Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Rôle d'utilisateur IAM dans AMS
Un rôle IAM est similaire à un utilisateur IAM, dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin.
Il existe actuellement un rôle utilisateur AMS par défaut pour `Customer_ReadOnly_Role` les comptes AMS standard et un rôle supplémentaire `customer_managed_ad_user_role` pour les comptes AMS avec Managed Active Directory.
Les politiques de rôle définissent les autorisations CloudWatch et les actions de journalisation d'Amazon S3, l'accès à la console AMS, les restrictions en lecture seule pour la plupart Services AWS, l'accès restreint à la console S3 du compte et l'accès au type de changement de type AMS.
En outre, il `Customer_ReadOnly_Role` dispose d'autorisations mutatives sur les instances réservées qui vous permettent de réserver des instances. Cela permet de réaliser des économies. Par conséquent, si vous savez que vous aurez besoin d'un certain nombre d' EC2 instances Amazon pendant une longue période, vous pouvez les APIs appeler. Pour en savoir plus, consultez [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**Note**
L'objectif de niveau de service (SLO) AMS pour créer des politiques IAM personnalisées pour les utilisateurs IAM est de quatre jours ouvrables, sauf si une politique existante doit être réutilisée. Si vous souhaitez modifier le rôle d'utilisateur IAM existant ou en ajouter un nouveau, soumettez une RFC [IAM : Update Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) ou [IAM : Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html), respectivement.
Si les rôles Amazon IAM ne vous sont pas familiers, consultez la section Rôles [IAM pour obtenir des](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) informations importantes.
**Zone d'atterrissage multi-comptes (MALZ)** : pour voir les politiques de rôle utilisateur par défaut et non personnalisées de la zone d'atterrissage multi-comptes AMS, reportez-vous à la section suivante. [MALZ : Rôles utilisateur IAM par défaut](#json-default-role-malz)
## MALZ : Rôles utilisateur IAM par défaut
Déclarations de politique JSON pour les rôles utilisateur par défaut de la zone de landing zone multi-comptes AMS multi-comptes.
**Note**
Les rôles des utilisateurs sont personnalisables et peuvent varier d'un compte à l'autre. Des instructions pour trouver votre rôle sont fournies.
Voici des exemples des rôles utilisateur MALZ par défaut. Pour vous assurer que vous avez défini les politiques dont vous avez besoin, exécutez la commande AWS [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)ou connectez-vous à la [console AWS Management -> IAM](https://console.aws.amazon.com/iam/) et choisissez **Rôles** dans le volet de navigation.
### Rôles principaux du compte UO
Un compte principal est un compte d'infrastructure géré par Malz. Les comptes principaux de la zone de landing zone multi-comptes AMS incluent un compte de gestion et un compte réseau.
**Compte Core UO : rôles et politiques communs**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/defaults-user-role.html)
**Compte UO principal : rôles et politiques du compte de gestion**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/defaults-user-role.html)
**Compte UO principal : rôles et politiques du compte réseau**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/defaults-user-role.html)
### Rôles des comptes d'applications
Les rôles de compte d'application sont appliqués à vos comptes spécifiques à l'application.
**Compte d'application : rôles et politiques**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/defaults-user-role.html)
### Exemples de stratégies
Des exemples sont fournis pour la plupart des politiques utilisées. Pour consulter la ReadOnlyAccess politique (longue de plusieurs pages car elle fournit un accès en lecture seule à tous les AWS services), vous pouvez utiliser ce lien, si vous avez un compte AWS actif :. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Une version condensée est également incluse ici.
#### AMSBillingPolitique
`AMSBillingPolicy`
Le nouveau rôle de facturation peut être utilisé par votre service de comptabilité pour consulter et modifier les informations de facturation ou les paramètres du compte dans le compte de gestion. Pour accéder à des informations telles que les contacts alternatifs, consulter l'utilisation des ressources du compte, suivre votre facturation ou même modifier vos méthodes de paiement, vous utilisez ce rôle. Ce nouveau rôle comprend toutes les autorisations répertoriées sur la [page Web des actions IAM d'AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Autorisations permettant de voir tous les types de modifications AMS et l'historique des types de modifications demandés.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Autorisations permettant de demander le type de changement de type Déploiement \$1 Zone d'atterrissage gérée \$1 Compte de gestion \$1 Créer un compte d'application (avec VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Autorisations permettant de demander le type de changement de type Déploiement \$1 Zone d'atterrissage gérée \$1 Compte réseau \$1 Créer une table de routage de l'application.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(pour la gestion \$1 Autre \$1 Autre CTs)
Autorisations permettant de demander les types de modification Gestion \$1 Autre \$1 Autre \$1 Création et gestion \$1 Autre \$1 Autre \$1 Mettre à jour.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Autorisations permettant de consulter le secret passwords/hashes partagé par AMS AWS Secrets Manager (par exemple, les mots de passe de l'infrastructure à des fins d'audit).
Autorisations permettant de créer un secret password/hashes à partager avec AMS. (par exemple, les clés de licence pour les produits qui doivent être déployés).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Autorisations permettant de demander et de consulter tous les types de modifications AMS, ainsi que l'historique des types de modifications demandés.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Autorisations pour gérer les instances EC2 réservées Amazon ; pour plus d'informations sur les tarifs, consultez [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Politique
`AMSS3Policy`
Autorisations permettant de créer et de supprimer des fichiers à partir de compartiments Amazon S3 existants.
**Note**
Ces autorisations ne permettent pas de créer des compartiments S3 ; cela doit être fait avec le type de modification Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create change.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAccès
`AWSSupportAccess`
Accès complet à Support. Pour plus d'informations, consultez [Getting Started with Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Pour plus d'informations sur le Support Premium, consultez [Support](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Politique AWS gérée par le public)
Autorisations de s'abonner, de se désabonner et de consulter AWS Marketplace les abonnements.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Accès complet à AWS Certificate Manager. Pour de plus amples informations, veuillez consulter [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)informations, (politique publique gérée par AWS).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAccès
`AWSWAFFullAccess`
Accès complet à AWS WAF. Pour plus d'informations, voir [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)information, (politique AWS gérée par le public). Cette politique accorde un accès complet aux AWS WAF ressources.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Accès en lecture seule à tous les AWS services et ressources de la AWS console. Lors du AWS lancement d'un nouveau service, AMS met à jour la ReadOnlyAccess politique afin d'ajouter des autorisations en lecture seule pour le nouveau service. Les autorisations mises à jour s'appliquent à toutes les entités du principal auxquelles la politique est attachée.
Cela ne permet pas de se connecter à des EC2 hôtes ou à des hôtes de base de données.
Si vous avez une politique active Compte AWS, vous pouvez utiliser ce lien [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)pour consulter l'intégralité de la ReadOnlyAccess politique. L'ensemble ReadOnlyAccess de la politique est très long car il fournit un accès en lecture seule à tous. Services AWS Ce qui suit est un extrait partiel de la ReadOnlyAccess politique.
**Zone d'atterrissage à compte unique (SALZ)** : pour voir les politiques de rôle utilisateur par défaut et non personnalisées de la zone d'atterrissage à compte unique AMS, reportez-vous à la section suivante. [SALZ : rôle d'utilisateur IAM par défaut](#json-default-role)
## SALZ : rôle d'utilisateur IAM par défaut
Déclarations de politique JSON pour le rôle utilisateur par défaut de la zone de landing zone à compte unique AMS.
**Note**
Le rôle d'utilisateur par défaut de SALZ est personnalisable et peut varier d'un compte à l'autre. Des instructions pour trouver votre rôle sont fournies.
Voici un exemple du rôle utilisateur SALZ par défaut. Pour vous assurer que les politiques sont définies pour vous, exécutez la [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)commande. Vous pouvez également vous connecter à la Gestion des identités et des accès AWS console à l'[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)adresse, puis sélectionner **Rôles**.
Le rôle client en lecture seule est une combinaison de plusieurs politiques. Le détail du rôle (JSON) suit.
Politique d'audit des Managed Services :
Politique IAM ReadOnly de Managed Services
Politique relative aux utilisateurs de Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Politique partagée du Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Politique d'abonnement du Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------