Partager les vues de l'explorateur de ressources

Politique d'autorisations avec laquelle partager une vue Comptes AWS

Les vues utilisent Explorateur de ressources AWS principalement des politiques basées sur les ressources pour accorder l'accès. À l'instar des politiques relatives aux compartiments Amazon S3, ces politiques sont associées à la vue et spécifient qui peut utiliser la vue. Cela contraste avec Gestion des identités et des accès AWS (IAM) les politiques basées sur l'identité. Une politique IAM basée sur l'identité est attribuée à un rôle, un groupe ou un utilisateur, et elle spécifie les actions et les ressources auxquelles ce rôle, ce groupe ou cet utilisateur peut accéder. Vous pouvez utiliser l'un ou l'autre type de politique avec les vues Resource Explorer, comme suit :

Dans le compte de gestion ou le compte d'administrateur délégué propriétaire de la ressource, utilisez l'un ou l'autre type de politique pour accorder l'accès, à condition qu'aucune autre politique ne refuse explicitement l'accès à la vue à ce principal.
Sur tous les comptes, vous devez utiliser les deux types de politiques. La politique basée sur les ressources attachée à la vue dans le compte de partage active le partage avec un autre compte consommateur. Toutefois, cette politique n'accorde pas l'accès aux utilisateurs ou aux rôles individuels du compte consommateur. L'administrateur du compte consommateur doit également attribuer une politique basée sur l'identité aux rôles et utilisateurs souhaités dans le compte consommateur. Cette politique donne accès au nom de ressource Amazon (ARN) de la vue.

Pour partager des vues avec d'autres comptes, vous devez utiliser AWS Resource Access Manager (AWS RAM). AWS RAM gère pour vous la complexité des politiques basées sur les ressources. Avant de pouvoir partager, vous devez effectuer les tâches suivantes :

Activez la recherche multi-comptes.
Assurez-vous que votre politique basée sur les ressources ou la politique basée IAM sur l'identité que vous utilisez pour partager et annuler le partage des vues inclut les autorisations et. resource-explorer-2:GetResourcePolicy resource-explorer-2:PutResourcePolicy resource-explorer-2:DeleteResourcePolicy

Pour partager une vue, vous devez être le compte de gestion de l'organisation ou un administrateur délégué. Vous spécifiez les comptes ou les identités avec lesquels vous souhaitez partager la ressource. AWS RAM prend entièrement en charge les vues Resource Explorer. AWS RAM utilise des politiques similaires à celles décrites dans les sections suivantes, en fonction des types de principes avec lesquels vous choisissez de partager. Pour savoir comment partager des ressources, consultez la section Partage de vos AWS ressources dans le guide de AWS Resource Access Manager l'utilisateur.

Les administrateurs et les administrateurs délégués peuvent créer et partager 3 types de vues : la vue du périmètre de l'organisation, les vues du périmètre des unités organisationnelles (UO) et les vues du périmètre au niveau du compte. Ils peuvent partager avec des organisations ou des comptes. OUs Lorsque des comptes rejoignent ou quittent l'organisation, la vue partagée est AWS RAM automatiquement accordée ou révoquée.

L'exemple de politique suivant montre comment vous pouvez mettre une vue à la disposition des principaux de deux manières différentes Comptes AWS :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}

L'administrateur de chacun des comptes spécifiés doit désormais spécifier quels rôles et quels utilisateurs peuvent accéder à la vue en associant des politiques d'autorisation basées sur l'identité aux rôles, aux groupes et aux utilisateurs. Les administrateurs des comptes 111122223333 ou 444455556666 peuvent créer l'exemple de politique suivant. Ils peuvent ensuite attribuer la politique aux rôles, aux groupes et aux utilisateurs de ces comptes qui doivent être autorisés à effectuer des recherches en utilisant la vue partagée depuis le compte d'origine.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}

Vous pouvez utiliser ces politiques IAM basées sur l'identité dans le cadre d'une stratégie de sécurité de contrôle d'accès basé sur les attributs ()ABAC. Dans ce paradigme, vous vous assurez que toutes vos ressources et toutes vos identités sont étiquetées. Ensuite, vous spécifiez dans vos politiques quelles clés et valeurs de balise doivent correspondre entre l'identité et la ressource pour que l'accès soit autorisé. Pour plus d'informations sur le balisage des vues de votre compte, consultezL'ajout d'balises aux vues. Pour plus d'informations sur le contrôle d'accès basé sur les attributs, voir À quoi ça sert ? ABAC AWS et le contrôle de l'accès aux AWS ressources à l'aide de balises, tous deux dans le guide de IAM l'utilisateur.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Marquage des vues

Supprimer des vues