View a markdown version of this page

Politiques de contrôle des ressources (RCP) - AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Politiques de contrôle des ressources (RCP)

Note

Politiques de contrôle des services (SCP) et politiques de contrôle des ressources (RCP)

Utilisez un SCP lorsque vous devez limiter les autorisations des principaux IAM sur les comptes membres de votre organisation.

Utilisez un RCP lorsque vous devez empêcher les principaux IAM externes aux comptes de votre organisation de faire des demandes d'accès aux ressources des comptes membres de votre organisation.

Pour plus d'informations, voir Comprendre les SCP et les RCP.

Les politiques de contrôle des ressources (RCP) sont un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. Les RCP offrent un contrôle centralisé sur les autorisations maximales disponibles pour les ressources de votre organisation. Les RCP vous aident à garantir que les ressources de vos comptes respectent les directives de contrôle d'accès de votre organisation. Les RCP ne sont disponibles que dans une organisation dont toutes les fonctionnalités sont activées. Les RCP ne sont pas disponibles si votre organisation n'a activé que les fonctionnalités de facturation consolidée. Pour obtenir des instructions sur l'activation des RCP, consultezDésactivation d'un type de politique.

Les RCP ne suffisent pas à eux seuls à accorder des autorisations aux ressources de votre organisation. Aucune autorisation n'est accordée par un RCP. Un RCP définit un garde-fou en matière d'autorisations, ou fixe des limites, aux actions que les identités peuvent effectuer sur les ressources de vos organisations. L'administrateur doit toujours associer des politiques basées sur l'identité aux utilisateurs ou aux rôles IAM, ou des politiques basées sur les ressources aux ressources de vos comptes pour réellement accorder des autorisations. Pour plus d'informations, consultez Identity-based les politiques et les politiques basées sur les ressources dans le guide de l'utilisateur IAM.

Les autorisations effectives sont l'intersection logique entre ce qui est autorisé par les RCP et les politiques de contrôle des services (SCP) et ce qui est autorisé par les politiques basées sur l'identité et les ressources.

Les RCP n'affectent pas les ressources du compte de gestion

Les RCP n'affectent pas les ressources du compte de gestion. Ils n'affectent que les ressources des comptes membres de votre organisation. Cela signifie également que les RCP s'appliquent aux comptes des membres désignés comme administrateurs délégués.

Liste des Services AWS qui supportent les RCP

Les RCP s'appliquent aux actions suivantes : Services AWS

Tester les effets des RCP

AWS vous recommande vivement de ne pas associer de RCP à la racine de votre organisation sans avoir testé de manière approfondie l'impact de la politique sur les ressources de vos comptes. Vous pouvez commencer par associer des RCP à des comptes de test individuels, les déplacer vers des unités d'organisation situées plus bas dans la hiérarchie, puis gravir les échelons de la structure organisationnelle selon les besoins. L'un des moyens de déterminer l'impact consiste à examiner AWS CloudTrail les journaux pour détecter les erreurs d'accès refusé.

Taille maximale des RCP

Tous les caractères de votre RCP sont pris en compte dans sa taille maximale. Les exemples de ce guide montrent les RCP formatés avec un espace blanc supplémentaire pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.

Astuce

Utilisez l'éditeur visuel pour créer votre RCP. Il supprime automatiquement les espaces superflus.

Attacher les RCP aux différents niveaux de l'organisation

Vous pouvez associer des RCP directement à des comptes individuels, à des unités d'organisation ou à la racine de l'organisation. Pour une explication détaillée du fonctionnement des RCP, voirÉvaluation du RCP.

Effets du RCP sur les autorisations

Les RCP sont un type de politique Gestion des identités et des accès AWS (IAM). Elles sont étroitement liées aux politiques basées sur les ressources. Cependant, un RCP n'accorde jamais d'autorisations. Les RCP sont plutôt des contrôles d'accès qui spécifient les autorisations maximales disponibles pour les ressources de votre organisation. Pour plus d’informations, consultez Logique d’évaluation des politiques dans le Guide de l’utilisateur IAM.

  • Les RCP s'appliquent aux ressources d'un sous-ensemble de. Services AWS Pour de plus amples informations, veuillez consulter Liste des Services AWS qui supportent les RCP.

  • Les RCP affectent uniquement les ressources gérées par des comptes appartenant à l'organisation à laquelle les RCP sont attachés. Ils n'affectent pas les ressources provenant de comptes extérieurs à l'organisation. Prenons l'exemple d'un compartiment Amazon S3 appartenant au compte A d'une organisation. La politique de compartiment (une politique basée sur les ressources) accorde l'accès aux utilisateurs depuis le compte B en dehors de l'organisation. Un RCP est joint au compte A. Ce RCP s'applique au compartiment S3 du compte A même lorsque les utilisateurs y accèdent depuis le compte B. Cependant, ce RCP ne s'applique pas aux ressources du compte B lorsque les utilisateurs y accèdent depuis le compte A.

  • Un RCP restreint les autorisations pour les ressources dans les comptes des membres. Toute ressource d'un compte possède uniquement les autorisations autorisées par chaque parent supérieur. Si une autorisation est bloquée à un niveau supérieur au compte, une ressource du compte concerné ne dispose pas de cette autorisation, même si le propriétaire de la ressource applique une politique basée sur les ressources qui autorise un accès complet à n'importe quel utilisateur.

  • Les RCP s'appliquent aux ressources autorisées dans le cadre d'une demande d'opération. Ces ressources se trouvent dans la colonne « Type de ressource » du tableau Action de la référence d'autorisation de service. Si une ressource est spécifiée dans la colonne « Type de ressource », les RCP du compte principal appelant sont appliqués. s3:GetObjectAutorise, par exemple, la ressource de l'objet. Chaque fois qu'une GetObject demande est faite, un RCP applicable s'applique pour déterminer si le principal demandeur peut invoquer l'GetObjectopération. Un RCP applicable est un RCP qui a été attaché à un compte, à une unité organisationnelle (UO) ou à la racine de l'organisation propriétaire de la ressource à laquelle vous accédez.

  • Les RCP affectent uniquement les ressources des comptes des membres de l'organisation. Ils n'ont aucun effet sur les ressources du compte de gestion. Cela signifie également que les RCP s'appliquent aux comptes des membres désignés comme administrateurs délégués. Pour de plus amples informations, veuillez consulter Bonnes pratiques relatives au compte de gestion.

  • Lorsqu'un principal fait une demande pour accéder à une ressource d'un compte auquel est attaché un RCP (une ressource associée à un RCP applicable), le RCP est inclus dans la logique d'évaluation des politiques afin de déterminer si l'accès est autorisé ou refusé au principal.

  • Les RCP ont un impact sur les autorisations effectives des principaux qui tentent d'accéder aux ressources d'un compte membre avec un RCP applicable, que les principaux appartiennent ou non aux mêmes organisations. Cela inclut les utilisateurs root. L'exception est lorsque les principaux sont des rôles liés à un service, car les RCP ne s'appliquent pas aux appels effectués par des rôles liés à un service. Service-linked les rôles permettent Services AWS d'effectuer les actions nécessaires en votre nom et ne peuvent pas être limités par les RCP.

  • Les utilisateurs et les rôles doivent toujours bénéficier d'autorisations conformément aux politiques d'autorisation IAM appropriées, y compris les politiques basées sur l'identité et les ressources. Un utilisateur ou un rôle sans politique d'autorisation IAM n'a aucun accès, même si un RCP applicable autorise tous les services, toutes les actions et toutes les ressources.

Ressources et entités non limitées par les RCP

Vous ne pouvez pas utiliser les RCP pour restreindre les éléments suivants :

  • Toute action sur les ressources du compte de gestion.

  • Les RCP n'ont aucune incidence sur les autorisations effectives d'un rôle lié à un service. Service-linked les rôles sont un type unique de rôle IAM directement lié à un AWS service et comprenant toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Les autorisations des rôles liés à un service ne peuvent pas être limitées par les RCP. Les RCP n'ont pas non plus d'impact sur la AWS capacité des services à assumer un rôle lié au service ; c'est-à-dire que la politique de confiance du rôle lié au service n'est pas non plus affectée par les RCP.

  • Les RCP ne s'appliquent pas Clés gérées par AWS à AWS Key Management Service. Clés gérées par AWS sont créés, gérés et utilisés en votre nom par un Service AWS. Vous ne pouvez pas modifier ou gérer leurs autorisations.

  • Les RCP n'ont aucun impact sur les autorisations suivantes :

    Service API Ressources non autorisées par les RCP
    AWS Key Management Service

    kms:RetireGrant

    Les RCP n'ont aucune incidence sur l'kms:RetireGrantautorisation. Pour plus d'informations sur la manière dont l'autorisation kms:RetireGrant est déterminée, consultez la section Retrait et révocation des subventions dans le Guide du AWS KMS développeur.