Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création et utilisation d'autorisations gérées par le client dans AWS RAM
AWS Resource Access Manager (AWS RAM) fournit au moins une autorisation AWS gérée pour chaque type de ressource que vous pouvez partager. Cependant, ces autorisations gérées peuvent ne pas fournir l'[accès avec le moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) pour votre cas d'utilisation du partage. Lorsque l'une des autorisations AWS gérées fournies ne fonctionne pas, vous pouvez créer votre propre *autorisation gérée par le client*.
Les autorisations gérées par le client sont des autorisations gérées que vous créez et gérez en spécifiant précisément quelles actions peuvent être effectuées dans quelles conditions avec des ressources partagées AWS RAM. Par exemple, vous souhaitez limiter l'accès en lecture à vos pools Amazon VPC IP Address Manager (IPAM), qui vous aident à gérer vos adresses IP à grande échelle. Vous pouvez créer des autorisations gérées par le client pour que vos développeurs puissent attribuer des adresses IP, mais vous ne pouvez pas consulter la plage d'adresses IP attribuées par d'autres comptes de développeurs. Vous pouvez suivre la meilleure pratique du moindre privilège, en n'accordant que les autorisations requises pour effectuer des tâches sur des ressources partagées.
En outre, vous pouvez mettre à jour ou supprimer les autorisations gérées par le client selon vos besoins.
**Topics**
+ [Création d'une autorisation gérée par le client](#create_cmp)
+ [Création d'une nouvelle version d'une autorisation gérée par le client](#update_mp)
+ [Choisissez une version différente comme version par défaut pour une autorisation gérée par le client](#set_new_mp_default_version)
+ [Supprimer une version d'autorisation gérée par le client](#delete_mp_version)
+ [Supprimer une autorisation gérée par le client](#delete_mp)
## Création d'une autorisation gérée par le client
Les autorisations gérées par le client sont spécifiques à un Région AWS. Assurez-vous de créer cette autorisation gérée par le client dans la région appropriée.
------
#### [ Console ]
**Pour créer une autorisation gérée par le client**
1. Effectuez l’une des actions suivantes :
+ Accédez à la **[bibliothèque d'autorisations gérées](https://console.aws.amazon.com/ram/home#Permissions:)**, puis choisissez **Créer une autorisation gérée par le client**.
+ Accédez directement à la page **[Créer une autorisation gérée par le client](https://console.aws.amazon.com/ram/home#CreatePermission:)** dans la console.
1. Pour les **détails des autorisations gérées par** le client, entrez un nom d'autorisation gérée par le client.
1. Choisissez le type de ressource auquel s'applique cette autorisation gérée.
1. Pour le **modèle de politique**, vous définissez les opérations autorisées à être effectuées sur ce type de ressource.
+ Vous pouvez choisir **Importer une autorisation gérée** pour utiliser les actions d'une autorisation gérée existante.
+ Sélectionnez ou désélectionnez les informations relatives au niveau d'accès en fonction de vos besoins dans l'éditeur visuel.
+ Ajoutez ou modifiez des conditions à l'aide de l'**éditeur JSON**.
1. (Facultatif) Pour associer des balises à l'autorisation gérée, pour les **balises**, entrez une clé et une valeur de balise. Ajoutez des balises supplémentaires en choisissant **Ajouter une nouvelle étiquette**. Répétez cette étape autant de fois que nécessaire.
1. Lorsque vous avez terminé, choisissez **Créer une autorisation gérée par le client**.
------
#### [ AWS CLI ]
**Pour créer une autorisation gérée par le client**
+ Exécutez la commande [create-permission](https://docs.aws.amazon.com/cli/latest/reference/ram/create-permission.html) et spécifiez un nom, le type de ressource auquel s'applique l'autorisation gérée par le client et le corps du texte du modèle de politique.
L'exemple de commande suivant crée une autorisation gérée pour le type de `imagebuilder:Component` ressource.
```
$ aws ram create-permission \
--name TestCMP \
--resource-type imagebuilder:Component \
--policy-template "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}"
{
"permission": {
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "1",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680033769.401,
"lastUpdatedTime": 1680033769.401
}
}
```
------
## Création d'une nouvelle version d'une autorisation gérée par le client
Si le cas d'utilisation de l'autorisation gérée par le client change, vous pouvez créer une nouvelle version de l'autorisation gérée. Cela n'affecte pas vos partages de ressources existants, uniquement les nouveaux partages de ressources à venir qui utilisent cette autorisation gérée par le client.
Chaque autorisation gérée peut comporter jusqu'à cinq versions, mais vous ne pouvez associer que la version par défaut.
------
#### [ Console ]
**Pour créer une nouvelle version d'une autorisation gérée par le client**
1. Accédez à la **[bibliothèque d'autorisations gérées](https://console.aws.amazon.com/ram/home#Permissions:)**.
1. Filtrez la liste des autorisations gérées par le **client** ou recherchez le nom de l'autorisation gérée par le client que vous souhaitez modifier.
1. Sur la page des détails des autorisations gérées, dans la section **Versions d'autorisations gérées**, choisissez **Créer une version**.
1. Pour le **modèle de politique**, vous pouvez ajouter ou supprimer des actions et des conditions à l'aide de l'éditeur visuel ou de l'éditeur JSON.
Vous avez également la possibilité de choisir **Importer l'autorisation gérée** pour utiliser un modèle de politique existant.
1. Lorsque vous avez terminé, choisissez **Créer une version** au bas de la page.
------
#### [ AWS CLI ]
**Pour créer une nouvelle version d'une autorisation gérée par le client**
1. Trouvez le nom de ressource Amazon (ARN) de l'autorisation gérée pour laquelle vous souhaitez créer une nouvelle version. Pour ce faire, appelez [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permissions.html) avec le `--permission-type CUSTOMER_MANAGED` paramètre pour inclure uniquement les autorisations gérées par le client.
```
$ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
```
1. Une fois que vous avez l'ARN, vous pouvez appeler l'[create-permission-version](https://docs.aws.amazon.com/cli/latest/reference/ram/create-permission-version.html)opération et fournir le modèle de politique mis à jour.
```
$ aws ram create-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--policy-template {"Effect":"Allow","Action":["imagebuilder:ListComponents"]}
{
"permission": {
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"status": "ATTACHABLE",
"resourceType": "imagebuilder:Component",
"permission": "{\"Effect\":\"Allow\",\"Action\":[\"imagebuilder:ListComponents\"]}",
"creationTime": 1680038973.79,
"lastUpdatedTime": 1680038973.79
}
}
```
La sortie inclut le numéro de version de la nouvelle version.
------
## Choisissez une version différente comme version par défaut pour une autorisation gérée par le client
Vous pouvez définir une autre version d'autorisation gérée par le client comme nouvelle version par défaut.
------
#### [ Console ]
**Pour définir une nouvelle version par défaut pour une autorisation gérée par le client**
1. Accédez à la **[bibliothèque d'autorisations gérées](https://console.aws.amazon.com/ram/home#Permissions:)**.
1. Filtrez la liste des autorisations gérées par le **client** ou recherchez le nom de l'autorisation gérée par le client que vous souhaitez modifier.
1.
Sur la page Détails des autorisations gérées par le client, sous la section **Versions d'autorisations gérées**, utilisez la liste déroulante pour choisir la version que vous souhaitez définir comme nouvelle version par défaut.
1. Choisissez **Définir comme version par défaut**.
1. Lorsque la boîte de dialogue apparaît, confirmez que vous souhaitez que cette version soit la version par défaut pour tous les nouveaux partages de ressources qui utilisent cette autorisation gérée par le client. Si vous êtes d'accord, choisissez **Définir comme version par défaut**.
------
#### [ AWS CLI ]
**Pour définir une nouvelle version par défaut pour une autorisation gérée par le client**
1. Trouvez le numéro de version que vous souhaitez définir comme version par défaut en appelant [list-permission-versions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permission-versions.html).
L'exemple de commande suivant permet de récupérer les versions actuelles pour l'autorisation gérée spécifiée.
```
$ aws ram list-permission-versions \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "1",
"defaultVersion": false,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"featureSet": "STANDARD",
"resourceType": "imagebuilder:Component",
"status": "UNATTACHABLE",
"creationTime": 1680033769.401,
"lastUpdatedTime": 1680035597.345
},
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"featureSet": "STANDARD",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
```
1. Une fois que vous avez défini le numéro de version par défaut, vous pouvez lancer l'[set-default-permission-version](https://docs.aws.amazon.com/cli/latest/reference/ram/set-default-permission-version.html)opération.
```
$ aws ram-cmp set-default-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--version 2
```
Cette commande ne renvoie aucune sortie en cas de réussite. Vous pouvez exécuter [list-permission-versions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permission-versions.html)à nouveau et vérifier que le `defaultVersion` champ de la version choisie est désormais défini sur`true`.
------
## Supprimer une version d'autorisation gérée par le client
Vous pouvez avoir jusqu'à cinq versions de chaque autorisation gérée par le client. Lorsqu'une version n'est plus nécessaire et qu'elle n'est plus utilisée, vous pouvez la supprimer. Vous ne pouvez pas supprimer la version par défaut d'une autorisation gérée par le client. Les versions supprimées restent visibles dans la console pendant deux heures au maximum avec le statut de suppression avant d'être complètement supprimées.
------
#### [ Console ]
**Pour supprimer une version d'autorisation gérée par le client**
1. Accédez à la **[bibliothèque d'autorisations gérées](https://console.aws.amazon.com/ram/home#Permissions:)**.
1. Filtrez la liste des autorisations gérées par le **client** ou recherchez le nom de l'autorisation gérée par le client avec la version que vous souhaitez supprimer.
1. Assurez-vous que la version que vous souhaitez supprimer n'est pas actuellement la version par défaut.
1. Dans la section **Versions** de la page, choisissez l'onglet **Partages de ressources associés** pour voir si des partages utilisent cette version.
Si des partages sont associés, vous devez modifier la version des autorisations gérées par le client avant de pouvoir supprimer cette version.
1. Choisissez **Supprimer la version** sur le côté droit de la section **Version**.
1. Dans la boîte de dialogue de confirmation, sélectionnez **Supprimer** pour confirmer que vous souhaitez supprimer cette version de votre autorisation gérée par le client.
Choisissez **Annuler** si vous ne souhaitez pas supprimer cette version de l'autorisation gérée par le client.
------
#### [ AWS CLI ]
**Pour supprimer une version d'une autorisation gérée par le client**
1. Appelez l'[list-permission-versions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permission-versions.html)opération pour récupérer les numéros de version disponibles.
1. Une fois que vous avez le numéro de version, indiquez-le en tant que paramètre à [delete-permission-version](https://docs.aws.amazon.com/cli/latest/reference/ram/delete-permission-version.html).
```
$ aws ram-cmp delete-permission-version \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP \
--version 1
```
Cette commande ne renvoie aucune sortie en cas de réussite. Vous pouvez exécuter [list-permission-versions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permission-versions.html)à nouveau et vérifier que la version n'est plus incluse dans la sortie.
------
## Supprimer une autorisation gérée par le client
Si une autorisation gérée par le client n'est plus nécessaire et n'est plus utilisée, vous pouvez la supprimer. Vous ne pouvez pas supprimer une autorisation gérée par le client associée à un partage de ressources. L'autorisation gérée par le client supprimée disparaît au bout de deux heures. D'ici là, il reste visible dans la **bibliothèque d'autorisations gérées** avec un statut supprimé.
------
#### [ Console ]
**Pour supprimer une autorisation gérée par le client**
1. Accédez à la **[bibliothèque d'autorisations gérées](https://console.aws.amazon.com/ram/home#Permissions:)**.
1. Filtrez la liste des autorisations gérées par le **client** ou recherchez le nom de l'autorisation gérée par le client que vous souhaitez supprimer.
1. Vérifiez qu'aucun partage n'est associé dans la liste des autorisations gérées avant de sélectionner l'autorisation gérée par le client.
Si des partages de ressources sont toujours associés à l'autorisation gérée, vous devez attribuer une autre autorisation gérée à tous les partages de ressources avant de pouvoir continuer.
1. Dans le coin supérieur droit de la page des détails des autorisations gérées par le client, choisissez **Supprimer les autorisations gérées**.
1. Lorsque la boîte de dialogue de confirmation apparaît, choisissez **Supprimer** pour supprimer l'autorisation gérée.
------
#### [ AWS CLI ]
**Pour supprimer une autorisation gérée par le client**
1. Trouvez l'ARN de l'autorisation gérée que vous souhaitez supprimer en appelant [list-permissions](https://docs.aws.amazon.com/cli/latest/reference/ram/list-permissions.html) avec le `--permission-type CUSTOMER_MANAGED` paramètre pour inclure uniquement les autorisations gérées par le client.
```
$ aws ram-cmp list-permissions --permission-type CUSTOMER_MANAGED
{
"permissions": [
{
"arn": "arn:aws:ram:us-east-1:123456789012:permission/TestCMP",
"version": "2",
"defaultVersion": true,
"isResourceTypeDefault": false,
"name": "TestCMP",
"permissionType": "CUSTOMER_MANAGED",
"resourceType": "imagebuilder:Component",
"status": "ATTACHABLE",
"creationTime": 1680035597.346,
"lastUpdatedTime": 1680035597.346
}
]
}
```
1. Une fois que vous avez l'ARN de l'autorisation gérée de suppression, fournissez-le en tant que paramètre pour [delete-permission](https://docs.aws.amazon.com/cli/latest/reference/ram/delete-permission.html).
```
$ aws ram delete-permission \
--permission-arn arn:aws:ram:us-east-1:123456789012:permission/TestCMP
{
"returnValue": true,
"permissionStatus": "DELETING"
}
```
------