Rôle d'utilisateur IAM dans AMS - Guide d'intégration avancé d'AMS
MALZ : Rôles utilisateur IAM par défautSALZ : rôle d'utilisateur IAM par défaut

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôle d'utilisateur IAM dans AMS

Un rôle IAM est similaire à un utilisateur IAM, dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin.

Il existe actuellement un rôle utilisateur AMS par défaut pour Customer_ReadOnly_Role les comptes AMS standard et un rôle supplémentaire customer_managed_ad_user_role pour les comptes AMS avec Managed Active Directory.

Les politiques de rôle définissent les autorisations CloudWatch et les actions de journalisation d'Amazon S3, l'accès à la console AMS, les restrictions en lecture seule pour la plupart Services AWS, l'accès restreint à la console S3 du compte et l'accès au type de changement de type AMS.

En outre, il Customer_ReadOnly_Role dispose d'autorisations mutatives sur les instances réservées qui vous permettent de réserver des instances. Cela permet de réaliser des économies. Par conséquent, si vous savez que vous aurez besoin d'un certain nombre d' EC2 instances Amazon pendant une longue période, vous pouvez les APIs appeler. Pour en savoir plus, consultez Amazon EC2 Reserved Instances.

Note

L'objectif de niveau de service (SLO) AMS pour créer des politiques IAM personnalisées pour les utilisateurs IAM est de quatre jours ouvrables, sauf si une politique existante doit être réutilisée. Si vous souhaitez modifier le rôle d'utilisateur IAM existant ou en ajouter un nouveau, soumettez une RFC IAM : Update Entity ou IAM : Create Entity, respectivement.

Si les rôles Amazon IAM ne vous sont pas familiers, consultez la section Rôles IAM pour obtenir des informations importantes.

Zone d'atterrissage multi-comptes (MALZ) : pour voir les politiques de rôle utilisateur par défaut et non personnalisées de la zone d'atterrissage multi-comptes AMS, reportez-vous à la section suivante. MALZ : Rôles utilisateur IAM par défaut

MALZ : Rôles utilisateur IAM par défaut

Déclarations de politique JSON pour les rôles utilisateur par défaut de la zone de landing zone multi-comptes AMS multi-comptes.

Note

Les rôles des utilisateurs sont personnalisables et peuvent varier d'un compte à l'autre. Des instructions pour trouver votre rôle sont fournies.

Voici des exemples des rôles utilisateur MALZ par défaut. Pour vous assurer que vous avez défini les politiques dont vous avez besoin, exécutez la commande AWS get-roleou connectez-vous à la console AWS Management -> IAM et choisissez Rôles dans le volet de navigation.

Rôles principaux du compte UO

Un compte principal est un compte d'infrastructure géré par Malz. Les comptes principaux de la zone de landing zone multi-comptes AMS incluent un compte de gestion et un compte réseau.

Compte Core UO : rôles et politiques communs
Rôle Politique ou politiques

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Politique publique gérée par AWS).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccès (politique publique gérée par AWS).

AWSManagedServicesChangeManagementRole (Version du compte principal)

ReadOnlyAccess

AWSSupportAccès

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

Compte UO principal : rôles et politiques du compte de gestion
Rôle Politique ou politiques

AWSManagedServicesBillingRole

AMSBillingPolitique (AMSBillingPolitique).

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Politique publique gérée par AWS).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccès (politique publique gérée par AWS).

AWSManagedServicesChangeManagementRole (Version du compte de gestion)

ReadOnlyAccess

AWSSupportAccès

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Compte UO principal : rôles et politiques du compte réseau
Rôle Politique ou politiques

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Politique publique gérée par AWS).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccès (politique publique gérée par AWS).

AWSManagedServicesChangeManagementRole (Version du compte réseau)

ReadOnlyAccess

AWSSupportAccès

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Rôles des comptes d'applications

Les rôles de compte d'application sont appliqués à vos comptes spécifiques à l'application.

Compte d'application : rôles et politiques
Rôle Politique ou politiques

AWSManagedServicesReadOnlyRole

ReadOnlyAccess(Politique publique gérée par AWS).

AWSManagedServicesCaseRole

ReadOnlyAccess

AWSSupportAccès (politique publique gérée par AWS).

Cette politique donne accès à toutes les opérations et ressources de support. Pour plus d'informations, consultez Getting Started with AWS Support.

AWSManagedServicesSecurityOpsRole

ReadOnlyAccess

AWSSupportExemple d'accès

Cette politique donne accès à toutes les opérations et ressources de support.

AWSCertificateManagerFullAccessinformations, (politique publique gérée par AWS)

AWSWAFFullAccessinformations, (politique publique gérée par AWS). Cette politique accorde un accès complet aux ressources AWS WAF.

AMSSecretsManagerSharedPolicy

AWSManagedServicesChangeManagementRole (Version du compte de l'application)

ReadOnlyAccess

AWSSupportAccès (politique publique gérée par AWS).

Cette politique donne accès à toutes les opérations et ressources de support. Pour plus d'informations, consultez Getting Started with AWS Support.

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AMSReservedInstancesPolicy

AMSS3Stratégie

AWSManagedServicesAdminRole

ReadOnlyAccess

AWSSupportAccès

AMSChangeManagementInfrastructurePolicy

AWSMarketplaceManageSubscriptions

AMSSecretsManagerSharedPolicy

AMSChangeManagementPolicy

AWSCertificateManagerFullAccess

AWSWAFFullAccès

AMSS3Stratégie

AMSReservedInstancesPolicy

Exemples de stratégies

Des exemples sont fournis pour la plupart des politiques utilisées. Pour consulter la ReadOnlyAccess politique (longue de plusieurs pages car elle fournit un accès en lecture seule à tous les AWS services), vous pouvez utiliser ce lien, si vous avez un compte AWS actif :. ReadOnlyAccess Une version condensée est également incluse ici.

AMSBillingPolitique

AMSBillingPolicy

Le nouveau rôle de facturation peut être utilisé par votre service de comptabilité pour consulter et modifier les informations de facturation ou les paramètres du compte dans le compte de gestion. Pour accéder à des informations telles que les contacts alternatifs, consulter l'utilisation des ressources du compte, suivre votre facturation ou même modifier vos méthodes de paiement, vous utilisez ce rôle. Ce nouveau rôle comprend toutes les autorisations répertoriées sur la page Web des actions IAM d'AWS Billing.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "aws-portal:ViewBilling",
                "aws-portal:ModifyBilling"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToBilling"
        },
        {
            "Action": [
                "aws-portal:ViewAccount",
                "aws-portal:ModifyAccount"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountSettings"
        },
        {
            "Action": [
                "budgets:ViewBudget",
                "budgets:ModifyBudget"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToAccountBudget"
        },
        {
            "Action": [
                "aws-portal:ViewPaymentMethods",
                "aws-portal:ModifyPaymentMethods"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPaymentMethods"
        },
        {
            "Action": [
                "aws-portal:ViewUsage"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToUsage"
        },
        {
            "Action": [
                "cur:DescribeReportDefinitions",
                "cur:PutReportDefinition",
                "cur:DeleteReportDefinition",
                "cur:ModifyReportDefinition"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostAndUsageReport"
        },
        {
            "Action": [
                "pricing:DescribeServices",
                "pricing:GetAttributeValues",
                "pricing:GetProducts"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPricing"
        },
        {
            "Action": [
                "ce:*",
                "compute-optimizer:*"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToCostExplorerComputeOptimizer"
        },
        {
            "Action": [
                "purchase-orders:ViewPurchaseOrders",
                "purchase-orders:ModifyPurchaseOrders"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToPurchaseOrders"
        },
        {
            "Action": [
                "redshift:AcceptReservedNodeExchange",
                "redshift:PurchaseReservedNodeOffering"
            ],
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AllowAccessToRedshiftAction"
        },
        {
            "Action": "savingsplans:*",
            "Resource": "*",
            "Effect": "Allow",
            "Sid": "AWSSavingsPlansFullAccess"
        }
    ]
}

AMSChangeManagementReadOnlyPolicy

AMSChangeManagementReadOnlyPolicy

Autorisations permettant de voir tous les types de modifications AMS et l'historique des types de modifications demandés.

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

AMSMasterAccountSpecificChangeManagementInfrastructurePolicy

Autorisations permettant de demander le type de changement de type Déploiement | Zone d'atterrissage gérée | Compte de gestion | Créer un compte d'application (avec VPC).

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy

Autorisations permettant de demander le type de changement de type Déploiement | Zone d'atterrissage gérée | Compte réseau | Créer une table de routage de l'application.

AMSChangeManagementInfrastructurePolicy

AMSChangeManagementInfrastructurePolicy(pour la gestion | Autre | Autre CTs)

Autorisations permettant de demander les types de modification Gestion | Autre | Autre | Création et gestion | Autre | Autre | Mettre à jour.

AMSSecretsManagerSharedPolicy

AMSSecretsManagerSharedPolicy

Autorisations permettant de consulter le secret passwords/hashes partagé par AMS AWS Secrets Manager (par exemple, les mots de passe de l'infrastructure à des fins d'audit).

Autorisations permettant de créer un secret password/hashes à partager avec AMS. (par exemple, les clés de licence pour les produits qui doivent être déployés).

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
			"Sid": "AllowAccessToSharedNameSpaces",
			"Effect": "Allow",
			"Action": "secretsmanager:*",
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
				"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
			]
		},
		{
			"Sid": "DenyGetSecretOnCustomerNamespace",
			"Effect": "Deny",
			"Action": "secretsmanager:GetSecretValue",
			"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
		},
		{
			"Sid": "AllowReadAccessToAMSNameSpace",
			"Effect": "Deny",
			"NotAction": [
				"secretsmanager:Describe*",
				"secretsmanager:Get*",
				"secretsmanager:List*"
			],
			"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
		}
	]
}

AMSChangeManagementPolicy

AMSChangeManagementPolicy

Autorisations permettant de demander et de consulter tous les types de modifications AMS, ainsi que l'historique des types de modifications demandés.

AMSReservedInstancesPolicy

AMSReservedInstancesPolicy

Autorisations pour gérer les instances EC2 réservées Amazon ; pour plus d'informations sur les tarifs, consultez Amazon EC2 Reserved Instances.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Sid": "AllowReservedInstancesManagement",
		"Effect": "Allow",
		"Action": [
			"ec2:ModifyReservedInstances",
			"ec2:PurchaseReservedInstancesOffering"
		],
		"Resource": [
			"*"
		]
	}]
}

AMSS3Politique

AMSS3Policy

Autorisations permettant de créer et de supprimer des fichiers à partir de compartiments Amazon S3 existants.

Note

Ces autorisations ne permettent pas de créer des compartiments S3 ; cela doit être fait avec le type de modification Deployment | Advanced stack components | S3 storage | Create change.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:AbortMultipartUpload",
                "s3:DeleteObject",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}

AWSSupportAccès

AWSSupportAccess

Accès complet à Support. Pour plus d'informations, consultez Getting Started with Support. Pour plus d'informations sur le Support Premium, consultez Support.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"support:*"
		],
		"Resource": "*"
	}]
}

AWSMarketplaceManageSubscriptions

AWSMarketplaceManageSubscriptions(Politique AWS gérée par le public)

Autorisations de s'abonner, de se désabonner et de consulter AWS Marketplace les abonnements.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Action": [
			"aws-marketplace:ViewSubscriptions",
			"aws-marketplace:Subscribe",
			"aws-marketplace:Unsubscribe"
		],
		"Effect": "Allow",
		"Resource": "*"
	}]
}

AWSCertificateManagerFullAccess

AWSCertificateManagerFullAccess

Accès complet à AWS Certificate Manager. Pour de plus amples informations, veuillez consulter AWS Certificate Manager.

AWSCertificateManagerFullAccessinformations, (politique publique gérée par AWS).

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Effect": "Allow",
		"Action": [
			"acm:*"
		],
		"Resource": "*"
	}]
}

AWSWAFFullAccès

AWSWAFFullAccess

Accès complet à AWS WAF. Pour plus d'informations, voir AWS WAF - Web Application Firewall.

AWSWAFFullAccessinformation, (politique AWS gérée par le public). Cette politique accorde un accès complet aux AWS WAF ressources.

JSON
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [{
		"Action": [
			"waf:*",
			"waf-regional:*",
			"elasticloadbalancing:SetWebACL"
		],
		"Effect": "Allow",
		"Resource": "*"
	}]
}

ReadOnlyAccess

ReadOnlyAccess

Accès en lecture seule à tous les AWS services et ressources de la AWS console. Lors du AWS lancement d'un nouveau service, AMS met à jour la ReadOnlyAccess politique afin d'ajouter des autorisations en lecture seule pour le nouveau service. Les autorisations mises à jour s'appliquent à toutes les entités du principal auxquelles la politique est attachée.

Cela ne permet pas de se connecter à des EC2 hôtes ou à des hôtes de base de données.

Si vous avez une politique active Compte AWS, vous pouvez utiliser ce lien ReadOnlyAccesspour consulter l'intégralité de la ReadOnlyAccess politique. L'ensemble ReadOnlyAccess de la politique est très long car il fournit un accès en lecture seule à tous. Services AWS Ce qui suit est un extrait partiel de la ReadOnlyAccess politique.

Zone d'atterrissage à compte unique (SALZ) : pour voir les politiques de rôle utilisateur par défaut et non personnalisées de la zone d'atterrissage à compte unique AMS, reportez-vous à la section suivante. SALZ : rôle d'utilisateur IAM par défaut

SALZ : rôle d'utilisateur IAM par défaut

Déclarations de politique JSON pour le rôle utilisateur par défaut de la zone de landing zone à compte unique AMS.

Note

Le rôle d'utilisateur par défaut de SALZ est personnalisable et peut varier d'un compte à l'autre. Des instructions pour trouver votre rôle sont fournies.

Voici un exemple du rôle utilisateur SALZ par défaut. Pour vous assurer que les politiques sont définies pour vous, exécutez la get-rolecommande. Vous pouvez également vous connecter à la AWS Identity and Access Management console à l'https://console.aws.amazon.com/iam/adresse, puis sélectionner Rôles.

Le rôle client en lecture seule est une combinaison de plusieurs politiques. Le détail du rôle (JSON) suit.

Politique d'audit des Managed Services :

Politique IAM ReadOnly de Managed Services

Politique relative aux utilisateurs de Managed Services


	{
  "Version": "2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowCustomerToListTheLogBucketLogs",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "aws/*",
            "app/*",
            "encrypted",
            "encrypted/",
            "encrypted/app/*"
          ]
        }
      }
    },
    {
      "Sid": "BasicAccessRequiredByS3Console",
      "Effect": "Allow",
      "Action": [
        "s3:ListAllMyBuckets",
        "s3:GetBucketLocation"
      ],
      "Resource": [
        "arn:aws:s3:::*"
      ]
    },
    {
      "Sid": "AllowCustomerToGetLogs",
      "Effect": "Allow",
      "Action": [
        "s3:GetObject*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/aws/*",
        "arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
      ]
    },
    {
      "Sid": "AllowAccessToOtherObjects",
      "Effect": "Allow",
      "Action": [
        "s3:DeleteObject*",
        "s3:Get*",
        "s3:List*",
        "s3:PutObject*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCustomerToListTheLogBucketRoot",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringEquals": {
          "s3:prefix": [
            "",
            "/"
          ]
        }
      }
    },
    {
      "Sid": "AllowCustomerCWLConsole",
      "Effect": "Allow",
      "Action": [
        "logs:DescribeLogStreams",
        "logs:DescribeLogGroups"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "AllowCustomerCWLAccessLogs",
      "Effect": "Allow",
      "Action": [
        "logs:FilterLogEvents",
        "logs:GetLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/*",
        "arn:aws:logs:*:*:log-group:/infra/*",
        "arn:aws:logs:*:*:log-group:/app/*",
        "arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
      ]
    },
    {
      "Sid": "AWSManagedServicesFullAccess",
      "Effect": "Allow",
      "Action": [
        "amscm:*",
        "amsskms:*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "ModifyAWSBillingPortal",
      "Effect": "Allow",
      "Action": [
        "aws-portal:Modify*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "DenyDeleteCWL",
      "Effect": "Deny",
      "Action": [
        "logs:DeleteLogGroup",
        "logs:DeleteLogStream"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:*"
      ]
    },
    {
      "Sid": "DenyMCCWL",
      "Effect": "Deny",
      "Action": [
        "logs:CreateLogGroup",
        "logs:CreateLogStream",
        "logs:DescribeLogStreams",
        "logs:FilterLogEvents",
        "logs:GetLogEvents",
        "logs:PutLogEvents"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/mc/*"
      ]
    },
    {
      "Sid": "DenyS3MCNamespace",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
        "arn:aws:s3:::mc-a*-logs-*/mc/*",
        "arn:aws:s3:::mc-a*-logs-*-audit/*",
        "arn:aws:s3:::mc-a*-internal-*/*",
        "arn:aws:s3:::mc-a*-internal-*"
      ]
    },
    {
      "Sid": "ExplicitDenyS3CfnBucket",
      "Effect": "Deny",
      "Action": [
        "s3:*"
      ],
      "Resource": [
        "arn:aws:s3:::cf-templates-*"
      ]
    },
    {
      "Sid": "DenyListBucketS3LogsMC",
      "Action": [
        "s3:ListBucket"
      ],
      "Effect": "Deny",
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*"
      ],
      "Condition": {
        "StringLike": {
          "s3:prefix": [
            "auditlog/*",
            "encrypted/mc/*",
            "mc/*"
          ]
        }
      }
    },
    {
      "Sid": "DenyS3LogsDelete",
      "Effect": "Deny",
      "Action": [
        "s3:Delete*",
        "s3:Put*"
      ],
      "Resource": [
        "arn:aws:s3:::mc-a*-logs-*/*"
      ]
    },
    {
      "Sid": "DenyAccessToKmsKeysStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "kms:*"
      ],
      "Resource": [
        "arn:aws:kms::*:key/mc-*",
        "arn:aws:kms::*:alias/mc-*"
      ]
    },
    {
      "Sid": "DenyListingOfStacksStartingWithMC",
      "Effect": "Deny",
      "Action": [
        "cloudformation:*"
      ],
      "Resource": [
        "arn:aws:cloudformation:*:*:stack/mc-*"
      ]
    },
    {
      "Sid": "AllowCreateCWMetricsAndManageDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:PutMetricData"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Sid": "AllowCreateandDeleteCWDashboards",
      "Effect": "Allow",
      "Action": [
        "cloudwatch:DeleteDashboards",
        "cloudwatch:PutDashboard"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

Politique partagée du Customer Secrets Manager

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowSecretsManagerListSecrets",
      "Effect": "Allow",
      "Action": "secretsmanager:listSecrets",
      "Resource": "*"
    },
    {
      "Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
      "Effect": "Allow",
      "Action": "secretsmanager:*",
      "Resource": [
        "arn:aws:secretsmanager:*:*:secret:ams-shared/*",
        "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
      ]
    },
   {
      "Sid": "DenyCustomerGetSecretCustomerNamespace",
      "Effect": "Deny",
      "Action": "secretsmanager:GetSecretValue",
      "Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
    },  
    {
      "Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
      "Effect": "Deny",
      "NotAction": [
        "secretsmanager:Describe*",
        "secretsmanager:Get*",
        "secretsmanager:List*"
      ],
      "Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
    }
  ]
}

Politique d'abonnement du Customer Marketplace

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowMarketPlaceSubscriptions",
      "Effect": "Allow",
      "Action": [
        "aws-marketplace:ViewSubscriptions",
        "aws-marketplace:Subscribe"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}