Limitez les autorisations avec des déclarations de politique de rôle IAM - Guide de l'utilisateur avancé d'AMS

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Limitez les autorisations avec des déclarations de politique de rôle IAM

AMS utilise un rôle IAM pour définir les autorisations des utilisateurs via votre service de fédération.

Zone d'accueil à compte unique AMS : voir SALZ : Rôles d'utilisateur IAM par défaut.

Zone d'accueil multi-comptes AMS : voir MALZ : Rôles des utilisateurs IAM par défaut.

Un rôle IAM est une entité IAM qui définit un ensemble d'autorisations pour effectuer des demandes de AWS service. Les rôles IAM ne sont pas associés à un utilisateur ou à un groupe spécifique. Les entités de confiance assument plutôt des rôles, tels que les utilisateurs IAM, les applications ou les AWS services tels qu'Amazon EC2. Pour en savoir plus, consultez Rôles IAM.

Vous pouvez définir la politique souhaitée pour un utilisateur assumant le rôle d'utilisateur AMS IAM en utilisant l'opération d'API AWS Security Token Service (STS) AssumeRoleen transmettant une politique IAM plus restrictive dans le champ de Policy demande.

Des exemples de déclarations de politique que vous pouvez utiliser pour restreindre l'accès à la tomodensitométrie sont fournis ci-dessous.

À l'aide des groupes Active Directory (AD) que vous avez configurés et du fonctionnement de l'API AWS Security Token Service (STS) AssumeRole, vous pouvez définir des autorisations pour certains utilisateurs ou groupes, notamment en restreignant l'accès à certains types de modifications (CTs). Vous pouvez utiliser les déclarations de politique ci-dessous pour restreindre l'accès à la tomodensitométrie de différentes manières.

Instruction de type de modification AMS dans le profil d'instance IAM par défaut qui permet d'accéder à tous les appels d'API AMS (amscm et amsskms) et à tous les types de modification :

{
    "Sid": "AWSManagedServicesFullAccess",
    "Effect": "Allow",
    "Action": [
        "amscm:*",
        "amsskms:*"
    ],
    "Resource": [
        "*"
    ]
}

  1. Déclaration autorisant l'accès et toutes les actions pour deux applications spécifiées uniquement CTs, où « Action » correspond aux opérations de l'API AMS (amscmou bienamsskms), et « Ressource » représente le type de modification IDs et le numéro de version existants :

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "amscm:*",
            "Resource": [
                "arn:aws:amscm:*:*:changetype/ct-ID1:1.0",
                "arn:aws:amscm:*:*:changetype/ct-ID2:1.0"
            ]
        }
    ]
}

  2. Déclaration autorisant l'accès pour CreateRfc UpdateRfc, et SubmitRfc sur les deux seules données spécifiées CTs :

  3. Déclaration autorisant l'accès pour CreateRfc UpdateRfc, et SubmitRfc sur tous les éléments disponibles CTs :

  4. Déclaration visant à refuser l'accès à toutes les actions relatives à la tomodensitométrie restreinte et à n'en autoriser aucune autre CTs :