Amazon Monitron.
# AWS KMS et chiffrement des données dans Amazon Monitron
Amazon Monitron chiffre vos données et les informations relatives à vos projets à l'aide de l'un des deux types de clés suivants : (). AWS Key Management Service AWS KMS Vous pouvez choisir l'une des méthodes suivantes.
+ Un Clé détenue par AWS. Il s'agit de la clé de chiffrement par défaut qui est utilisée si vous ne choisissez pas **les paramètres de chiffrement personnalisés** lors de la configuration de votre projet.
+ Un client gérait CMK. Vous pouvez utiliser une clé existante dans votre AWS compte ou créer une clé dans la AWS KMS console ou à l'aide de l'API. Si vous utilisez une clé existante, **choisissez Choose an AWS KMS key**, puis choisissez une clé dans la liste des AWS KMS clés ou entrez le Amazon Resource Name (ARN) d'une autre clé. Si vous souhaitez créer une nouvelle clé, sélectionnez **Créer une AWS KMS clé**. Pour plus d’informations, consultez [Création des clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *Guide du développeur AWS Key Management Service *.
Lorsque vous utilisez AWS KMS le chiffrement de vos données, gardez à l'esprit les points suivants :
+ Vos données sont chiffrées au repos dans le cloud dans Amazon S3 et Amazon DynamoDB.
+ Lorsque les données sont chiffrées à l'aide d'une clé CMK AWS détenue, Amazon Monitron utilise une clé CMK distincte pour chaque client.
+ Les utilisateurs IAM doivent disposer des autorisations requises pour appeler les opérations d' AWS KMS API connectées à Amazon Monitron. Amazon Monitron inclut les autorisations suivantes dans sa politique gérée pour l'utilisation de la console.
```
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases",
"kms:CreateGrant"
],
"Resource": "*"
},
```
Pour de plus amples informations, veuillez consulter [Utilisation des stratégies IAM avec AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/iam-policies.html) dans le *Guide du développeur AWS Key Management Service *.
+ Si vous supprimez ou désactivez votre clé CMK, vous ne pourrez pas accéder aux données. Pour plus d'informations, consultez [la section Suppression AWS KMS keys](https://docs.aws.amazon.com/kms/latest/developerguide/deleting-keys.html) dans le *guide du AWS Key Management Service développeur*.
# Identity and Access Management pour Amazon Monitron
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon Monitron. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](security_iam_audience.md)
+ [Authentification avec des identités](security_iam_authentication.md)
+ [Gestion des accès à l’aide de politiques](security_iam_access-manage.md)
+ [Comment Amazon Monitron fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Utilisation de rôles liés à un service pour Amazon Monitron](using-service-linked-roles.md)
# Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes liés à l'identité et à l'accès à Amazon Monitron](security_iam_service-with-iam.md#security_iam_troubleshoot))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon Monitron fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité Amazon Monitron](security_iam_service-with-iam.md#security_iam_id-based-policy-examples))
# Authentification avec des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Compte AWS utilisateur root](security_iam_authentication-rootuser.md)
+ [Utilisateurs et groupes IAM](security_iam_authentication-iamuser.md)
+ [Rôles IAM](security_iam_authentication-iamrole.md)
# Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
# Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
# Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Gestion des accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
**Topics**
+ [politiques basées sur l’identité](security_iam_access-manage-id-based-policies.md)
+ [Autres types de politique](security_iam_access-manage-other-policies.md)
+ [Types de politique multiple](security_iam_access-manage-multiple-policies.md)
# politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
# Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
# Types de politique multiple
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Amazon Monitron fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à Amazon Monitron, vous devez connaître les fonctionnalités IAM disponibles avec Amazon Monitron. *Pour obtenir une vue d'ensemble de la manière dont Amazon Monitron et les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services That Work with IAM dans le guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
**Topics**
+ [Politiques basées sur l'identité d'Amazon Monitron](#security_iam_service-with-iam-id-based-policies)
+ [Politiques basées sur les ressources d'Amazon Monitron](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les tags Amazon Monitron](#security_iam_service-with-iam-tags)
+ [Rôles Amazon Monitron IAM](#security_iam_service-with-iam-roles)
+ [Exemples de politiques basées sur l'identité Amazon Monitron](#security_iam_id-based-policy-examples)
+ [Résolution des problèmes liés à l'identité et à l'accès à Amazon Monitron](#security_iam_troubleshoot)
## Politiques basées sur l'identité d'Amazon Monitron
Pour spécifier les actions et les ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées, utilisez les politiques basées sur l'identité IAM. Amazon Monitron prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Actions](#security_iam_service-with-iam-id-based-policies-actions)
+ [Ressources](#security_iam_service-with-iam-id-based-policies-resources)
+ [Clés de condition](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemples](#security_iam_service-with-iam-id-based-policies-examples)
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Dans Amazon Monitron, les actions politiques utilisent le préfixe suivant avant l'action : `monitron:` Par exemple, pour autoriser quelqu'un à créer un projet avec l'`CreateProject`opération Amazon Monitron, vous devez inclure l'`monitron:CreateProject`action dans sa politique. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. Amazon Monitron définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
**Note**
Pour effectuer cette `deleteProject` opération, vous devez disposer des autorisations AWS IAM Identity Center (SSO) nécessaires à la suppression. Sans ces autorisations, la fonctionnalité de suppression supprimera tout de même le projet. Cependant, cela ne supprimera pas les ressources du SSO et vous risquez de vous retrouver avec des références en suspens sur le SSO.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"monitron:action1",
"monitron:action2"
]
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `List`, incluez l’action suivante :
```
"Action": "monitron:List*"
```
### Ressources
Amazon Monitron ne prend pas en charge la spécification de ressources ARNs dans une politique.
### Clés de condition
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Amazon Monitron définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour obtenir la liste de toutes les clés de condition AWS globales, voir Clés [contextuelles de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour consulter la liste des clés de condition Amazon Monitron, consultez la section [Actions définies par Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-actions-as-permissions) dans *le guide de l'*utilisateur IAM. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Clés de condition pour Amazon Monitron](https://docs.aws.amazon.com//service-authorization/latest/reference/list_amazonmonitron.html#amazonmonitron-policy-keys).
### Exemples
Pour consulter des exemples de politiques basées sur l'identité d'Amazon Monitron, consultez. [Exemples de politiques basées sur l'identité Amazon Monitron](#security_iam_id-based-policy-examples)
## Politiques basées sur les ressources d'Amazon Monitron
Amazon Monitron ne prend pas en charge les politiques basées sur les ressources.
## Autorisation basée sur les tags Amazon Monitron
Vous pouvez associer des balises à certains types de ressources Amazon Monitron à des fins d'autorisation. Pour contrôler l'accès en fonction des balises, fournissez les informations relatives aux balises dans l'[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d'une politique à l'aide des clés `Amazon Monitron:TagResource/${TagKey}``aws:RequestTag/${TagKey}`, ou de `aws:TagKeys` condition.
## Rôles Amazon Monitron IAM
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité de votre AWS compte qui dispose d'autorisations spécifiques.
### Utilisation d'informations d'identification temporaires avec Amazon Monitron
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Amazon Monitron prend en charge l'utilisation d'informations d'identification temporaires.
### Rôles liés à un service
Les [rôles liés aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Amazon Monitron prend en charge les rôles liés aux services.
### Rôles de service
Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
Amazon Monitron prend en charge les rôles de service.
## Exemples de politiques basées sur l'identité Amazon Monitron
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou à modifier les ressources Amazon Monitron. Ils ne peuvent pas non plus effectuer de tâches à l'aide du AWS Management Console. Un administrateur IAM doit accorder des autorisations aux utilisateurs, groupes ou rôles IAM qui en ont besoin. Ces utilisateurs, groupes ou rôles peuvent ensuite effectuer les opérations spécifiques sur les ressources spécifiques dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.
Pour savoir comment créer une stratégie IAM basée sur l'identité à l'aide de ces exemples de documents de stratégie JSON, veuillez consulter [Création de stratégies dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console Amazon Monitron](#security_iam_id-based-policy-examples-console)
+ [Exemple : Répertorier tous les projets Amazon Monitron](#security_iam_id-based-policy-examples-access-one-bucket)
+ [Exemple : Répertorier les projets Amazon Monitron en fonction de balises](#security_iam_id-based-policy-examples-view-widget-tags)
### Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer les ressources Amazon Monitron de votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
### Utilisation de la console Amazon Monitron
Pour configurer Amazon Monitron à l'aide de la console, veuillez effectuer le processus de configuration initiale en utilisant un utilisateur doté de privilèges élevés (par exemple, un utilisateur auquel est attachée la politique `AdministratorAccess` gérée).
Pour accéder à la console Amazon Monitron pour les day-to-day opérations après la configuration initiale, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les informations relatives aux ressources Amazon Monitron de votre AWS compte et inclure un ensemble d'autorisations liées à IAM Identity Center. Si vous créez une politique basée sur l'identité qui est plus restrictive que ces autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles IAM) dotées de cette politique. Pour bénéficier des fonctionnalités de base de la console Amazon Monitron, vous devez joindre la politique `AmazonMonitronFullAccess` gérée. Selon les circonstances, vous pouvez également avoir besoin d'autorisations supplémentaires pour accéder au service Organizations et SSO. Contactez le AWS support si vous avez besoin de plus d'informations.
### Exemple : Répertorier tous les projets Amazon Monitron
Cet exemple de politique accorde à un utilisateur IAM de votre AWS compte l'autorisation de répertorier tous les projets de votre compte.
### Exemple : Répertorier les projets Amazon Monitron en fonction de balises
Vous pouvez utiliser les conditions de votre politique basée sur l'identité pour contrôler l'accès aux ressources Amazon Monitron en fonction de balises. Cet exemple montre comment créer une politique permettant de répertorier des projets. Toutefois, l'autorisation n'est accordée que si la balise du projet `location` a la valeur de`Seattle`. Cette politique accorde également les autorisations nécessaires pour réaliser cette action sur la console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListProjectsInConsole",
"Effect": "Allow",
"Action": "monitron:ListProjects",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/location": "Seattle"
}
}
}
]
}
```
------
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
## Résolution des problèmes liés à l'identité et à l'accès à Amazon Monitron
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon Monitron et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Amazon Monitron](#security_iam_troubleshoot-no-permissions)
+ [Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon Monitron](#security_iam_troubleshoot-cross-account-access)
### Je ne suis pas autorisé à effectuer une action dans Amazon Monitron
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `monitron:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: monitron:GetWidget on resource: my-example-widget
```
Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `monitron:GetWidget`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
### Je souhaite autoriser des personnes extérieures à mon AWS compte à accéder à mes ressources Amazon Monitron
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon Monitron prend en charge ces fonctionnalités, consultez. [Comment Amazon Monitron fonctionne avec IAM](#security_iam_service-with-iam)
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utilisation de rôles liés à un service pour Amazon Monitron
[Amazon Monitron utilise des rôles liés à un Gestion des identités et des accès AWS service (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon Monitron. Les rôles liés à un service sont prédéfinis par Amazon Monitron et incluent toutes les autorisations requises par le service pour appeler AWS d'autres services en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon Monitron, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon Monitron définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon Monitron peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Pour plus d’informations sur les autres services prenant en charge les rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services présentant la mention **Oui** dans la colonne **Rôles liés à un service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
**Topics**
+ [Autorisations de rôle liées à un service pour Amazon Monitron](slr-permissions.md)
+ [Création d'un rôle lié à un service pour Amazon Monitron](create-slr.md)
+ [Modification d'un rôle lié à un service pour Amazon Monitron](edit-slr.md)
+ [Supprimer un rôle lié à un service pour Amazon Monitron](delete-slr.md)
+ [Régions prises en charge pour les rôles liés aux services Amazon Monitron](slr-regions.md)
+ [AWS politiques gérées pour Amazon Monitron](monitron-managed-policies.md)
+ [Amazon Monitron met à jour les politiques gérées AWS](managed-policy-updates.md)
# Autorisations de rôle liées à un service pour Amazon Monitron
Amazon Monitron utilise le rôle lié au service nommé **AWSServiceRoleForMonitron[\$1 \$1SUFFIX\$1], utilisé par Amazon** Monitron AWSService RoleForMonitron pour accéder à d'autres AWS services, notamment Cloudwatch Logs, Kinesis Data Streams, les clés KMS et le SSO. Pour plus d'informations sur la politique, consultez [AWSServiceRoleForMonitronPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForMonitronPolicy.html)le *Guide de référence des politiques AWS gérées*
Le rôle lié au service AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] fait confiance aux services suivants pour assumer le rôle :
+ `monitron.amazonaws.com` ou `core.monitron.amazonaws.com`
La politique d'autorisation des rôles nommée MonitronServiceRolePolicy permet à Amazon Monitron d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : Amazon CloudWatch Logs`logs:CreateLogGroup`, `logs:CreateLogStream` et `logs:PutLogEvents` sur le groupe de journaux, le CloudWatch flux de journaux et les événements du journal sous le chemin /aws/monitron/ \$1
La politique d'autorisation des rôles nommée « MonitronServiceDataExport - » KinesisDataStreamAccess permet à Amazon Monitron d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : Amazon Kinesis `kinesis:PutRecord``kinesis:PutRecords`, et `kinesis:DescribeStream` sur le flux de données Kinesis spécifié pour l'exportation de données en direct.
+ Action : Amazon AWS KMS `kms:GenerateDataKey` pour la AWS KMS clé utilisée par le flux de données Kinesis spécifié pour l'exportation de données en direct
+ Action : Amazon IAM `iam:DeleteRole` supprimera le rôle lié au service lui-même lorsqu'il n'est pas utilisé
La politique d'autorisation des rôles nommée AWSService RoleForMonitronPolicy permet à Amazon Monitron d'effectuer les actions suivantes sur les ressources spécifiées :
+ Action : IAM Identity Center`sso:GetManagedApplicationInstance`,`sso:GetProfile`,`sso:ListProfiles`,,`sso:AssociateProfile`,`sso:ListDirectoryAssociations`,`sso:ListProfileAssociations`, `sso-directory:DescribeUsers` `sso-directory:SearchUsers``sso:CreateApplicationAssignment`, et `sso:ListApplicationAssignments` pour accéder aux utilisateurs d'IAM Identity Center associés au projet
**Note**
Ajoutez `sso:ListProfileAssociations` pour permettre à Amazon Monitron de répertorier les associations avec l'instance d'application sous-jacente au projet Amazon Monitron.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
# Création d'un rôle lié à un service pour Amazon Monitron
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez une fonctionnalité nécessitant votre autorisation pour appeler d'autres AWS services en votre nom dans Amazon Monitron AWS Management Console, Amazon Monitron crée le rôle lié au service pour vous.
# Modification d'un rôle lié à un service pour Amazon Monitron
Amazon Monitron ne vous autorise pas à modifier le rôle lié au AWSService RoleForMonitron service [\$1 \$1SUFFIX\$1]. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Supprimer un rôle lié à un service pour Amazon Monitron
Il n'est pas nécessaire de supprimer manuellement le rôle AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]. Lorsque vous supprimez un projet Amazon Monitron que vous avez créé via Amazon Monitron dans le, AWS Management Console Amazon Monitron nettoie les ressources et supprime le rôle lié au service pour vous.
Vous pouvez également utiliser la console IAM AWS CLI ou l' AWS API pour supprimer manuellement le rôle lié à un service. Pour ce faire, vous devez commencer par nettoyer les ressources de votre rôle lié à un service. Vous pouvez ensuite supprimer ce rôle manuellement.
**Note**
Si le service Amazon Monitron utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer les ressources Amazon Monitron utilisées par le AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]**
+ Supprimez les projets Amazon Monitron à l'aide de ce rôle lié à un service.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au service AWSService RoleForMonitron [\$1 \$1SUFFIX\$1]. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
# Régions prises en charge pour les rôles liés aux services Amazon Monitron
Amazon Monitron prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [AWS Régions et points de terminaison](https://docs.aws.amazon.com//general/latest/gr/rande.html#connect_region).
Amazon Monitron ne prend pas en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Vous pouvez utiliser le rôle AWSService RoleForMonitron [\$1 \$1SUFFIX\$1] dans les régions suivantes.
****
| Nom de la région | Identité de la région | Support sur Amazon Monitron |
| --- | --- | --- |
| USA Est (Virginie du Nord) | us-east-1 | Oui |
| USA Est (Ohio) | us-east-2 | Non |
| USA Ouest (Californie du Nord) | us-west-1 | Non |
| USA Ouest (Oregon) | us-west-2 | Non |
| Asie-Pacifique (Mumbai) | ap-south-1 | Non |
| Asie-Pacifique (Osaka) | ap-northeast-3 | Non |
| Asie-Pacifique (Séoul) | ap-northeast-2 | Non |
| Asie-Pacifique (Singapour) | ap-southeast-1 | Non |
| Asie-Pacifique (Sydney) | ap-southeast-2 | Oui |
| Asie-Pacifique (Tokyo) | ap-northeast-1 | Non |
| Canada (Centre) | ca-central-1 | Non |
| Europe (Francfort) | eu-central-1 | Non |
| Europe (Irlande) | eu-west-1 | Oui |
| Europe (Londres) | eu-west-2 | Non |
| Europe (Paris) | eu-west-3 | Non |
| Amérique du Sud (São Paulo) | sa-east-1 | Non |
| AWS GovCloud (US) | us-gov-west-1 | Non |
# AWS politiques gérées pour Amazon Monitron
Vous pouvez les associer AmazonMonitronFullAccess à vos entités IAM. Cette politique accorde des autorisations *administratives* qui permettent d'accéder à toutes les ressources et opérations d'Amazon Monitron.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "monitron.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"monitron:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"monitron.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "AWSSSOPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:ListStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/monitron/*"
}
]
}
```
------
# Amazon Monitron met à jour les politiques gérées AWS
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon Monitron depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'historique des documents d'Amazon Monitron.
| Modifier | Description | Date |
| --- | --- | --- |
| AWSServiceRoleForMonitronPolicy - Mise à jour d'une politique existante | Ajout `sso:CreateApplicationAssignment` et `sso:ListApplicationAssignments` à la [politique d'autorisation des rôles](https://docs.aws.amazon.com/Monitron/latest/user-guide/using-service-linked-roles.html). | 30 septembre 2024 |
| AmazonMonitronFullAccess - Mise à jour d'une politique existante | Amazon Monitron a ajouté des autorisations permettant de décrire et de répertorier Kinesis Data Streams, ainsi que de décrire l'obtention et la création de groupes de journaux, de flux de CloudWatch journaux et d'événements de journalisation.Vous devez utiliser ces autorisations pour utiliser la console Amazon Monitron afin d'afficher des informations sur Kinesis Data Streams and Logs. CloudWatch | 8 juin 2022 |
# Journalisation et surveillance dans Amazon Monitron
La surveillance joue un rôle important dans le maintien de la fiabilité, de la disponibilité et des performances de vos applications Amazon Monitron. Pour surveiller les actions de la console Amazon Monitron et des applications mobiles, vous pouvez utiliser. AWS CloudTrail
CloudTrail les journaux fournissent un enregistrement des actions entreprises par un utilisateur, un rôle ou un AWS service dans Amazon Monitron. À l'aide des informations collectées par CloudTrail, vous pouvez déterminer la demande envoyée à Amazon Monitron, l'adresse IP à partir de laquelle la demande a été faite, l'auteur de la demande, la date à laquelle elle a été faite, ainsi que des informations supplémentaires. Pour de plus amples informations, veuillez consulter [Enregistrement des actions Amazon Monitron avec AWS CloudTrail](logging-using-cloudtrail.md).
# Validation de conformité pour Amazon Monitron
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Sécurité de l'infrastructure dans Amazon Monitron
En tant que service géré, Amazon Monitron est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à Amazon Monitron via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# Bonnes pratiques de sécurité pour Amazon Monitron
Amazon Monitron propose un certain nombre de fonctionnalités de sécurité à prendre en compte lors de l'élaboration et de la mise en œuvre de vos propres politiques de sécurité. Les bonnes pratiques suivantes doivent être considérées comme des instructions générales et ne représentent pas une solution de sécurité complète. Étant donné que ces bonnes pratiques peuvent ne pas être appropriées ou suffisantes pour votre environnement, considérez-les comme des remarques utiles plutôt que comme des recommandations.
Les bonnes pratiques suivantes pour Amazon Monitron peuvent vous aider à prévenir les incidents de sécurité :
+ Lorsque vous créez un répertoire d'utilisateurs AWS IAM Identity Center (IAM Identity Center) pour Amazon Monitron, activez l'authentification multifactorielle (MFA) pour l'annuaire afin d'améliorer la sécurité de l'annuaire.
+ Sachez que tous les administrateurs de projets et de sites utilisant l'application mobile Amazon Monitron auront un accès en lecture à tous les utilisateurs de votre organisation répertoriés dans l'annuaire des utilisateurs que vous avez choisi lors de la configuration de votre projet. Nous vous recommandons vivement d'utiliser un répertoire isolé si vous souhaitez limiter l'accès aux informations relatives à l'organisation des utilisateurs.
+ En raison du risque d'attaques de phishing, au cours desquelles un attaquant envoie un e-mail se faisant passer pour un e-mail d'invitation à un projet Amazon Monitron à vos utilisateurs, avertissez les utilisateurs de s'assurer que le nom du répertoire est visible sur l'écran de connexion avant de saisir leurs informations de connexion.
+ Étant donné que l'application mobile Amazon Monitron fonctionne sur un smartphone et a accès à votre projet, demandez à tous les utilisateurs d'activer le verrouillage de l'écran pour protéger l'accès lorsqu'ils ne sont pas utilisés.