Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des vues de l'explorateur de ressources pour fournir un accès à la recherche
<a name="manage-views"></a>

Les vues sont essentielles pour rechercher vos ressources. Chaque opération Explorateur de ressources AWS de recherche doit utiliser une vue. Les vues sont la méthode que l'administrateur peut utiliser pour contrôler l'accès aux informations relatives aux ressources de votre Compte AWS. 

Seuls les principaux (IAMrôles ou utilisateurs) autorisés à utiliser cette vue peuvent accéder à une vue. Pour que la recherche soit réussie avec Resource Explorer, un principal doit avoir `Allow` accès à la fois aux `resource-explorer-2:Search` opérations `resource-explorer-2:GetView` et sur la vue [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Les vues contiennent des filtres intégrés que l'administrateur peut utiliser pour limiter les résultats aux seuls éléments intéressants. Par exemple, vous pouvez créer une vue qui inclut uniquement les ressources liées à un certain projet. Les utilisateurs qui n'ont pas besoin de consulter les informations relatives à d'autres projets peuvent utiliser cette vue pour voir uniquement les ressources qui les intéressent.

Une vue est une ressource régionale. La vue est créée et stockée dans une région spécifique Région AWS et renvoie dans ses résultats uniquement les informations de l'index de cette région. Pour inclure les résultats de toutes les régions dans le compte, la vue doit résider dans la région qui contient l'[index agrégateur](getting-started-terms-and-concepts.md#term-aggr-index). Cette région contient une réplique des index de toutes les autres régions du compte.

Chaque point de vue comporte plusieurs éléments clés :

**Autorisations de recherche**  
Vous pouvez utiliser des politiques AWS d'autorisation standard pour contrôler qui peut utiliser chaque vue. Cela est assuré par des [politiques d'autorisation basées sur l'identité](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_id-based) associées aux principes qui vous permettent de contrôler avec précision les personnes autorisées à consulter les informations fournies par chaque vue. Par exemple, vous pouvez autoriser l'accès à la `Production-resources` vue pour autoriser uniquement les ingénieurs qui gèrent vos services de production à effectuer des recherches. Vous pouvez ensuite accorder différentes autorisations à la `Pre-production-resources` vue afin de permettre à vos développeurs de rechercher des ressources de pré-production.  
Si vous utilisez la politique AWS gérée nommée `AWSResourceExplorerReadOnlyAccess` avec vos mandants, elle leur permet d'effectuer des recherches en utilisant n'importe quel affichage du compte.  
Vous pouvez également créer votre propre politique d'autorisations et accorder les autorisations suivantes uniquement pour certaines vues :  
+ `resource-explorer-2:GetView`
+ `resource-explorer-2:Search`
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :  
+ Utilisateurs et groupes dans AWS IAM Identity Center :

  Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés IAM via un fournisseur d'identité :

  Créez un rôle pour la fédération d’identité. Suivez les instructions de la [section Création d'un rôle pour un fournisseur d'identité tiers (fédération)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *guide de IAM l'utilisateur*.
+ IAMutilisateurs :
  + Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la section [Création d'un rôle pour un IAM utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de IAM l'utilisateur*.
  + (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la [section Ajouter des autorisations à un utilisateur (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *guide de IAM l'utilisateur*.
Pour plus d'informations sur les autorisations associées aux vues, consultez[Autorisation de l'accès aux vues de l'Explorateur de ressources pour la recherche](manage-views-grant-access.md).

**Filtrer la recherche**  
Une vue sert de fenêtre virtuelle à travers laquelle l'utilisateur peut voir les ressources du compte. Vous pouvez créer plusieurs vues, chacune présentant une vue différente de l'image dans son ensemble. Par exemple, vous pouvez créer une vue qui permet de rechercher uniquement les ressources associées à votre environnement de pré-production, telles qu'identifiées par les balises associées à vos ressources. Vous pouvez ensuite créer une vue séparée qui permet de rechercher uniquement les ressources de votre environnement de production, en fonction des différentes valeurs des balises. Si vous configurez plusieurs vues avec des `FilterString` valeurs différentes, il n'est pas nécessaire de saisir à nouveau ces paramètres de requête à chaque fois que vous effectuez une [recherche](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_Search.html).  
Les vues peuvent également spécifier les informations facultatives sur les ressources à inclure dans les résultats. La liste de champs par défaut est toujours incluse dans les résultats. Outre la liste par défaut, vous pouvez demander que la vue inclue également les balises associées à la ressource .

**Étendue de la recherche**  
+ **Étendue de la région** — Lorsque vous effectuez une recherche dans un Région AWS explorateur de ressources, les résultats ne peuvent inclure que les ressources indexées dans cette région. Dans la plupart des régions, l'index est étiqueté `LOCAL` car il contient des informations sur les ressources propres à cette région uniquement. Les recherches effectuées dans ces régions ne peuvent renvoyer que ces ressources. 
+ **Étendue du compte** — Vous pouvez promouvoir un index local comme indice agrégateur du compte. Dans ce cas, toutes les autres régions dans lesquelles l'explorateur de ressources est activé répliquent leurs informations d'index dans la région avec l'index agrégateur. Si vous effectuez une recherche dans cette région, ces résultats incluent les ressources de toutes les régions du compte. Lorsque vous utilisez l'option de **configuration rapide** pour configurer le serveur, Resource Explorer crée automatiquement un index agrégateur dans la région que vous spécifiez. En outre, l'option de **configuration rapide** crée une vue par défaut dans cette région afin de faciliter la recherche de toutes les ressources du compte dans toutes les régions.

## Vues par défaut
<a name="manage-views-about-default"></a>

Si un utilisateur tente d'effectuer une recherche sans spécifier explicitement de vue, Resource Explorer utilise la *vue par défaut* définie pour cela Région AWS.

S'il n'existe pas de vue par défaut pour cette région et que l'utilisateur n'a pas indiqué de vue à utiliser, la recherche échoue et génère une exception.

Resource Explorer crée automatiquement une vue par défaut comme suit :
+ Si vous activez l'Explorateur de ressources à l'aide de l'option **Configuration rapide AWS Management Console et que vous choisissez l'option Configuration rapide**, vous devez spécifier la région qui contient l'index agrégateur du compte. Resource Explorer crée automatiquement une vue par défaut dans la région d'index d'agrégateur spécifiée.
+ Si vous enregistrez Resource Explorer à l'aide de l'option **Configuration avancée AWS Management Console et que vous choisissez l'option Configuration avancée**, vous pouvez *éventuellement* choisir de créer l'index agrégateur pour le compte dans une région spécifiée. Dans ce cas, Resource Explorer crée automatiquement une vue par défaut dans la région d'index de l'agrégateur.
+ Si vous enregistrez Resource Explorer à l'aide de la console et que vous choisissez de *ne pas* enregistrer de région d'index agrégateur, Resource Explorer crée une vue par défaut pour l'index local dans chaque région.
+ Si vous enregistrez Resource Explorer à l'aide API des opérations AWS CLI ou, Resource Explorer ne crée pas automatiquement une vue par défaut. Vous devez plutôt configurer l'affichage par défaut manuellement pour chaque région à partir de laquelle vous souhaitez que les utilisateurs effectuent des recherches.

# Création de vues Resource Explorer à utiliser pour la recherche
<a name="manage-views-create"></a>

Toutes les recherches doivent utiliser une [*vue*](manage-views.md). Une vue définit des filtres qui déterminent quelles ressources peuvent être renvoyées par les requêtes utilisant la vue. Les vues contrôlent également qui peut rechercher des ressources.

Une vue est stockée dans un et renvoie Région AWS les résultats de recherche uniquement à partir de l'index de cette région. Si la région contient l'[index agrégateur](manage-aggregator-region.md), la vue renvoie les résultats de recherche à partir de l'index de chaque région du compte.

Les vues multicomptes vous permettent de rechercher des ressources dans les comptes de votre organisation. Tout compte dans lequel vous souhaitez effectuer une recherche nécessite des index. Seul le compte de gestion, ou un administrateur délégué de l'organisation, peut créer une vue multi-comptes.

Explorateur de ressources AWS peut créer une vue par défaut pour vous lors de la configuration initiale si vous avez choisi les options appropriées soit dans [Quick Setup](https://console.aws.amazon.com/systems-manager/quick-setup/create-configuration?configurationType=AWSQuickSetupType-ResourceExplorer) for Resource Explorer dans la console Systems Manager, soit dans la [**configuration avancée**](getting-started-setting-up.md#getting-started-setting-up-advanced). À tout moment, vous pouvez créer des vues supplémentaires dotées de filtres différents pour différents groupes d'utilisateurs.

Vous pouvez créer une vue en utilisant AWS Management Console ou en exécutant des AWS CLI commandes ou API des opérations équivalentes dans un AWS SDK.

**Autorisations minimales**  
Pour exécuter cette procédure, vous devez disposer des autorisations suivantes :
+ **Action :** `resource-explorer-2:CreateView`

  **Ressource :** Cela peut être `*` pour autoriser la création d'une vue Région AWS dans n'importe quel élément du compte.

------
#### [ AWS Management Console ]

**Pour créer une vue**

1. Ouvrez la page **[Vues](https://console.aws.amazon.com/resource-explorer/home#/views)** de la console Resource Explorer et choisissez **Créer une vue**.

1. Sur la page **Créer une vue**, dans **Nom**, entrez le nom de la vue.

   Le nom ne doit pas comporter plus de 64 caractères et peut inclure des lettres, des chiffres et le trait d'union (-). Le nom doit être unique au sein de son Région AWS.

1. Choisissez celui Région AWS dans lequel vous souhaitez créer la vue. Pour créer une vue qui renvoie les ressources de toutes les régions du compte, choisissez Région AWS celle qui contient l'index agrégateur. 

1. (Facultatif) Pour **Scope**, choisissez si votre recherche renvoie des ressources multi-comptes ou renvoie uniquement des ressources provenant de votre compte. L'étendue au niveau du compte est la valeur par défaut.

   Seul le compte de gestion ou l'administrateur délégué peut voir l'option permettant de créer une vue multi-comptes.

1. Choisissez si vous souhaitez filtrer les résultats.
   + **Inclure toutes les ressources**

     Aucun filtre de requête n'est inclus. Toutes les ressources de l'index associé à la vue peuvent être renvoyées dans les résultats de recherche.
   + **Inclure uniquement les ressources correspondant à un filtre spécifié**

     Active la case à cocher **Filtres de ressources** dans laquelle vous pouvez choisir les *noms* et *les opérateurs* des filtres. Pour une explication de chacun des noms de filtres et opérateurs disponibles, consultez[Filtres](using-search-query-syntax.md#query-syntax-filters).
   + Choisissez les attributs de ressource facultatifs à inclure dans les résultats de cette vue. Cochez la case située à côté des **balises** pour permettre aux utilisateurs de rechercher des ressources en fonction des noms et des valeurs de leurs clés de balise. Si vous n'incluez pas de balises dans la vue, les utilisateurs ne peuvent pas effectuer de demandes de recherche utilisant des clés et des valeurs de balise pour filtrer davantage les résultats.
   + Vous pouvez éventuellement associer des balises à la vue. Développez la zone **Tags** et entrez jusqu'à 50 paires clé/valeur de balise. Vous pouvez utiliser des balises pour classer les ressources ou dans le cadre d'une stratégie d'autorisation de sécurité basée sur le contrôle d'accès (ABAC) basée sur les attributs. Pour de plus amples informations, veuillez consulter [L'ajout d'balises aux vues](manage-views-tag.md).
   + Choisissez **Créer une vue**.

   La console revient à la page **de recherche** où vous pouvez utiliser votre nouvel affichage pour effectuer une recherche.

   **Étape suivante : autorisez** les principaux utilisateurs de votre compte à effectuer des recherches avec votre nouvelle vue. Pour plus d’informations, consultez [Autorisation de l'accès aux vues de l'Explorateur de ressources pour la recherche](manage-views-grant-access.md).

------
#### [ AWS CLI ]

**Pour créer une vue**  
Exécutez la commande suivante pour créer une vue dans le champ spécifié Région AWS. L'exemple suivant crée une vue qui renvoie uniquement les ressources liées au EC2 service Amazon qui sont étiquetées avec une `Stage` clé et une valeur`prod`.

```
$ aws resource-explorer-2 create-view \
    --region us-west-2 \
    --view-name "My-EC2-Prod-Resources" \
    --filters FilterString="service:ec2 tag:stage=prod" \
    --included-properties Name=tags
{
    "View": {
        "Filters": {
            "FilterString": "service:ec2 tag:stage=prod"
        },
        "IncludedProperties": [
            {
                "Name": "tags"
            }
        ],
        "LastUpdatedAt": "2022-08-03T16:13:37.625000+00:00",
        "Owner": "123456789012",
        "Scope": "arn:aws:iam::123456789012:root",
        "ViewArn": "arn:aws:resource-explorer-2:us-west-2:123456789012:view/My-EC2-Prod-Resources/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
    }
}
```

**Pour créer une vue au niveau de l'organisation**  
 L'exemple suivant crée une vue qui renvoie des ressources provenant de l'ensemble de votre organisation. Cela doit être effectué par le compte de gestion de l'organisation ou par un compte d'administrateur délégué.

1. Exécutez la `aws organizations describe-organization` commande pour obtenir votre organisationARN.

1. Exécutez la commande suivante pour créer une vue pour l'organisation spécifiée.

   ```
   $ aws resource-explorer-2 create-view \
       --region us-west-2 \
       --view-name entire-org-view \
       --scope "arn:aws:organizations::111111111111:organization/o-exampleorgid"
   {
       "View": {
           "Filters": {
               "FilterString": ""
           },
           "IncludedProperties": [],
           "LastUpdatedAt": "2022-08-03T16:13:37.625000+00:00",
           "Owner": "111111111111",
           "Scope": "arn:aws:organizations::111111111111:organization/o-exampleorgid",
           "ViewArn": "arn:aws:resource-explorer-2:us-west-2:111111111111:view/entire-org-view/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
       }
   }
   ```

**Pour créer une vue au niveau de l'unité organisationnelle**  
 L'exemple suivant crée une vue qui renvoie les ressources de tous les membres de cette unité organisationnelle. Cette vue se comporte de la même manière qu'une vue au niveau de l'organisation. Cela doit être effectué par le compte de gestion de l'organisation ou par un compte d'administrateur délégué.

1. Exécutez la `aws organizations describe-organizational-unit` commande pour obtenir votre organisationARN.

1. Exécutez la commande suivante pour créer une vue pour l'unité organisationnelle spécifiée.

   ```
   $ aws resource-explorer-2 create-view \
       --region us-west-2 \
       --view-name entire-ou-view \
       --scope "arn:aws:organizations::222222222222:ou/o-exampleorgid/ou-exampleouid"
   {
       "View": {
           "Filters": {
               "FilterString": ""
           },
           "IncludedProperties": [],
           "LastUpdatedAt": "2022-08-03T16:13:37.625000+00:00",
           "Owner": "222222222222",
           "Scope": "arn:aws:organizations::222222222222:ou/o-exampleorgid/ou-exampleouid",
           "ViewArn": "arn:aws:resource-explorer-2:us-west-2:222222222222:view/entire-ou-view/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
       }
   }
   ```

**Étape suivante : autorisez** les principaux utilisateurs de votre compte à effectuer des recherches avec votre nouvelle vue. Pour plus d’informations, consultez [Autorisation de l'accès aux vues de l'Explorateur de ressources pour la recherche](manage-views-grant-access.md).

------

# Autorisation de l'accès aux vues de l'Explorateur de ressources pour la recherche
<a name="manage-views-grant-access"></a>

Avant que les utilisateurs puissent effectuer une recherche avec une nouvelle vue, vous devez octroyer l'accès auxExplorateur de ressources AWS vues. Pour ce faire, utilisez une politique d'autorisation basée sur l'identité pour les principaux utilisateursGestion des identités et des accès AWS (IAM) qui doivent effectuer des recherches avec la vue.

Pour activer l'accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :

  Créez un jeu d'autorisations. Suivez les instructions de la rubrique [Création d'un jeu d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l'utilisateur AWS IAM Identity Center*.
+ Utilisateurs gérés dans IAM par un fournisseur d'identité :

  Créez un rôle pour la fédération d'identité. Pour plus d'informations, voir la rubrique [Création d'un rôle pour un fournisseur d'identité tiers (fédération)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) du *Guide de l'utilisateur IAM*.
+ Utilisateurs IAM :
  + Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d'un rôle pour un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) du *Guide de l'utilisateur IAM*.
  + (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d'utilisateurs. Suivez les instructions de la rubrique [Ajout d'autorisations à un utilisateur (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l'utilisateur IAM*.

Vous pouvez utiliser l'une des méthodes suivantes :
+ **Utilisez une politiqueAWS gérée existante**. L'Explorateur de ressources fournit plusieurs politiquesAWS gérées prédéfinies que vous pouvez utiliser. Pour plus de détails sur toutes les politiquesAWS gérées disponibles, consultez[AWS politiques gérées pour Explorateur de ressources AWS](security_iam_awsmanpol.md).

  Par exemple, vous pouvez utiliser cette`AWSResourceExplorerReadOnlyAccess` politique pour accorder des autorisations de recherche à toutes les vues du compte.
+ **Créez votre propre politique d'autorisation et attribuez-la aux responsables**. Si vous créez votre propre politique, vous pouvez restreindre l'accès à une seule vue ou à un sous-ensemble des vues disponibles en spécifiant le [nom de ressource Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) de chaque vue dans l'`Resource`élément de la déclaration de politique. Par exemple, vous pouvez utiliser l'exemple de politique suivant pour autoriser ce principal à effectuer une recherche en utilisant uniquement cette vue.

  ```
  {
      "Version": "2012-10-17",
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "resource-explorer-2:Search",
                  "resource-explorer-2:GetView"
              ],
              "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyTestView/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
          }
      ]
  }
  ```

  Utilisez la console IAM pour créer les politiques d'autorisation et les utiliser avec les principaux utilisateurs qui ont besoin de ces autorisations. Pour plus d'informations sur les stratégies d'autorisation IAM, consultez les rubriques suivantes :
  + [Politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
  +  [Ajout et suppression d'autorisations basées sur l'identité IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html)
  + [Comprendre les autorisations accordées par une politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_understand.html)

## Utiliser l'autorisation basée sur des balises pour contrôler l'accès à vos vues
<a name="manage-views-grant-access-abac"></a>

Si vous choisissez de créer plusieurs vues avec des filtres qui renvoient des résultats uniquement avec certaines ressources, vous souhaiterez peut-être également restreindre l'accès à ces vues aux seules personnes qui ont besoin de consulter ces ressources. Vous pouvez fournir ce type de sécurité pour les vues de votre compte en utilisant une stratégie de [contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html). Les *attributs* utilisés par ABAC sont les balises attachées à la fois aux principaux tentant d'effectuer des opérationsAWS et aux ressources auxquelles ils tentent d'accéder.

ABAC utilise des politiques d'autorisation IAM standard associées aux principes. Les politiques utilisent`Condition` des éléments contenus dans les déclarations de politique pour autoriser l'accès uniquement lorsque les balises attachées au principal demandeur et les balises attachées à la ressource affectée répondent aux exigences de la politique. 

Par exemple, vous pouvez associer une étiquette`"Environment" = "Production"` à toutes lesAWS ressources qui prennent en charge l'application de production de votre entreprise. Pour vous assurer que seules les personnes autorisées à accéder à l'environnement de production peuvent accéder à ces ressources, créez une vue de l'Explorateur de ressources qui utilise cette balise comme [filtre](using-search-query-syntax.md#query-syntax-filters). Ensuite, pour restreindre l'accès à la vue aux seules personnes principales appropriées, vous accordez des autorisations à l'aide d'une politique assortie d'une condition similaire aux exemples d'éléments suivants.

```
{
    "Effect": "Allow",
    "Action": [ "service:Action1", "service:Action2" ],
    "Resource": "arn:aws:arn-of-a-resource",
    "Condition": { "StringEquals": {"aws:ResourceTag/Environment": "${aws:PrincipalTag/Environment}"} }
}
```

`Condition`Dans l'exemple précédent, cela indique que la demande ***n'est autorisée que*** si la`Environment` balise attachée au principal auteur de la demande correspond à la`Environment` balise attachée à la ressource spécifiée dans la demande. Si ces deux balises ne correspondent pas exactement, ou si l'une des balises est manquante, l'Explorateur de ressources refuse la demande.

**Important**  
Pour utiliser ABAC avec succès afin de sécuriser l'accès à vos ressources, vous devez d'abord restreindre l'accès à la possibilité d'ajouter ou de modifier les balises associées à vos principaux et ressources. Si un utilisateur peut ajouter ou modifier les balises attachées à unAWS principal ou à une ressource, il peut affecter les autorisations contrôlées par ces balises. Dans un environnement ABAC sécurisé, seuls les administrateurs de sécurité agréés sont autorisés à ajouter ou à modifier les balises attachées aux principaux, et seuls les administrateurs de sécurité et les propriétaires de ressources peuvent ajouter ou modifier les balises associées aux ressources.

Pour plus d'informations sur la façon de mettre en œuvre avec succès une stratégie ABAC, consultez les rubriques suivantes dans le *Guide de l'utilisateur IAM* :
+ [DididididididididididididididididididididididacticielAWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)
+ [Contrôle de l'accès auxAWS ressources à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html)

Une fois que vous avez mis en place l'infrastructure ABAC nécessaire, vous pouvez utiliser les balises pour contrôler qui peut effectuer des recherches à l'aide des vues de l'Explorateur de ressources de votre compte. Pour des stratégies illustrant le principe, consultez les exemples de stratégies d'autorisation suivants :
+ [Octroi d'un accès à une vue basée sur des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-abac-views)
+ [Autoriser l'accès à la création d'une vue basée sur des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-abac-createview)

# Définition d'une vue par défaut dans unRégion AWS
<a name="manage-views-set-default"></a>

DansExplorateur de ressources AWS, vous pouvez définir de nombreuses vues dans unRégion AWS, où chaque vue répond à différentes exigences de recherche. Nous vous recommandons de définir ***une*** vue par région comme *vue par défaut* pour cette région.

L'Explorateur de ressources utilise la vue par défaut chaque fois qu'un utilisateur effectue une recherche et ne spécifie pas explicitement la vue à utiliser.  La barre de recherche unifiée en haut de chaqueAWS Management Console page utilise également automatiquement l'affichage par défaut de la région qui contient l'index agrégateur pour rechercher les ressources correspondant à la requête de recherche de l'utilisateur. 

Vous ne pouvez sélectionner qu'une vue qui existe dans la région comme vue par défaut de cette région. Si une autre région possède une vue que vous souhaitez utiliser, vous devez d'abord créer une copie de cette vue dans la région dans laquelle vous souhaitez en faire la vue par défaut.

**Astuce**  
Il n'y a aucune opération de *copie d'affichage*. Vous devez créer une vue dans la région cible, puis copier les paramètres de la vue existante vers la nouvelle vue.

Vous pouvez spécifier une vue comme affichage par défaut pour sa région en utilisantAWS Management Console ou en exécutant desAWS CLI commandes ou leurs opérations d'API équivalentes dans unAWS SDK.

------
#### [ AWS Management Console ]

**Pour définir une vue par défaut**

1. Sur la page **[Vues](https://console.aws.amazon.com/resource-explorer/home#/views)** de l'explorateur de ressources, cliquez sur le bouton d'option à côté de la vue que vous souhaitez définir comme valeur par défaut pour sa région.

1. Choisissez **Actions**, puis choisissez **Définir par défaut**.

------
#### [ AWS CLI ]

**Pour définir une vue par défaut**  
Exécutez la commande suivante pour définir la vue par défaut de sa région. L'exemple suivant définit la vue spécifiée comme étant la vue par défaut pour toutes les recherches effectuées dans la région us-east-1 . Cette vue doit exister dans la région dans laquelle vous exécutez la commande.

```
$ aws resource-explorer-2 associate-default-view \
    --region us-east-1 \
    --view-arn arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
{
    "ViewArn": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
}
```

------

# L'ajout d'balises aux vues
<a name="manage-views-tag"></a>

Vous pouvez ajouter des balises à vos vues afin de les classer. Les balises sont des métadonnées fournies par le client qui prennent la forme d'une chaîne de nom de clé et d'une chaîne de valeur facultative associée. Pour des informations générales sur le balisageAWS des ressources, consultez la section [MarquageAWS des ressources](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html) dans le *Référence générale d'Amazon Web Services*.

## Ajoutez des balises à vos vues
<a name="manage-view-tag-resources"></a>

Vous pouvez ajouter des balises à vos vues de l'Explorateur de ressources en utilisantAWS Management Console ou en exécutant desAWS CLI commandes ou leurs opérations d'API équivalentes dans unAWS SDK.

------
#### [ AWS Management Console ]

**Pour ajouter des balises à une vue**

1. Ouvrez la page **[Vues](https://console.aws.amazon.com/resource-explorer/home#/views)** de l'Explorateur de ressources et choisissez le nom de la vue à étiqueter pour afficher sa page de **détails**.

1. Sous **Balises**, choisissez **Gérer les balises**.

1. Pour ajouter une balise, choisissez **Ajouter la balise**, puis entrez un nom de clé de balise et une valeur facultative.
**Note**  
Vous pouvez également supprimer un tag en cliquant sur le **X** à côté du tag.

   Vous pouvez attacher jusqu'à 50 balises définies par l'utilisateur à une ressource. Les balises créées et gérées automatiquement parAWS ne sont pas prises en compte dans ce quota.

1. Lorsque vous avez terminé de modifier toutes les balises, choisissez **Enregistrer les modifications**.

------
#### [ AWS CLI ]

**Pour ajouter des balises à une vue**  
Exécutez la commande suivante afin d'ajouter des balises à une vue. L'exemple suivant ajoute des balises avec le nom de la clé`environment` et la valeur`production` à la vue spécifiée.

```
$ aws resource-explorer-2 tag-resource \
    --resource-id arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111 \
    --tags environment=production
```

La commande précédente ne produit aucune sortie si elle réussit.

**Note**  
Pour supprimer une étiquette existante d'une vue, utilisez la`untag-resource` commande.

------

## Contrôle des autorisations à l'aide de balises
<a name="manage-views-tag-abac"></a>

L'une des principales utilisations du balisage est de soutenir une [stratégie de contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html). ABAC peut vous aider à simplifier la gestion des autorisations en vous permettant de baliser les ressources. Ensuite, vous accordez l'autorisation aux utilisateurs d'accéder aux ressources qui sont balisées d'une certaine manière. 

Par exemple, envisagez ce scénario. Pour une vue appelée`ViewA`, vous attachez la balise`environment=prod` (*nom de la clé = valeur*). Un autre`ViewB` pourrait être marqué`environment=beta`. Vous balisez vos rôles et vos utilisateurs avec les mêmes balises et valeurs, en fonction de l'environnement auquel chaque rôle ou utilisateur doit pouvoir accéder. 

Vous pouvez ensuite attribuer une politique d'autorisationGestion des identités et des accès AWS (IAM) à vos rôles, groupes et utilisateurs IAM. La politique autorise l'accès et la recherche à l'aide d'une vue uniquement si le rôle ou l'utilisateur à l'origine de la demande de recherche possède une`environment` étiquette ayant la même valeur que la`environment` balise associée à la vue.

L'avantage de cette approche est qu'elle est dynamique et qu'elle ne vous oblige pas à tenir à jour une liste indiquant qui a accès à quelles ressources. Vous devez plutôt vous assurer que toutes les ressources (vos points de vue) et les principaux (rôles IAM et utilisateurs) sont correctement balisés. Ensuite, les autorisations sont mises à jour automatiquement sans que vous ayez à modifier les politiques.

## Référencer des balises dans une politique ABAC
<a name="manage-view-tag-policy"></a>

Une fois vos vues balisées, vous pouvez choisir d'utiliser ces balises pour contrôler l'accès dynamique à ces vues. L'exemple de politique suivant part du principe que vos principes IAM et vos vues sont balisés à l'aide de la clé de balise`environment` et d'une valeur. Une fois que c'est fait, vous pouvez attacher l'exemple de politique suivant à vos directives. Vos rôles et utilisateurs peuvent ensuite`Search` utiliser toutes les vues balisées avec une valeur de`environment` balise qui correspond exactement à la`environment` balise associée au principal.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:GetView",
                "resource-explorer-2:Search"
            ],
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:ResourceTag/environment": "${aws:PrincipalTag/environment}"
                }
            }
        }
    ]
}
```

Si la balise est associée à la vue principale mais que les valeurs ne correspondent pas, ou si la`environment` balise est manquante dans l'une ou l'autre, l'`environment`Explorateur de ressources refuse la demande de recherche.

Pour plus d'informations sur l'utilisation d'ABAC pour accorder un accès sécurisé à vos ressources, voir À [quoi sert ABACAWS ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)

# Partager les vues de l'explorateur de ressources
<a name="manage-views-share"></a>

Les vues utilisent Explorateur de ressources AWS principalement des [politiques basées sur les ressources pour accorder l'](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)accès. À l'instar des politiques relatives aux compartiments Amazon S3, ces politiques sont associées à la vue et spécifient qui peut utiliser la vue. Cela contraste avec Gestion des identités et des accès AWS (IAM) les politiques basées sur l'identité. Une politique IAM basée sur l'identité est attribuée à un rôle, un groupe ou un utilisateur, et elle spécifie les actions et les ressources auxquelles ce rôle, ce groupe ou cet utilisateur peut accéder. Vous pouvez utiliser l'un ou l'autre type de politique avec les vues Resource Explorer, comme suit : 
+ Dans le compte de gestion ou le compte d'administrateur délégué propriétaire de la ressource, utilisez l'un ou l'***autre*** type de politique pour accorder l'accès, à condition qu'aucune autre politique ne refuse explicitement l'accès à la vue à ce principal.
+ Sur tous les comptes, vous devez utiliser ***les deux*** types de politiques. La politique basée sur les ressources attachée à la vue dans le compte de *partage* active le partage avec un autre compte *consommateur*. Toutefois, cette politique n'accorde pas l'accès aux utilisateurs ou aux rôles individuels du compte consommateur. L'administrateur du compte consommateur doit également attribuer une politique basée sur l'identité aux rôles et utilisateurs souhaités dans le compte consommateur. Cette politique donne accès au [nom de ressource Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) de la vue.

Pour partager des vues avec d'autres comptes, vous devez utiliser AWS Resource Access Manager (AWS RAM). AWS RAM gère pour vous la complexité des politiques basées sur les ressources. Avant de pouvoir partager, vous devez effectuer les tâches suivantes : 
+ [Activez la recherche multi-comptes](https://docs.aws.amazon.com/resource-explorer/latest/userguide/manage-service-multi-account.html). 
+ Assurez-vous que votre politique basée sur les ressources ou la politique basée IAM sur l'identité que vous utilisez pour partager et annuler le partage des vues inclut les autorisations et. `resource-explorer-2:GetResourcePolicy` `resource-explorer-2:PutResourcePolicy` `resource-explorer-2:DeleteResourcePolicy` 

Pour partager une vue, vous devez être le compte de gestion de l'organisation ou un administrateur délégué. Vous spécifiez les comptes ou les identités avec lesquels vous souhaitez partager la ressource. AWS RAM prend entièrement en charge les vues Resource Explorer. AWS RAM utilise des politiques similaires à celles décrites dans les sections suivantes, en fonction des types de principes avec lesquels vous choisissez de partager. Pour savoir comment partager des ressources, consultez la section [Partage de vos AWS ressources](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html) dans le *guide de AWS Resource Access Manager l'utilisateur*.

Les administrateurs et les administrateurs délégués peuvent créer et partager 3 types de vues : la vue du périmètre de l'organisation, les vues du périmètre des unités organisationnelles (UO) et les vues du périmètre au niveau du compte. Ils peuvent partager avec des organisations ou des comptes. OUs Lorsque des comptes rejoignent ou quittent l'organisation, la vue partagée est AWS RAM automatiquement accordée ou révoquée.

## Politique d'autorisations avec laquelle partager une vue Comptes AWS
<a name="manage-views-share-intra-default"></a>

L'exemple de politique suivant montre comment vous pouvez mettre une vue à la disposition des principaux de deux manières différentes Comptes AWS :

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [ "111122223333", "444455556666" ]
            },
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            ], 
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111",
            "Condition": {"StringEquals": {"aws:PrincipalOrgID": "o-123456789012"},
                "StringNotEquals": {"aws:PrincipalAccount": "123456789012"}
            }
        }
    ]
    }"
}
```

L'administrateur de chacun des comptes spécifiés doit désormais spécifier quels rôles et quels utilisateurs peuvent accéder à la vue en associant des politiques d'autorisation basées sur l'identité aux rôles, aux groupes et aux utilisateurs. Les administrateurs des comptes 111122223333 ou 444455556666 peuvent créer l'exemple de politique suivant. Ils peuvent ensuite attribuer la politique aux rôles, aux groupes et aux utilisateurs de ces comptes qui doivent être autorisés à effectuer des recherches en utilisant la vue partagée depuis le compte d'origine.

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "resource-explorer-2:Search",
                "resource-explorer-2:GetView",
            "Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/policy-name/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
        }
    ]
}
```

Vous pouvez utiliser ces politiques IAM basées sur l'identité dans le cadre d'une stratégie de sécurité de contrôle d'accès basé sur les attributs ()ABAC. Dans ce paradigme, vous vous assurez que toutes vos ressources et toutes vos identités sont étiquetées. Ensuite, vous spécifiez dans vos politiques quelles clés et valeurs de balise doivent correspondre entre l'identité et la ressource pour que l'accès soit autorisé. Pour plus d'informations sur le balisage des vues de votre compte, consultez[L'ajout d'balises aux vues](manage-views-tag.md). Pour plus d'informations sur le contrôle d'accès basé sur les attributs, voir À [quoi ça sert ? ABAC AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) et [le contrôle de l'accès aux AWS ressources à l'aide de balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html), tous deux dans le *guide de IAM l'utilisateur*.

# Supprimer des vues dans Resource Explorer
<a name="manage-views-delete"></a>

Lorsque vous n'avez plus besoin d'uneExplorateur de ressources AWS vue, vous pouvez la supprimer. Vous pouvez supprimer des vues à l'aide de la commandeAWS Management Console ou en exécutant desAWS CLI commandes ou leurs opérations d'API équivalentes dans unAWS SDK.

**Note**  
Vous ne pouvez pas supprimer une vue qui est actuellement désignée comme vue par défaut pour cette vueRégion AWS. Pour supprimer la vue, vous devez supprimer la vue par défaut. Pour ce faire, vous pouvez exécuter l'opération [DisassociateDefaultView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_DisassociateDefaultView.html)API dans cette région.

**Autorisations minimales**  
Pour exécuter cette procédure, vous devez disposer des autorisations suivantes :
+ **Action :** `resource-explorer-2:DeleteView`

  **Ressource :** L'[ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) de la vue à supprimer

------
#### [ AWS Management Console ]

**Pour supprimer une vue**

1. Sur la page **[Vues](https://console.aws.amazon.com/resource-explorer/home#/views)** de la console Resource Explorer, cliquez sur le bouton d'option situé à côté de la vue que vous souhaitez supprimer.

1. Choisissez **Actions**, puis **Delete (Supprimer)**.

1. Dans la boîte de dialogue de confirmation, entrez le nom de la vue, puis choisissez **Delete**.

------
#### [ AWS CLI ]

**Pour supprimer une vue**  
Exécutez la commande suivante pour supprimer la vue avec l'ARN (Amazon Resource Name) spécifié.

```
$ aws resource-explorer-2 delete-view \
    --view-arn arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
{
    "ViewArn": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/MyViewName/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111"
}
```

------