Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# La sécurité dans Amazon FSx pour Lustre
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez de centres de données et d'architectures réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute les AWS services dans le cloud Amazon Web Services. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à Amazon FSx for Lustre, voir [AWS Services concernés par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris de la sensibilité de vos données, des exigences de votre entreprise, ainsi que de la législation et de la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation Amazon FSx for Lustre. Les rubriques suivantes expliquent comment configurer Amazon pour répondre FSx à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser les autres services Amazon qui vous aident à surveiller et à sécuriser votre Amazon FSx for Lustre ressources.
Vous trouverez ci-dessous une description des considérations de sécurité relatives à l'utilisation de Amazon FSx.
**Topics**
+ [Protection des données dans Amazon FSx for Lustre](data-protection.md)
+ [Gestion des identités et des accès pour Amazon FSx for Lustre](security-iam.md)
+ [Contrôle d'accès au système de fichiers avec Amazon VPC](limit-access-security-groups.md)
+ [Réseau Amazon VPC ACLs](limit-access-acl.md)
+ [Validation de conformité pour Amazon FSx for Lustre](fsx-lustre-compliance.md)
+ [Amazon FSx pour Lustre et points de terminaison VPC d'interface ()AWS PrivateLink](fsx-vpc-endpoints.md)
# Protection des données dans Amazon FSx for Lustre
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) s'applique à la protection des données dans Amazon FSx for Lustre. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d’informations sur la confidentialité des données, consultez [Questions fréquentes (FAQ) sur la confidentialité des données](https://aws.amazon.com/compliance/data-privacy-faq/). Pour en savoir plus sur la protection des données en Europe, consultez le billet de blog Modèle de responsabilité partagée [AWS et RGPD (Règlement général sur la protection des données)](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) sur le *Blog de sécuritéAWS *.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l’authentification multifactorielle (MFA) avec chaque compte.
+ Utilisez le protocole SSL/TLS pour communiquer avec les ressources. AWS Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Configurez l'API et la journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de modules cryptographiques validés par la norme FIPS 140-3 pour accéder AWS via une interface de ligne de commande ou une API, utilisez un point de terminaison FIPS. Pour plus d’informations sur les points de terminaison FIPS disponibles, consultez [Norme FIPS (Federal Information Processing Standard) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Amazon FSx ou autre Services AWS à l'aide de la console AWS CLI, de l'API ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez une adresse URL à un serveur externe, nous vous recommandons fortement de ne pas inclure d’informations d’identification dans l’adresse URL permettant de valider votre demande adressée à ce serveur.
**Topics**
+ [Chiffrement des données dans Amazon FSx for Lustre](encryption-fsxl.md)
+ [Confidentialité du trafic inter-réseau](internetwork-privacy.md)
# Chiffrement des données dans Amazon FSx for Lustre
Amazon FSx for Lustre prend en charge deux formes de chiffrement pour les systèmes de fichiers : le chiffrement des données au repos et le chiffrement des données en transit. Le chiffrement des données au repos est automatiquement activé lors de la création d'un système de FSx fichiers Amazon. Le chiffrement des données en transit est automatiquement activé lorsque vous accédez à un système de FSx fichiers Amazon à partir d'[ EC2instances Amazon](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) compatibles avec cette fonctionnalité.
## Quand utiliser le chiffrement ?
Si votre entreprise est soumise à des politiques d'entreprise ou réglementaires qui exigent le chiffrement des données et des métadonnées au repos, nous vous recommandons de créer un système de fichiers chiffré et de monter votre système de fichiers en cryptant les données en transit.
Pour plus d'informations sur la création d'un système de fichiers chiffré au repos à l'aide de la console, voir [ Créer votre Amazon FSx for Lustre système de fichiers](getting-started.md#getting-started-step1).
**Topics**
+ [Quand utiliser le chiffrement ?](#whenencrypt)
+ [Chiffrement de données au repos](encryption-at-rest.md)
+ [chiffrement des données en transit](encryption-in-transit-fsxl.md)
# Chiffrement de données au repos
Le chiffrement des données au repos est automatiquement activé lorsque vous créez un Amazon FSx for Lustre système de fichiers via le AWS Management Console AWS CLI, ou par programmation via l' FSx API Amazon ou l'un des. AWS SDKs Votre organisation peut exiger le chiffrement de toutes les données qui répondent à une classification spécifique ou qui sont associées à une application, une charge de travail ou un environnement spécifique. Si vous créez un système de fichiers persistant, vous pouvez spécifier la AWS KMS clé avec laquelle chiffrer les données. Si vous créez un système de fichiers scratch, les données sont cryptées à l'aide de clés gérées par Amazon FSx. Pour plus d'informations sur la création d'un système de fichiers chiffré au repos à l'aide de la console, voir [ Créer votre Amazon FSx for Lustre système de fichiers](getting-started.md#getting-started-step1).
**Note**
L'infrastructure de gestion des AWS clés utilise des algorithmes cryptographiques approuvés par les Federal Information Processing Standards (FIPS) 140-2. Cette infrastructure est conforme aux recommandations NIST (National Institute of Standards and Technology) 800-57.
Pour plus d'informations sur FSx les utilisations de Lustre AWS KMS, voir[Comment ? Amazon FSx for Lustre utilise AWS KMS](#FSXKMS).
## Comment fonctionne le chiffrement au repos ?
Dans un système de fichiers chiffré, les données et les métadonnées sont automatiquement chiffrées avant d’être écrites dans le système de fichiers. De même, au fur et à mesure que les données et les métadonnées sont lues, elles sont automatiquement déchiffrées avant d’être présentées à l’application. Ces processus sont gérés de manière transparente par Amazon FSx for Lustre, vous n'avez donc pas à modifier vos applications.
Amazon FSx for Lustre utilise l'algorithme de chiffrement AES-256 standard pour chiffrer les données du système de fichiers au repos. Pour de plus amples informations, consultez [Principes de base du chiffrement](https://docs.aws.amazon.com/kms/latest/developerguide/crypto-intro.html) dans le *Guide du développeur AWS Key Management Service *.
## Comment ? Amazon FSx for Lustre utilise AWS KMS
Amazon FSx for Lustre chiffre les données automatiquement avant leur écriture dans le système de fichiers et les déchiffre automatiquement au fur et à mesure de leur lecture. Les données sont cryptées à l'aide d'un chiffrement par blocs XTS-AES-256. Tous les systèmes de fichiers Scratch FSx for Lustre sont chiffrés au repos à l'aide de clés gérées par AWS KMS. Amazon FSx for Lustre s'intègre à AWS KMS la gestion des clés. Les clés utilisées pour chiffrer les systèmes de fichiers temporaires au repos sont uniques par système de fichiers et détruites une fois le système de fichiers supprimé. Pour les systèmes de fichiers persistants, vous choisissez la clé KMS utilisée pour chiffrer et déchiffrer les données. Vous spécifiez la clé à utiliser lorsque vous créez un système de fichiers persistant. Vous pouvez activer, désactiver ou révoquer les autorisations sur cette clé KMS. Cette clé KMS peut être de l'un des deux types suivants :
+ **Clé gérée par AWS pour Amazon FSx** — Il s'agit de la clé KMS par défaut. La création et le stockage d'une clé KMS ne vous sont pas facturés, mais des frais d'utilisation s'appliquent. Pour en savoir plus, consultez [Pricing AWS Key Management Service](https://aws.amazon.com/kms/pricing/) (Tarification).
+ **Clé gérée par le client** – Il s’agit de la clé KMS la plus souple à utiliser, car vous pouvez configurer ses stratégies de clé et ses octrois pour plusieurs utilisateurs ou services. Pour plus d'informations sur la création de clés gérées par le client, consultez la section [Création de clés](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html) dans le *guide du AWS Key Management Service développeur.*
Si vous utilisez une clé gérée par le client comme clé KMS pour le chiffrement et le déchiffrement des données de fichiers, vous pouvez activer la rotation des clés. Lorsque vous activez la rotation des clés, elle fait AWS KMS automatiquement pivoter votre clé une fois par an. De plus, avec une clé gérée par le client, vous pouvez choisir à tout moment de désactiver, réactiver, supprimer ou révoquer l’accès à votre clé gérée par le client.
**Important**
Amazon FSx accepte uniquement les clés KMS de chiffrement symétriques. Vous ne pouvez pas utiliser de clés KMS asymétriques avec Amazon FSx.
### Politiques FSx clés d'Amazon pour AWS KMS
Les politiques de clé constituent le principal moyen de contrôler l'accès aux clés KMS. Pour plus d'informations sur les politiques clés, consultez la section [Utilisation des politiques clés AWS KMS dans](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html) le *Guide du AWS Key Management Service développeur.*La liste suivante décrit toutes les autorisations AWS KMS associées prises en charge par Amazon FSx pour les systèmes de fichiers chiffrés au repos :
+ **kms:Encrypt** - (Facultatif) Chiffre le texte brut en texte chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms:Decrypt** - (Obligatoire) Déchiffre le texte chiffré. Le texte chiffré est du texte brut qui a été précédemment chiffré. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : ReEncrypt** — (Facultatif) Chiffre les données côté serveur avec une nouvelle clé KMS, sans exposer le texte clair des données côté client. Les données sont d’abord déchiffrées, puis chiffrées à nouveau. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : GenerateDataKeyWithoutPlaintext** — (Obligatoire) Renvoie une clé de chiffrement des données chiffrée sous une clé KMS. Cette autorisation est incluse dans la politique clé par défaut sous **kms : GenerateDataKey \$1**.
+ **kms : CreateGrant** — (Obligatoire) Ajoute une autorisation à une clé pour spécifier qui peut utiliser la clé et dans quelles conditions. Les octrois sont des mécanismes d’autorisation alternatifs aux stratégies de clé. Pour plus d'informations sur les subventions, consultez la section [Utilisation des subventions](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) dans le *Guide du AWS Key Management Service développeur.* Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : DescribeKey** — (Obligatoire) Fournit des informations détaillées sur la clé KMS spécifiée. Cette autorisation est incluse dans la stratégie de clé par défaut.
+ **kms : ListAliases** — (Facultatif) Répertorie tous les alias clés du compte. Lorsque vous utilisez la console pour créer un système de fichiers chiffré, cette autorisation remplit la liste pour sélectionner la clé KMS. Nous vous recommandons d’utiliser cette autorisation pour offrir un confort d’utilisation maximal. Cette autorisation est incluse dans la stratégie de clé par défaut.
# chiffrement des données en transit
Scratch 2 et les systèmes de fichiers persistants peuvent chiffrer automatiquement les données en transit lorsque le système de fichiers est accessible à partir d' EC2 instances Amazon qui prennent en charge le chiffrement en transit, ainsi que pour toutes les communications entre les hôtes au sein du système de fichiers. Pour savoir quelles EC2 instances prennent en charge le chiffrement en transit, consultez la section [Chiffrement en transit](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit) dans le *guide de EC2 l'utilisateur Amazon*.
Pour obtenir la liste des Régions AWS produits dans lesquels Amazon FSx for Lustre est disponible, consultez[Disponibilité du type de déploiement](using-fsx-lustre.md#persistent-deployment-regions).
# Confidentialité du trafic inter-réseau
Cette rubrique décrit comment Amazon FSx sécurise les connexions entre le service et d'autres sites.
## Trafic entre Amazon FSx et les clients sur site
Vous disposez de deux options de connectivité entre votre réseau privé et AWS :
+ Une AWS Site-to-Site VPN connexion. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Site-to-Site VPN ?](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ Une AWS Direct Connect connexion. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Direct Connect ?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)
Vous pouvez accéder à FSx Lustre via le réseau pour accéder aux opérations d'API AWS publiées pour effectuer des tâches administratives et Lustre ports pour interagir avec le système de fichiers.
### Chiffrer le trafic des API
Pour accéder aux opérations d'API AWS publiées, les clients doivent prendre en charge le protocole TLS (Transport Layer Security) 1.2 ou version ultérieure. Nous exigeons TLS 1.2 et recommandons TLS 1.3. Les clients doivent également prendre en charge les suites de chiffrement PFS (Perfect Forward Secrecy) comme Ephemeral Diffie-Hellman (DHE) ou Elliptic Curve Ephemeral Diffie-Hellman (ECDHE). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes. En outre, les demandes doivent être signées à l’aide d’un ID de clé d’accès et d’une clé d’accès secrète associée à un principal IAM. Vous pouvez également utiliser le [AWS Security Token Service (STS)](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) pour générer des informations de sécurité temporaires afin de signer les demandes.
### Chiffrement du trafic de données
Le chiffrement des données en transit est activé à partir des EC2 instances prises en charge qui accèdent aux systèmes de fichiers depuis le AWS Cloud. Pour plus d'informations, consultez[chiffrement des données en transit](encryption-in-transit-fsxl.md). FSx for Lustre n'offre pas de chiffrement natif lors du transit entre les clients sur site et les systèmes de fichiers.
# Gestion des identités et des accès pour Amazon FSx for Lustre
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources Amazon FSx . IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment Amazon FSx for Lustre fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité pour Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
+ [AWS politiques gérées pour Amazon FSx for Lustre](security-iam-awsmanpol.md)
+ [Résolution des problèmes d'identité et d'accès à Amazon FSx for Lustre](security_iam_troubleshoot.md)
+ [Utiliser des tags avec Amazon FSx](using-tags-fsx.md)
+ [Utilisation de rôles liés à un service pour Amazon FSx](using-service-linked-roles.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d'identité et d'accès à Amazon FSx for Lustre](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment Amazon FSx for Lustre fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [Exemples de politiques basées sur l'identité pour Amazon for Lustre FSx](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
Il est recommandé d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à Services AWS l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur provenant de l'annuaire de votre entreprise, de votre fournisseur d'identité Web ou Directory Service qui y accède à Services AWS l'aide d'informations d'identification provenant d'une source d'identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.
Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment Amazon FSx for Lustre fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à Amazon FSx, découvrez quelles fonctionnalités IAM peuvent être utilisées avec Amazon. FSx
**Fonctionnalités IAM que vous pouvez utiliser avec Amazon FSx pour Lustre**
| Fonctionnalité IAM | FSx Assistance Amazon |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Non |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags) | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Transmission des sessions d’accès (FAS)](#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles du service](#security_iam_service-with-iam-roles-service) | Non |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont Amazon FSx et les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez les [AWS services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur *IAM*.
## Politiques basées sur l'identité pour Amazon FSx
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Exemples de politiques basées sur l'identité pour Amazon FSx
Pour consulter des exemples de politiques FSx basées sur l'identité d'Amazon, consultez. [Exemples de politiques basées sur l'identité pour Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources au sein d'Amazon FSx
**Prend en charge les politiques basées sur les ressources :** non
## Actions politiques pour Amazon FSx
**Prend en charge les actions de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Pour consulter la liste des FSx actions Amazon, consultez la section [Actions définies par Amazon FSx pour Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions) dans le *Service Authorization Reference*.
Les actions politiques sur Amazon FSx utilisent le préfixe suivant avant l'action :
```
fsx
```
Pour indiquer plusieurs actions dans une seule déclaration, séparez-les par des virgules.
```
"Action": [
"fsx:action1",
"fsx:action2"
]
```
Pour consulter des exemples de politiques FSx basées sur l'identité d'Amazon, consultez. [Exemples de politiques basées sur l'identité pour Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Ressources relatives aux politiques pour Amazon FSx
**Prend en charge les ressources de politique :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Pour consulter la liste des types de FSx ressources Amazon et leurs caractéristiques ARNs, consultez la section [Ressources définies par Amazon FSx pour Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-resources-for-iam-policies) dans le *Service Authorization Reference*. Pour savoir avec quelles actions vous pouvez spécifier l'ARN de chaque ressource, consultez [Actions définies par Amazon FSx pour Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Pour consulter des exemples de politiques FSx basées sur l'identité d'Amazon, consultez. [Exemples de politiques basées sur l'identité pour Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Clés relatives aux conditions de politique pour Amazon FSx
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
Pour consulter la liste des clés de FSx condition Amazon, consultez la section [Clés de condition pour Amazon FSx pour Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-policy-keys) dans la *référence d'autorisation de service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez [Actions définies par Amazon FSx pour Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html#amazonfsx-actions-as-permissions).
Pour consulter des exemples de politiques FSx basées sur l'identité d'Amazon, consultez. [Exemples de politiques basées sur l'identité pour Amazon for Lustre FSx](security_iam_id-based-policy-examples.md)
## Listes de contrôle d'accès (ACLs) sur Amazon FSx
**Supports ACLs :** Non
## Contrôle d'accès basé sur les attributs (ABAC) avec Amazon FSx
**Prise en charge d’ABAC (balises dans les politiques) :** Oui
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d'informations sur le balisage des FSx ressources Amazon, consultez[Marquez vos ressources Amazon FSx for Lustre](tag-resources.md).
Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez [Utilisation de balises pour contrôler l'accès à vos FSx ressources Amazon](using-tags-fsx.md#restrict-fsx-access-tags).
## Utilisation d'informations d'identification temporaires avec Amazon FSx
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Transférer les sessions d'accès pour Amazon FSx
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles de service pour Amazon FSx
**Prend en charge les rôles de service :** Non
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations associées à un rôle de service peut perturber les FSx fonctionnalités d'Amazon. Modifiez les rôles de service uniquement lorsque Amazon FSx fournit des conseils à cet effet.
## Rôles liés à un service pour Amazon FSx
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus d'informations sur la création et la gestion des rôles FSx liés aux services Amazon, consultez. [Utilisation de rôles liés à un service pour Amazon FSx](using-service-linked-roles.md)
# Exemples de politiques basées sur l'identité pour Amazon for Lustre FSx
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier FSx des ressources Amazon. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par Amazon FSx, y compris le format ARNs de chaque type de ressource, consultez la section [Actions, ressources et clés de condition pour Amazon FSx for Lustre](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonfsx.html) dans la *référence d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la FSx console Amazon](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer FSx des ressources Amazon dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la FSx console Amazon
Pour accéder à la console Amazon FSx for Lustre, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les informations relatives aux FSx ressources Amazon présentes dans votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
Pour garantir que les utilisateurs et les rôles peuvent toujours utiliser la FSx console Amazon, associez également la politique `AmazonFSxConsoleReadOnlyAccess` AWS gérée aux entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Vous pouvez consulter les politiques relatives `AmazonFSxConsoleReadOnlyAccess` aux services FSx gérés d'Amazon et les autres dans[AWS politiques gérées pour Amazon FSx for Lustre](security-iam-awsmanpol.md).
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS politiques gérées pour Amazon FSx for Lustre
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## Amazon FSx ServiceRolePolicy
Permet FSx à Amazon de gérer les AWS ressources en votre nom. Pour en savoir plus, consultez [Utilisation de rôles liés à un service pour Amazon FSx](using-service-linked-roles.md).
## AWS politique gérée : Amazon FSx DeleteServiceLinkedRoleAccess
Vous ne pouvez pas joindre de `AmazonFSxDeleteServiceLinkedRoleAccess` à vos entités IAM. Cette politique est liée à un service et utilisée uniquement avec le rôle lié au service pour ce service. Vous ne pouvez pas joindre, détacher, modifier ou supprimer cette politique. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Amazon FSx](using-service-linked-roles.md).
Cette politique accorde des autorisations administratives qui permettent FSx à Amazon de supprimer son rôle lié au service pour l'accès à Amazon S3, utilisé uniquement par Amazon FSx pour Lustre.
**Détails de l’autorisation**
Cette politique inclut des autorisations permettant `iam` FSx à Amazon de consulter, de supprimer et de consulter le statut de suppression des rôles liés au FSx service pour l'accès à Amazon S3.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx DeleteServiceLinkedRoleAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/FSxDeleteServiceLinkedRoleAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx FullAccess
Vous pouvez associer Amazon FSx FullAccess à vos entités IAM. Amazon associe FSx également cette politique à un rôle de service qui permet FSx à Amazon d'effectuer des actions en votre nom.
Fournit un accès complet à Amazon FSx et aux AWS services associés.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `fsx`— Permet aux principaux un accès complet pour effectuer toutes les FSx actions Amazon, à l'exception `BypassSnaplockEnterpriseRetention` de.
+ `ds`— Permet aux directeurs d'accéder aux informations relatives aux Directory Service annuaires.
+ `ec2`
+ Permet aux principaux de créer des balises dans les conditions spécifiées.
+ Fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ `iam`— Permet aux principes de créer un rôle lié à un FSx service Amazon au nom de l'utilisateur. Cela est nécessaire pour qu'Amazon FSx puisse gérer les AWS ressources au nom de l'utilisateur.
+ `firehose`— Permet aux directeurs d'écrire des enregistrements sur un Amazon Data Firehose. Cela est nécessaire FSx pour que les utilisateurs puissent surveiller l'accès au système de fichiers Windows File Server en envoyant des journaux d'accès d'audit à Firehose.
+ `logs`— Permet aux principaux de créer des groupes de journaux, des flux de journaux et d'écrire des événements dans des flux de journaux. Cela est nécessaire FSx pour que les utilisateurs puissent surveiller l'accès au système de fichiers Windows File Server en envoyant les journaux d'accès aux audits à CloudWatch Logs.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx FullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxFullAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx ConsoleFullAccess
Vous pouvez associer la politique `AmazonFSxConsoleFullAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives qui permettent un accès complet à Amazon FSx et l'accès aux AWS services associés via le AWS Management Console.
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `fsx`— Permet aux principaux d'effectuer toutes les actions dans la console de FSx gestion Amazon, à l'exception `BypassSnaplockEnterpriseRetention` de.
+ `cloudwatch`— Permet aux principaux de consulter les CloudWatch alarmes et les statistiques dans la console FSx de gestion Amazon.
+ `ds`— Permet aux principaux de répertorier les informations relatives à un Directory Service répertoire.
+ `ec2`
+ Permet aux principaux de créer des balises sur les tables de routage, de répertorier les interfaces réseau, les tables de routage, les groupes de sécurité, les sous-réseaux et le VPC associé à un système de fichiers Amazon. FSx
+ Permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ Permet aux principaux de visualiser les interfaces réseau élastiques associées à un système de FSx fichiers Amazon.
+ `kms`— Permet aux principaux de répertorier les alias des AWS Key Management Service clés.
+ `s3`— Permet aux principaux de répertorier certains ou tous les objets d'un compartiment Amazon S3 (jusqu'à 1 000).
+ `iam`— Accorde l'autorisation de créer un rôle lié à un service qui permet FSx à Amazon d'effectuer des actions au nom de l'utilisateur.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx ConsoleFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleFullAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx ConsoleReadOnlyAccess
Vous pouvez associer la politique `AmazonFSxConsoleReadOnlyAccess` à vos identités IAM.
Cette politique accorde des autorisations en lecture seule à Amazon FSx et aux AWS services associés afin que les utilisateurs puissent consulter les informations relatives à ces services dans le. AWS Management Console
**Détails de l’autorisation**
Cette politique inclut les autorisations suivantes.
+ `fsx`— Permet aux principaux de consulter les informations relatives aux systèmes de FSx fichiers Amazon, y compris toutes les balises, dans l'Amazon FSx Management Console.
+ `cloudwatch`— Permet aux principaux de consulter les CloudWatch alarmes et les statistiques dans l'Amazon FSx Management Console.
+ `ds`— Permet aux principaux de consulter les informations relatives à un Directory Service annuaire dans Amazon FSx Management Console.
+ `ec2`
+ Permet aux principaux de visualiser les interfaces réseau, les groupes de sécurité, les sous-réseaux et le VPC associé à un système de FSx fichiers Amazon dans Amazon Management Console. FSx
+ Permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ Permet aux principaux de visualiser les interfaces réseau élastiques associées à un système de FSx fichiers Amazon.
+ `kms`— Permet aux principaux de consulter les alias des AWS Key Management Service clés dans l'Amazon FSx Management Console.
+ `log`— Permet aux principaux de décrire les groupes de CloudWatch journaux Amazon Logs associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server.
+ `firehose`— Permet aux principaux de décrire les flux de diffusion Amazon Data Firehose associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx ConsoleReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxConsoleReadOnlyAccess.html) dans le AWS Managed Policy Reference Guide.
## AWS politique gérée : Amazon FSx ReadOnlyAccess
Vous pouvez associer la politique `AmazonFSxReadOnlyAccess` à vos identités IAM.
+ `fsx`— Permet aux principaux de consulter les informations relatives aux systèmes de FSx fichiers Amazon, y compris toutes les balises, dans l'Amazon FSx Management Console.
+ `ec2`— Fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
Pour consulter les autorisations associées à cette politique, consultez [Amazon FSx ReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonFSxReadOnlyAccess.html) dans le AWS Managed Policy Reference Guide.
## Amazon FSx met à jour AWS ses politiques gérées
Consultez les informations relatives aux mises à jour des politiques AWS gérées pour Amazon FSx depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la FSx [Historique du document](doc-history.md) page Amazon.
| Modifier | Description | Date |
| --- | --- | --- |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:AssignIpv6Addresses` qui permet aux principaux d'attribuer des IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise. | 22 juillet 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:UnassignIpv6Addresses` qui permet aux principaux d'annuler l'attribution d' IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise. | 22 juillet 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:CreateAndAttachS3AccessPoint` qui permet aux principaux de créer un point d'accès S3 et de l'associer à un FSx volume. | 25 juin 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DescribeS3AccessPointAttachments` qui permet aux principaux de répertorier tous les points d'accès S3 Compte AWS dans un Région AWS. | 25 juin 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DetachAndDeleteS3AccessPoint` qui permet aux principaux de supprimer un point d'accès S3. | 25 juin 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:CreateAndAttachS3AccessPoint` qui permet aux principaux de créer un point d'accès S3 et de l'associer à un FSx volume. | 25 juin 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DescribeS3AccessPointAttachments` qui permet aux principaux de répertorier tous les points d'accès S3 Compte AWS dans un Région AWS. | 25 juin 2025 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `fsx:DetachAndDeleteS3AccessPoint` qui permet aux principaux de supprimer un point d'accès S3. | 25 juin 2025 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:DescribeNetworkInterfaces` qui permet aux principaux de consulter les interfaces réseau élastiques associées à leur système de fichiers. | 25 février 2025 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:DescribeNetworkInterfaces` qui permet aux principaux de consulter les interfaces réseau élastiques associées à leur système de fichiers. | 07 février 2025 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation, `ec2:GetSecurityGroupsForVpc` qui permet aux principaux de fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC. | 9 janvier 2024 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation pour permettre aux utilisateurs d'effectuer une réplication de données entre régions et entre comptes FSx pour les systèmes de fichiers OpenZFS. | 20 décembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation pour permettre aux utilisateurs d'effectuer une réplication de données entre régions et entre comptes FSx pour les systèmes de fichiers OpenZFS. | 20 décembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation permettant aux utilisateurs d'effectuer une réplication à la demande de volumes FSx pour les systèmes de fichiers OpenZFS. | 26 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté une nouvelle autorisation permettant aux utilisateurs d'effectuer une réplication à la demande de volumes FSx pour les systèmes de fichiers OpenZFS. | 26 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs d'afficher, d'activer et de désactiver le support VPC partagé FSx pour les systèmes de fichiers ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs d'afficher, d'activer et de désactiver le support VPC partagé FSx pour les systèmes de fichiers ONTAP Multi-AZ. | 14 novembre 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de gérer les configurations réseau FSx pour les systèmes de fichiers OpenZFS Multi-AZ. | 9 août 2023 |
| [AWS politique gérée : Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon a FSx modifié l'`cloudwatch:PutMetricData`autorisation existante afin qu'Amazon FSx publie CloudWatch les métriques dans l'espace de `AWS/FSx` noms. | 24 juillet 2023 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon a FSx mis à jour la politique pour supprimer l'`fsx:*`autorisation et ajouter des `fsx` actions spécifiques. | 13 juillet 2023 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon a FSx mis à jour la politique pour supprimer l'`fsx:*`autorisation et ajouter des `fsx` actions spécifiques. | 13 juillet 2023 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter les indicateurs de performance améliorés et les actions recommandées FSx pour les systèmes de fichiers Windows File Server dans la FSx console Amazon. | 21 septembre 2022 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux utilisateurs de consulter les indicateurs de performance améliorés et les actions recommandées FSx pour les systèmes de fichiers Windows File Server dans la FSx console Amazon. | 21 septembre 2022 |
| [Amazon FSx ReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxReadOnlyAccess) — Politique de suivi mise en place | Cette politique accorde un accès en lecture seule à toutes les FSx ressources Amazon et à tous les tags qui leur sont associés. | 4 février 2022 |
| [Amazon FSx DeleteServiceLinkedRoleAccess](#security-iam-awsmanpol-AmazonFSxDeleteServiceLinkedRoleAccess) — Politique de suivi mise en place | Cette politique accorde des autorisations administratives qui permettent FSx à Amazon de supprimer son rôle lié au service pour accéder à Amazon S3. | 7 janvier 2022 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de gérer les configurations réseau pour les systèmes de fichiers Amazon FSx for NetApp ONTAP. | 2 septembre 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre à Amazon FSx de créer des balises sur les tables de routage EC2 pour les appels délimités. | 2 septembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre à Amazon FSx de créer des systèmes de fichiers multi-AZ Amazon FSx pour NetApp ONTAP. | 2 septembre 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre à Amazon FSx de créer des balises sur les tables de routage EC2 pour les appels délimités. | 2 septembre 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de décrire et d'écrire dans les flux de CloudWatch journaux Logs. Cela est nécessaire pour que les utilisateurs puissent consulter les journaux d'audit d'accès aux fichiers FSx pour les systèmes de fichiers Windows File Server à l'aide CloudWatch des journaux. | 8 juin 2021 |
| [Amazon FSx ServiceRolePolicy](using-service-linked-roles.md#slr-permissions) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre FSx à Amazon de décrire et d'écrire dans les flux de diffusion Amazon Data Firehose. Cela est nécessaire pour que les utilisateurs puissent consulter les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server à l'aide d'Amazon Data Firehose. | 8 juin 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire et de créer des journaux, des groupes de CloudWatch journaux, des flux de journaux et d'écrire des événements dans des flux de journaux. Cela est nécessaire pour que les principaux puissent consulter les journaux d'audit d'accès aux fichiers FSx pour les systèmes de fichiers Windows File Server à l'aide des CloudWatch journaux. | 8 juin 2021 |
| [Amazon FSx FullAccess](#security-iam-awsmanpol-AmazonFSxFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire et d'écrire des enregistrements sur un Amazon Data Firehose. Cela est nécessaire pour que les utilisateurs puissent consulter les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server à l'aide d'Amazon Data Firehose. | 8 juin 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les groupes de CloudWatch journaux Amazon Logs associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent choisir un groupe de CloudWatch journaux Logs existant lors de la configuration de l'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server. | 8 juin 2021 |
| [Amazon FSx ConsoleFullAccess](#security-iam-awsmanpol-AmazonFSxConsoleFullAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les flux de diffusion Amazon Data Firehose associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent choisir un flux de diffusion Firehose existant lors de la configuration de l'audit d'accès aux fichiers pour FSx un système de fichiers Windows File Server. | 8 juin 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les groupes de CloudWatch journaux Amazon Logs associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server. | 8 juin 2021 |
| [Amazon FSx ConsoleReadOnlyAccess](#security-iam-awsmanpol-AmazonFSxConsoleReadOnlyAccess) — Mise à jour d'une politique existante | Amazon FSx a ajouté de nouvelles autorisations pour permettre aux principaux de décrire les flux de diffusion Amazon Data Firehose associés au compte à l'origine de la demande. Cela est nécessaire pour que les principaux puissent consulter la configuration d'audit d'accès aux fichiers existante FSx pour un système de fichiers Windows File Server. | 8 juin 2021 |
| Amazon FSx a commencé à suivre les modifications | Amazon FSx a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 8 juin 2021 |
# Résolution des problèmes d'identité et d'accès à Amazon FSx for Lustre
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec Amazon FSx et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action sur Amazon FSx](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je souhaite autoriser des personnes extérieures Compte AWS à moi à accéder à mes FSx ressources Amazon](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action sur Amazon FSx
Si vous recevez une erreur qui indique que vous n’êtes pas autorisé à effectuer une action, vos politiques doivent être mises à jour afin de vous permettre d’effectuer l’action.
L’exemple d’erreur suivant se produit quand l’utilisateur IAM `mateojackson` tente d’utiliser la console pour afficher des informations détaillées sur une ressource `my-example-widget` fictive, mais ne dispose pas des autorisations `fsx:GetWidget` fictives.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: fsx:GetWidget on resource: my-example-widget
```
Dans ce cas, la politique qui s’applique à l’utilisateur `mateojackson` doit être mise à jour pour autoriser l’accès à la ressource `my-example-widget` à l’aide de l’action `fsx:GetWidget`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à Amazon FSx.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action sur Amazon FSx. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je souhaite autoriser des personnes extérieures Compte AWS à moi à accéder à mes FSx ressources Amazon
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si Amazon FSx prend en charge ces fonctionnalités, consultez[Comment Amazon FSx for Lustre fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Utiliser des tags avec Amazon FSx
Vous pouvez utiliser des balises pour contrôler l'accès aux FSx ressources Amazon et pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour appliquer des balises aux FSx ressources Amazon lors de la création, les utilisateurs doivent disposer de certaines autorisations Gestion des identités et des accès AWS (IAM).
## Accorder l’autorisation de baliser les ressources lors de la création
Avec certaines actions de l'API Amazon FSx for Lustre qui créent des ressources, vous pouvez spécifier des balises lors de la création de la ressource. Vous pouvez utiliser ces balises de ressources pour implémenter le contrôle d'accès basé sur les attributs (ABAC). Pour plus d'informations, voir [À quoi sert ABAC ? AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *guide de l'utilisateur IAM*.
Pour que les utilisateurs puissent étiqueter les ressources lors de leur création, ils doivent être autorisés à utiliser l'action qui crée la ressource, telle que`fsx:CreateFileSystem`. Si des balises sont spécifiées dans l'action de création de ressources, IAM octroie une autorisation supplémentaire à l'`fsx:TagResource`action afin de vérifier si les utilisateurs sont autorisés à créer des balises. Par conséquent, les utilisateurs doivent également avoir des autorisations explicites d’utiliser l’action `fsx:TagResource`.
L'exemple de politique suivant permet aux utilisateurs de créer des systèmes de fichiers et de leur appliquer des balises lors de leur création dans un système spécifique Compte AWS.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": [
"arn:aws:fsx:region:account-id:file-system/*"
]
}
]
}
```
De même, la politique suivante permet aux utilisateurs de créer des sauvegardes sur un système de fichiers spécifique et d'appliquer des balises à la sauvegarde lors de la création de la sauvegarde.
```
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/file-system-id*"
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:backup/*"
}
]
}
```
L'`fsx:TagResource`action est évaluée uniquement si des balises sont appliquées lors de l'action de création de ressources. Par conséquent, un utilisateur autorisé à créer une ressource (en supposant qu'il n'existe aucune condition de balisage) n'a pas besoin d'autorisation pour utiliser l'`fsx:TagResource`action si aucune balise n'est spécifiée dans la demande. Toutefois, si l’utilisateur essaie de créer une ressource avec des balises, la demande échoue s’il n’a pas les autorisations d’utiliser l’action `fsx:TagResource`.
Pour plus d'informations sur le balisage des FSx ressources Amazon, consultez[Marquez vos ressources Amazon FSx for Lustre](tag-resources.md). Pour plus d'informations sur l'utilisation de balises pour contrôler l'accès aux ressources Amazon FSx for Lustre, consultez[Utilisation de balises pour contrôler l'accès à vos FSx ressources Amazon](#restrict-fsx-access-tags).
## Utilisation de balises pour contrôler l'accès à vos FSx ressources Amazon
Pour contrôler l'accès aux FSx ressources et aux actions Amazon, vous pouvez utiliser des politiques IAM basées sur des balises. Vous pouvez fournir le contrôle de deux manières :
+ Vous pouvez contrôler l'accès aux FSx ressources Amazon en fonction des balises associées à ces ressources.
+ Vous pouvez contrôler les balises qui peuvent être transmises dans une condition de demande IAM.
Pour plus d'informations sur l'utilisation des balises pour contrôler l'accès aux AWS ressources, consultez la section [Contrôle de l'accès à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html) dans le *guide de l'utilisateur IAM*. Pour plus d'informations sur le balisage des FSx ressources Amazon lors de leur création, consultez[Accorder l’autorisation de baliser les ressources lors de la création](#supported-iam-actions-tagging). Pour plus d’informations sur le balisage des ressources, consultez [Marquez vos ressources Amazon FSx for Lustre](tag-resources.md).
### Contrôle de l’accès en fonction des balises sur une ressource
Pour contrôler les actions qu'un utilisateur ou un rôle peut effectuer sur une FSx ressource Amazon, vous pouvez utiliser des balises sur la ressource. Par exemple, vous pouvez autoriser ou refuser des opérations d’API spécifiques sur une ressource de système de fichiers en fonction de la paire clé-valeur de la balise sur la ressource.
**Example Exemple de politique — Création d'un système de fichiers activé lorsque vous fournissez une balise spécifique**
Cette politique permet à l'utilisateur de créer un système de fichiers uniquement lorsqu'il le balise avec une paire clé-valeur spécifique, dans cet exemple,`key=Department, value=Finance`.
```
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystem",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:region:account-id:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
```
**Example Exemple de politique — Création de sauvegardes uniquement sur les systèmes de fichiers dotés d'une balise spécifique**
Cette politique permet aux utilisateurs de créer des sauvegardes uniquement sur les systèmes de fichiers marqués avec la paire `key=Department, value=Finance` clé-valeur, et la sauvegarde sera créée avec la balise`Deparment=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:TagResource",
"fsx:CreateBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemple de politique — Création d'un système de fichiers avec une balise spécifique à partir de sauvegardes dotées d'une balise spécifique**
Cette politique permet aux utilisateurs de créer des systèmes de fichiers étiquetés avec `Department=Finance` uniquement à partir de sauvegardes étiquetées avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateFileSystemFromBackup"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemple de politique — Supprimer des systèmes de fichiers dotés de balises spécifiques**
Cette politique permet à un utilisateur de supprimer uniquement les systèmes de fichiers marqués avec`Department=Finance`. S'ils créent une sauvegarde finale, elle doit être étiquetée avec`Department=Finance`. FSx Pour les systèmes de fichiers Lustre, les utilisateurs doivent avoir le `fsx:CreateBackup` privilège de créer la sauvegarde finale.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:DeleteFileSystem"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateBackup",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:backup/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
**Example Exemple de politique — Création de tâches de référentiel de données sur des systèmes de fichiers avec une balise spécifique**
Cette politique permet aux utilisateurs de créer des tâches de référentiel de données étiquetées avec`Department=Finance`, et uniquement sur les systèmes de fichiers étiquetés avec`Department=Finance`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:file-system/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Department": "Finance"
}
}
},
{
"Effect": "Allow",
"Action": [
"fsx:CreateDataRepositoryTask",
"fsx:TagResource"
],
"Resource": "arn:aws:fsx:us-east-1:111122223333:task/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/Department": "Finance"
}
}
}
]
}
```
# Utilisation de rôles liés à un service pour Amazon FSx
Amazon FSx utilise des rôles Gestion des identités et des accès AWS liés à un [service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié à Amazon. FSx Les rôles liés au service sont prédéfinis par Amazon FSx et incluent toutes les autorisations requises par le service pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration d'Amazon FSx , car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Amazon FSx définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul Amazon FSx peut assumer ses rôles. Les autorisations définies comprennent la politique de confiance et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos FSx ressources Amazon, car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) et recherchez les services dont la valeur est **Oui** dans la colonne Rôles liés à un **service**. Sélectionnez un **Oui** ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
## Autorisations de rôle liées à un service pour Amazon FSx
Amazon FSx utilise deux rôles liés à un service nommés `AWSServiceRoleForAmazonFSx` et `AWSServiceRoleForFSxS3Access_fs-01234567890` qui exécutent certaines actions sur votre compte. Ces actions incluent par exemple la création d'interfaces réseau élastiques pour vos systèmes de fichiers dans votre VPC et l'accès à votre référentiel de données dans un compartiment Amazon S3. En effet`AWSServiceRoleForFSxS3Access_fs-01234567890`, ce rôle lié à un service est créé pour chaque système de fichiers Amazon FSx for Lustre que vous créez et qui est lié à un compartiment S3.
### AWSServiceRoleForAmazonFSx détails des autorisations
En `AWSServiceRoleForAmazonFSx` effet, la politique d'autorisation des rôles permet FSx à Amazon d'effectuer les actions administratives suivantes au nom de l'utilisateur sur toutes les AWS ressources applicables :
Pour connaître les mises à jour de cette politique, consultez [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
**Note**
AWSServiceRoleForAmazonFSx Il est utilisé par tous les types de systèmes de FSx fichiers Amazon ; certaines des autorisations répertoriées ne s'appliquent pas FSx à Lustre.
+ `ds`— Permet FSx à Amazon de consulter, d'autoriser et d'annuler les applications de votre Directory Service annuaire.
+ `ec2`— Permet FSx à Amazon d'effectuer les opérations suivantes :
+ Affichez, créez et dissociez les interfaces réseau associées à un système de FSx fichiers Amazon.
+ Affichez une ou plusieurs adresses IP élastiques associées à un système de FSx fichiers Amazon.
+ Affichez Amazon VPCs, les groupes de sécurité et les sous-réseaux associés à un système de FSx fichiers Amazon.
+ Attribuez des IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise.
+ Annulez l'attribution d' IPv6 adresses aux interfaces réseau des clients dotées d'une `AmazonFSx.FileSystemId` balise.
+ Fournir une validation améliorée des groupes de sécurité de tous les groupes de sécurité pouvant être utilisés avec un VPC.
+ Créez une autorisation permettant à un utilisateur AWS autorisé d'effectuer certaines opérations sur une interface réseau.
+ `cloudwatch`— Permet FSx à Amazon de publier des points de données métriques CloudWatch sous l'espace de FSx noms AWS/.
+ `route53`— Permet FSx à Amazon d'associer un Amazon VPC à une zone hébergée privée.
+ `logs`— Permet FSx à Amazon de décrire et d'écrire dans les flux de CloudWatch journaux Logs. Cela permet aux utilisateurs d'envoyer les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server vers un flux de CloudWatch journaux.
+ `firehose`— Permet FSx à Amazon de décrire et d'écrire dans les flux de diffusion Amazon Data Firehose. Cela permet aux utilisateurs de publier les journaux d'audit d'accès aux fichiers FSx pour un système de fichiers Windows File Server sur un flux de diffusion Amazon Data Firehose.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Toute mise à jour de cette politique est décrite dans[Amazon FSx met à jour AWS ses politiques gérées](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations du rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le Guide de l’utilisateur IAM.
### AWSServiceRoleForFSxDétails des autorisations S3 Access
En `AWSServiceRoleForFSxS3Access_file-system-id` effet, la politique d'autorisation des rôles permet FSx à Amazon d'effectuer les actions suivantes sur un compartiment Amazon S3 hébergeant le référentiel de données d'un système de fichiers Amazon FSx for Lustre.
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutObject`
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
## Création d'un rôle lié à un service pour Amazon FSx
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez un système de fichiers dans le AWS Management Console AWS CLI, le ou l' AWS API, Amazon FSx crée le rôle lié au service pour vous.
**Important**
Ce rôle lié à un service peut apparaître dans votre compte si vous avez effectué une action dans un autre service qui utilise les fonctions prises en charge par ce rôle. Pour de plus amples informations, veuillez consulter [Un nouveau rôle est apparu dans mon compte IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez un système de fichiers, Amazon FSx crée à nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour Amazon FSx
Amazon FSx ne vous autorise pas à modifier ces rôles liés aux services. Après avoir créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour Amazon FSx
Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Toutefois, vous devez supprimer tous vos systèmes de fichiers et toutes vos sauvegardes avant de pouvoir supprimer manuellement le rôle lié à un service.
**Note**
Si le FSx service Amazon utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.
**Pour supprimer manuellement le rôle lié au service à l’aide d’IAM**
Utilisez la console IAM, l’interface de ligne de commande IAM ou l’API IAM pour supprimer le rôle lié à un service AWSServiceRoleForAmazonFSx. Pour en savoir plus, consultez [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le *Guide de l’utilisateur IAM*.
## Régions prises en charge pour les rôles FSx liés aux services Amazon
Amazon FSx prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez [Régions et Points de terminaison AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).
# Contrôle d'accès au système de fichiers avec Amazon VPC
Un système de FSx fichiers Amazon est accessible via une interface réseau élastique qui réside dans le cloud privé virtuel (VPC) basé sur le service Amazon VPC que vous associez à votre système de fichiers. Vous accédez à votre système de FSx fichiers Amazon via son nom DNS, qui correspond à l'interface réseau du système de fichiers. Seules les ressources du VPC associé, ou d'un VPC pair, peuvent accéder à l'interface réseau de votre système de fichiers. Pour de plus amples informations, veuillez consulter [Qu'est-ce qu'Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) dans le *Guide de l'utilisateur Amazon VPC*.
**Avertissement**
Vous ne devez ni modifier ni supprimer l'interface Amazon FSx Elastic network. La modification ou la suppression de l'interface réseau peut entraîner une perte permanente de connexion entre votre VPC et votre système de fichiers.
## Groupes de sécurité Amazon VPC
Pour mieux contrôler le trafic réseau passant par l'interface réseau de votre système de fichiers au sein de votre VPC, vous utilisez des groupes de sécurité pour limiter l'accès à vos systèmes de fichiers. Un *groupe de sécurité* agit comme un pare-feu virtuel pour contrôler le trafic des ressources associées. Dans ce cas, la ressource associée est l'interface réseau de votre système de fichiers. Vous utilisez également des groupes de sécurité VPC pour contrôler le trafic réseau de votre Lustre clients.
### Groupes de sécurité compatibles avec EFA
Si vous souhaitez créer un groupe de sécurité compatible EFA FSx pour Lustre, vous devez d'abord créer un groupe de sécurité compatible EFA et le spécifier comme groupe de sécurité pour le système de fichiers. Un EFA nécessite un groupe de sécurité qui autorise tout le trafic entrant et sortant à destination et en provenance du groupe de sécurité lui-même et du groupe de sécurité des clients si les clients résident dans un autre groupe de sécurité. Pour plus d'informations, consultez [Étape 1 : Préparation d'un groupe de sécurité compatible EFA](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/efa-start.html#efa-start-security) dans le guide de l'utilisateur *Amazon EC2 *.
### Contrôle de l'accès à l'aide de règles entrantes et sortantes
Pour utiliser un groupe de sécurité afin de contrôler l'accès à votre système de FSx fichiers Amazon et Lustre clients, vous ajoutez les règles entrantes pour contrôler le trafic entrant et les règles sortantes pour contrôler le trafic sortant de votre système de fichiers et Lustre clients. Assurez-vous de disposer des bonnes règles de trafic réseau dans votre groupe de sécurité pour mapper le partage de FSx fichiers de votre système de fichiers Amazon à un dossier de votre instance de calcul prise en charge.
Pour plus d'informations sur les règles des groupes de sécurité, consultez [la section Règles des groupes de sécurité](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-security-groups.html#security-group-rules) dans le *guide de EC2 l'utilisateur Amazon*.
**Pour créer un groupe de sécurité pour votre système de FSx fichiers Amazon**
1. Ouvrez la EC2 console Amazon à l'adresse [https://console.aws.amazon.com/ec2](https://console.aws.amazon.com/ec2).
1. Dans le panneau de navigation, choisissez **Security Groups** (Groupes de sécurité).
1. Sélectionnez **Créer un groupe de sécurité**.
1. Attribuez un nom et une description au groupe de sécurité.
1. Pour le **VPC**, choisissez le VPC associé à votre système de FSx fichiers Amazon pour créer le groupe de sécurité au sein de ce VPC.
1. Choisissez **Create (Créer)** pour créer le groupe de sécurité.
Ensuite, vous ajoutez des règles entrantes au groupe de sécurité que vous venez de créer pour activer Lustre trafic entre vos serveurs de fichiers FSx for Lustre.
**Pour ajouter des règles de trafic entrant à votre groupe de sécurité**
1. Sélectionnez le groupe de sécurité que vous venez de créer s'il n'est pas déjà sélectionné. Pour **Actions**, choisissez **Modifier les règles entrantes**.
1. Ajoutez les règles de trafic entrant suivantes.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Choisissez **Enregistrer** pour enregistrer et appliquer les nouvelles règles de trafic entrant.
Par défaut, les règles du groupe de sécurité autorisent tout le trafic sortant (Tout, 0.0.0.0/0). Si votre groupe de sécurité n'autorise pas tout le trafic sortant, ajoutez les règles sortantes suivantes à votre groupe de sécurité. Ces règles autorisent le trafic entre FSx les serveurs de fichiers Lustre et Lustre clients, et entre Lustre serveurs de fichiers.
**Pour ajouter des règles de trafic sortant à votre groupe de sécurité**
1. Choisissez le même groupe de sécurité auquel vous venez d'ajouter les règles entrantes. Pour **Actions**, choisissez **Modifier les règles sortantes**.
1. Ajoutez les règles sortantes suivantes.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/fsx/latest/LustreGuide/limit-access-security-groups.html)
1. Choisissez **Enregistrer** pour enregistrer et appliquer les nouvelles règles de trafic sortant.
**Pour associer un groupe de sécurité à votre système de FSx fichiers Amazon**
1. Ouvrez la FSx console Amazon à l'adresse [https://console.aws.amazon.com/fsx/](https://console.aws.amazon.com/fsx/).
1. Sur le tableau de bord de la console, choisissez votre système de fichiers pour en afficher les détails.
1. Dans l'onglet **Réseau et sécurité**, cliquez sur le lien de la ** EC2 console Amazon** sous **Interface (s) réseau (s)** pour afficher toutes les interfaces réseau de votre système de fichiers.
1. Pour chaque interface réseau, choisissez **Actions**, puis **Modifier les groupes de sécurité**.
1. Dans la boîte **de dialogue Modifier les groupes** de sécurité, choisissez les groupes de sécurité que vous souhaitez associer à l'interface réseau.
1. Choisissez **Save** (Enregistrer).
## Lustre règles du groupe de sécurité VPC client
Vous utilisez des groupes de sécurité VPC pour contrôler l'accès à votre Lustre clients en ajoutant des règles entrantes pour contrôler le trafic entrant et des règles sortantes pour contrôler le trafic sortant de votre Lustre clients. Assurez-vous de disposer des bonnes règles de trafic réseau dans votre groupe de sécurité afin de garantir que Lustre le trafic peut circuler entre votre Lustre clients et vos systèmes de FSx fichiers Amazon.
Ajoutez les règles de trafic entrant suivantes aux groupes de sécurité appliqués à votre Lustre clients.
| Type | Protocole | Plage de ports | Source | Description |
| --- | --- | --- | --- | --- |
| Règle TCP personnalisée | TCP | 988 | Choisissez Personnalisé et entrez le groupe IDs de sécurité des groupes de sécurité appliqués à votre Lustre clients | Autorise Lustre trafic entre Lustre clients |
| Règle TCP personnalisée | TCP | 988 | Choisissez Personnalisé et entrez le groupe IDs de sécurité des groupes de sécurité associés à vos systèmes de fichiers FSx pour Lustre | Autorise Lustre trafic entre les serveurs de fichiers FSx pour Lustre et Lustre clients |
| Règle TCP personnalisée | TCP | 1018-1023 | Choisissez Personnalisé et entrez le groupe IDs de sécurité des groupes de sécurité appliqués à votre Lustre clients | Autorise Lustre trafic entre Lustre clients |
| Règle TCP personnalisée | TCP | 1018-1023 | Choisissez Personnalisé et entrez le groupe IDs de sécurité des groupes de sécurité associés à vos systèmes de fichiers FSx pour Lustre | Autorise Lustre trafic entre les serveurs de fichiers FSx pour Lustre et Lustre clients |
Ajoutez les règles sortantes suivantes aux groupes de sécurité appliqués à votre Lustre clients.
| Type | Protocole | Plage de ports | Source | Description |
| --- | --- | --- | --- | --- |
| Règle TCP personnalisée | TCP | 988 | Choisissez Personnalisé et entrez le groupe IDs de sécurité des groupes de sécurité appliqués à votre Lustre clients | Autorise Lustre trafic entre Lustre clients |
| Règle TCP personnalisée | TCP | 988 | Choisissez Personnalisé et entrez le groupe IDs de sécurité des groupes de sécurité associés à vos systèmes de fichiers FSx pour Lustre | Autorisation Lustre trafic entre les serveurs de fichiers FSx pour Lustre et Lustre clients |
| Règle TCP personnalisée | TCP | 1018-1023 | Choisissez Personnalisé et entrez le groupe IDs de sécurité des groupes de sécurité appliqués à votre Lustre clients | Autorise Lustre trafic entre Lustre clients |
| Règle TCP personnalisée | TCP | 1018-1023 | Choisissez Personnalisé et entrez le groupe IDs de sécurité des groupes de sécurité associés à vos systèmes de fichiers FSx pour Lustre | Autorise Lustre trafic entre les serveurs de fichiers FSx pour Lustre et Lustre clients |
# Réseau Amazon VPC ACLs
Une autre option pour sécuriser l'accès au système de fichiers au sein de votre VPC consiste à établir des listes de contrôle d'accès réseau (réseau ACLs). Le réseau est distinct ACLs des groupes de sécurité, mais possède des fonctionnalités similaires pour ajouter une couche de sécurité supplémentaire aux ressources de votre VPC. Pour plus d'informations sur la mise en œuvre du contrôle d'accès via le réseau ACLs, consultez la section [Contrôler le trafic vers les sous-réseaux à l'aide du réseau ACLs](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) dans le guide de l'*utilisateur Amazon VPC*.
# Validation de conformité pour Amazon FSx for Lustre
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Amazon FSx pour Lustre et points de terminaison VPC d'interface ()AWS PrivateLink
Vous pouvez améliorer le niveau de sécurité de votre VPC en configurant Amazon FSx pour qu'il utilise un point de terminaison VPC d'interface. Les points de terminaison VPC d'interface sont alimentés par [AWS PrivateLink](https://aws.amazon.com/privatelink)une technologie qui vous permet d'accéder à Amazon en privé FSx APIs sans passerelle Internet, appareil NAT, connexion VPN ou connexion. Direct Connect Les instances de votre VPC n'ont pas besoin d'adresses IP publiques pour communiquer avec Amazon. FSx APIs Le trafic entre votre VPC et Amazon FSx ne quitte pas le AWS réseau.
Chaque point de terminaison VPC d'interface est représenté par une ou plusieurs interfaces réseau élastiques dans vos sous-réseaux. Une interface réseau fournit une adresse IP privée qui sert de point d'entrée pour le trafic vers l' FSx API Amazon.
## Considérations relatives aux points de terminaison FSx VPC de l'interface Amazon
Avant de configurer un point de terminaison VPC d'interface pour Amazon FSx, assurez-vous de consulter les [propriétés et les limites du point de terminaison d'interface VPC dans](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html#vpce-interface-limitations) le guide de l'utilisateur Amazon *VPC*.
Vous pouvez appeler n'importe quelle opération d' FSx API Amazon depuis votre VPC. Par exemple, vous pouvez créer un système de fichiers FSx pour Lustre en appelant l' CreateFileSystem API depuis votre VPC. Pour obtenir la liste complète d'Amazon FSx APIs, consultez la section [Actions](https://docs.aws.amazon.com/fsx/latest/APIReference/API_Operations.html) du manuel Amazon FSx API Reference.
### Considérations relatives au peering VPC
Vous pouvez en connecter d'autres VPCs au VPC à l'aide de points de terminaison VPC d'interface à l'aide de l'appairage VPC. Le peering VPC est une connexion réseau entre deux. VPCs Vous pouvez établir une connexion d'appairage VPC entre les vôtres ou avec un VPC dans un autre. VPCs Compte AWS Ils VPCs peuvent également être en deux versions différentes Régions AWS.
Le trafic entre pairs VPCs reste sur le AWS réseau et ne traverse pas l'Internet public. Une fois peered, VPCs les ressources telles que les instances Amazon Elastic Compute Cloud (Amazon EC2) présentes dans les deux instances VPCs peuvent accéder à l' FSx API Amazon via les points de terminaison VPC de l'interface créés dans l'un des. VPCs
## Création d'un point de terminaison VPC d'interface pour Amazon API FSx
Vous pouvez créer un point de terminaison VPC pour l' FSx API Amazon à l'aide de la console Amazon VPC ou du (). AWS Command Line Interface AWS CLI Pour plus d'informations, consultez la section [Création d'un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) dans le guide de l'utilisateur Amazon *VPC*.
Pour une liste complète des points de FSx terminaison Amazon, consultez la section Points de [ FSx terminaison et quotas Amazon](https://docs.aws.amazon.com/general/latest/gr/fsxn.html) dans le. *Référence générale d'Amazon Web Services*
Pour créer un point de terminaison VPC d'interface pour Amazon FSx, utilisez l'une des méthodes suivantes :
+ `com.amazonaws.region.fsx`— Crée un point de terminaison pour les opérations FSx d'API Amazon.
+ **`com.amazonaws.region.fsx-fips`**— Crée un point de terminaison pour l' FSx API Amazon conforme à la [norme fédérale de traitement de l'information (FIPS) 140-2](https://aws.amazon.com/compliance/fips/).
Pour utiliser l'option DNS privé, vous devez définir les `enableDnsSupport` attributs `enableDnsHostnames` et de votre VPC. Pour plus d'informations, consultez la section [Affichage et mise à jour du support DNS pour votre VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-updating) dans le guide de l'utilisateur Amazon *VPC*.
Sauf Régions AWS en Chine, si vous activez le DNS privé pour le point de terminaison, vous pouvez envoyer des demandes d'API à Amazon FSx avec le point de terminaison VPC en utilisant son nom DNS par défaut pour le Région AWS, par exemple. `fsx.us-east-1.amazonaws.com` Pour la Chine (Pékin) et la Chine (Ningxia) Régions AWS, vous pouvez effectuer des demandes d'API avec le point de terminaison VPC `fsx-api---cn-north-1.amazonaws.com.rproxy.govskope.ca.cn` en utilisant `fsx-api---cn-northwest-1.amazonaws.com.rproxy.govskope.ca.cn` et, respectivement.
Pour plus d'informations, consultez la section [Accès à un service via un point de terminaison VPC d'interface](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) dans le guide de l'utilisateur Amazon *VPC*.
## Création d'une politique de point de terminaison VPC pour Amazon FSx
Pour mieux contrôler l'accès à l' FSx API Amazon, vous pouvez éventuellement associer une politique Gestion des identités et des accès AWS (IAM) à votre point de terminaison VPC. La stratégie spécifie les éléments suivants :
+ Le principal qui peut exécuter des actions.
+ Les actions qui peuvent être effectuées.
+ Les ressources sur lesquelles les actions peuvent être exécutées.
Pour plus d’informations, consultez [Contrôle de l’accès aux services avec points de terminaison d’un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *Guide de l’utilisateur Amazon VPC*.