Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans Explorateur de ressources AWS
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit ceci comme la sécurité du cloud et la sécurité dans le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui s'exécute Services AWS dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre des programmes de [AWS conformité Programmes](https://aws.amazon.com/compliance/programs/) de de conformité. Pour en savoir plus sur les programmes de conformité qui s'appliquent à Resource Explorer, voir [Services AWS Étendue par programme de conformitéServices AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par Service AWS ce que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre entreprise et la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée lors de son utilisation Explorateur de ressources AWS. Il explique comment configurer Resource Explorer pour répondre à vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres outils Services AWS qui vous aideront à surveiller et à sécuriser vos ressources de l'explorateur de ressources.
**Topics**
+ [IAMPolitiques de mise à niveau vers IPv6](arex-security-ipv6-upgrade.md)
+ [Gestion des identités et des accès](security_iam.md)
+ [Protection des données](data-protection.md)
+ [Validation de conformité](compliance-validation.md)
+ [Résilience](disaster-recovery-resiliency.md)
+ [Sécurité de l’infrastructure](infrastructure-security.md)
# IAMPolitiques de mise à niveau vers IPv6
Explorateur de ressources AWS les clients utilisent des IAM politiques pour définir une plage d'adresses IP autorisée et empêcher les adresses IP situées en dehors de la plage configurée d'accéder à Resource ExplorerAPIs.
L'explorateur de * ressources-2.*region**Le domaine .api.aws où APIs sont hébergés les explorateurs de ressources est en cours de mise à niveau pour être pris IPv6 en charge en plus de. IPv4
Les politiques de filtrage des adresses IP qui ne sont pas mises à jour pour gérer les IPv6 adresses peuvent empêcher les clients d'accéder aux ressources du API domaine Resource Explorer.
## Clients concernés par la mise à niveau IPv4 de IPv6
Les clients qui utilisent le double adressage avec des politiques contenant *aws : sourceIp* sont concernés par cette mise à niveau. Le double adressage signifie que le réseau prend en charge à la fois IPv4 etIPv6.
Si vous utilisez le double adressage, vous devez mettre à jour vos IAM politiques actuellement configurées avec les adresses de IPv4 format afin d'inclure les adresses de IPv6 format.
Pour obtenir de l'aide concernant les problèmes d'accès, contactez [Support](https://support.console.aws.amazon.com/support/home/?nc1=f_dr#/case/create).
**Note**
Les clients suivants *ne sont pas* concernés par cette mise à niveau :
Les clients connectés *uniquement* IPv4 aux réseaux.
Les clients connectés *uniquement* IPv6 aux réseaux.
## Qu'est-ce qu'IPv6 ?
IPv6est la norme IP de prochaine génération destinée à être remplacée à termeIPv4. La version précédente utilise un schéma d'adressage 32 bits pour prendre en charge 4,3 milliards d'appareils. IPv4 IPv6utilise plutôt un adressage 128 bits pour prendre en charge environ 340 billions de billions de milliards de milliards de milliards de dollars (soit 2 appareils à la 128e puissance).
```
2001:cdba:0000:0000:0000:0000:3257:9652
2001:cdba:0:0:0:0:3257:9652
2001:cdba::3257:965
```
## Mettre à jour une IAM politique pour IPv6
IAMles politiques sont actuellement utilisées pour définir une plage d'adresses IP autorisée à l'aide du `aws:SourceIp` filtre.
Le double adressage prend en charge les deux IPv4 et IPV6 le trafic. Si votre réseau utilise le double adressage, vous devez vous assurer que toutes IAM les politiques utilisées pour le filtrage des adresses IP sont mises à jour pour inclure les plages d'IPv6adresses.
Par exemple, cette politique de compartiment Amazon S3 identifie les plages d'IPv4adresses autorisées `192.0.2.0.*` et `203.0.113.0.*` dans l'`Condition`élément.
```
# https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_aws_deny-ip.html
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*",
"*203.0.113.0/24*"
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
}
}
```
Pour mettre à jour cette politique, l'`Condition`élément de la politique est mis à jour pour inclure les plages d'IPv6adresses `2001:DB8:1234:5678::/64` et`2001:cdba:3257:8593::/64`.
**Note**
UTILISEZ NOT REMOVE les IPv4 adresses existantes car elles sont nécessaires pour la rétrocompatibilité.
```
"Condition": {
"NotIpAddress": {
"*aws:SourceIp*": [
"*192.0.2.0/24*", <>
"*203.0.113.0/24*", <>
"*2001:DB8:1234:5678::/64*", <>
"*2001:cdba:3257:8593::/64*" <>
]
},
"Bool": {
"aws:ViaAWSService": "false"
}
}
```
Pour plus d'informations sur la gestion des autorisations d'accès avecIAM, consultez la section [Politiques gérées et politiques intégrées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html) dans le *Guide de l'Gestion des identités et des accès AWS utilisateur*.
## Vérifiez que votre client peut vous aider IPv6
Clients utilisant le *Resource-Explorer-2. Il est conseillé aux points de terminaison \$1region\$1 .api.aws* de vérifier si leurs clients peuvent accéder à d'autres Service AWS points de terminaison déjà activés. IPv6 Les étapes suivantes décrivent comment vérifier ces points de terminaison.
*Cet exemple utilise Linux et la version 8.6.0 de curl et utilise les points de terminaison du [service Amazon Athena](https://docs.aws.amazon.com/general/latest/gr/athena.html) qui ont activé les points de terminaison situés dans le IPv6 domaine api.aws.*
**Note**
Basculez Région AWS vers la même région que celle où se trouve le client. Dans cet exemple, nous utilisons le point de `us-east-1` terminaison de l'est des États-Unis (Virginie du Nord).
1. Déterminez si le point de terminaison est résolu avec une IPv6 adresse à l'aide de la commande curl suivante.
```
dig +short AAAA athena.us-east-1.api.aws
2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
2600:1f18:e2f:4e03:4a1e:83b0:8823:4ce5
2600:1f18:e2f:4e04:34c3:6e9a:2b0d:dc79
```
1. Déterminez si le réseau client peut établir une connexion à l'IPv6aide de la commande curl suivante.
```
curl --ipv6 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 2600:1f18:e2f:4e05:1a8a:948e:7c08:d2d6
response code: 404
```
Si une adresse IP distante a été identifiée **mais** que le code de réponse ne l'est pas`0`, une connexion réseau a été établie avec succès avec le terminal à l'aide deIPv6.
Si l'adresse IP distante est vide ou si le code de réponse l'est`0`, le réseau client ou le chemin réseau vers le point de IPv4 terminaison est uniquement disponible. Vous pouvez vérifier cette configuration à l'aide de la commande curl suivante.
```
curl -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 3.210.103.49
response code: 404
```
Si une adresse IP distante a été identifiée **mais** que le code de réponse ne l'est pas`0`, une connexion réseau a été établie avec succès avec le terminal à l'aide deIPv4. L'adresse IP distante doit être une IPv4 adresse car le système d'exploitation doit sélectionner le protocole valide pour le client. Si l'adresse IP distante n'est pas une IPv4 adresse, utilisez la commande suivante pour forcer l'utilisation IPv4 de curl.
```
curl --ipv4 -o /dev/null --silent -w "\nremote ip: %{remote_ip}\nresponse code: %{response_code}\n" https://athena.us-east-1.api.aws
remote ip: 35.170.237.34
response code: 404
```
# Gestion des identités et des accès pour Explorateur de ressources AWS
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. IAMles administrateurs contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources de l'Explorateur de ressources. IAMest un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion des accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment fonctionne Resource Explorer avec IAM](security_iam_service-with-iam.md)
+ [Exemples de politiques basées sur l'identité Explorateur de ressources AWS](security_iam_id-based-policy-examples.md)
+ [Exemples de politiques de contrôle des services pour AWS Organizations et Resource Explorer](security_iam_scp.md)
+ [AWS politiques gérées pour Explorateur de ressources AWS](security_iam_awsmanpol.md)
+ [Utilisation de rôles liés à un service pour Resource Explorer](security_iam_service-linked-roles.md)
+ [Explorateur de ressources AWS Permissions de dépannage](security_iam_troubleshoot.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction du travail que vous effectuez dans Resource Explorer.
**Utilisateur du service** : si vous utilisez le service Resource Explorer pour effectuer votre travail, votre administrateur vous fournit les informations d'identification et les autorisations dont vous avez besoin. Au fur et à mesure que vous utilisez de plus en plus de fonctionnalités de l'Explorateur de ressources pour effectuer votre travail, vous aurez peut-être besoin d'autorisations supplémentaires. En comprenant bien la gestion des accès, vous saurez demander les autorisations appropriées à votre administrateur. Si vous ne pouvez pas accéder à une fonctionnalité dans l'Explorateur de ressources, consultez[Explorateur de ressources AWS Permissions de dépannage](security_iam_troubleshoot.md).
**Administrateur du service** — Si vous êtes responsable des ressources de l'explorateur de ressources au sein de votre entreprise, vous avez probablement un accès complet à l'explorateur de ressources. C'est à vous de déterminer les fonctionnalités et les ressources de l'Explorateur de ressources auxquelles les utilisateurs du service doivent accéder. Vous devez ensuite envoyer des demandes à votre IAM administrateur pour modifier les autorisations des utilisateurs de votre service. Consultez les informations de cette page pour comprendre les concepts de base deIAM. Pour en savoir plus sur la façon dont votre entreprise peut utiliser IAM Resource Explorer, consultez[Comment fonctionne Resource Explorer avec IAM](security_iam_service-with-iam.md).
**IAMadministrateur** : si vous êtes IAM administrateur, vous souhaiterez peut-être en savoir plus sur la manière dont vous pouvez rédiger des politiques pour gérer l'accès à Resource Explorer. Pour consulter des exemples de politiques basées sur l'identité de Resource Explorer que vous pouvez utiliser dansIAM, consultez. [Exemples de politiques basées sur l'identité Explorateur de ressources AWS](security_iam_id-based-policy-examples.md)
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être *authentifié* (connecté à AWS) en tant que Utilisateur racine d'un compte AWS, en tant qu'IAMutilisateur ou en assumant un IAM rôle.
Vous pouvez vous connecter en AWS tant qu'identité fédérée en utilisant les informations d'identification fournies par le biais d'une source d'identité. AWS IAM Identity Center Les utilisateurs (IAMIdentity Center), l'authentification unique de votre entreprise et vos informations d'identification Google ou Facebook sont des exemples d'identités fédérées. Lorsque vous vous connectez en tant qu'identité fédérée, votre administrateur a préalablement configuré la fédération d'identité à l'aide de IAM rôles. Lorsque vous accédez à AWS l'aide de la fédération, vous assumez indirectement un rôle.
Selon le type d'utilisateur que vous êtes, vous pouvez vous connecter au portail AWS Management Console ou au portail AWS d'accès. Pour plus d'informations sur la connexion à AWS, consultez la section [Comment vous connecter à votre compte Compte AWS dans](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) le *guide de Connexion à AWS l'utilisateur*.
Si vous y accédez AWS par programmation, AWS fournit un kit de développement logiciel (SDK) et une interface de ligne de commande (CLI) pour signer cryptographiquement vos demandes à l'aide de vos informations d'identification. Si vous n'utilisez pas d' AWS outils, vous devez signer vous-même les demandes. Pour plus d'informations sur l'utilisation de la méthode recommandée pour signer vous-même les demandes, consultez la section [Signature des AWS API demandes](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-signing.html) dans le *guide de IAM l'utilisateur*.
Quelle que soit la méthode d’authentification que vous utilisez, vous devrez peut-être fournir des informations de sécurité supplémentaires. Par exemple, il vous AWS recommande d'utiliser l'authentification multifactorielle (MFA) pour renforcer la sécurité de votre compte. Pour en savoir plus, consultez [Authentification multifactorielle](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) dans le *guide de AWS IAM Identity Center l'utilisateur* et [Utilisation de l'authentification multifactorielle (MFA) AWS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) le guide de l'*IAMutilisateur*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée *utilisateur Compte AWS root* et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, consultez la section [Tâches nécessitant des informations d'identification utilisateur root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *guide de IAM l'utilisateur*.
### Utilisateurs et groupes
Un *[IAMutilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité au sein de vous Compte AWS qui possède des autorisations spécifiques pour une seule personne ou une seule application. Dans la mesure du possible, nous vous recommandons de vous appuyer sur des informations d'identification temporaires plutôt que de créer des IAM utilisateurs dotés d'informations d'identification à long terme, telles que des mots de passe et des clés d'accès. Toutefois, si vous avez des cas d'utilisation spécifiques qui nécessitent des informations d'identification à long terme auprès des IAM utilisateurs, nous vous recommandons de faire pivoter les clés d'accès. Pour plus d'informations, voir [Rotation régulière des clés d'accès pour les cas d'utilisation nécessitant des informations d'identification à long terme](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) dans le *Guide de IAM l'utilisateur*.
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) est une identité qui définit un ensemble d'IAMutilisateurs. Vous ne pouvez pas vous connecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pour plusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Par exemple, vous pouvez nommer un groupe *IAMAdmins*et lui donner les autorisations nécessaires pour administrer IAM des ressources.
Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personne ou une application, alors qu’un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. Les utilisateurs disposent d’informations d’identification permanentes, mais les rôles fournissent des informations d’identification temporaires. Pour en savoir plus, voir [Quand créer un IAM utilisateur (au lieu d'un rôle)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose) dans le *Guide de IAM l'utilisateur*.
### Rôles
Un *[IAMrôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité au sein de Compte AWS vous dotée d'autorisations spécifiques. Il est similaire à un IAM utilisateur, mais n'est pas associé à une personne en particulier. Vous pouvez assumer temporairement un IAM rôle dans le en AWS Management Console [changeant de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Vous pouvez assumer un rôle en appelant une AWS API opération AWS CLI or ou en utilisant une option personnaliséeURL. Pour plus d'informations sur les méthodes d'utilisation des rôles, consultez la section [Méthodes pour assumer un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de IAM l'utilisateur*.
IAMles rôles dotés d'informations d'identification temporaires sont utiles dans les situations suivantes :
+ **Accès utilisateur fédéré** : pour attribuer des autorisations à une identité fédérée, vous créez un rôle et définissez des autorisations pour le rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour plus d'informations sur les rôles pour la fédération, voir [Création d'un rôle pour un fournisseur d'identité tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *guide de IAM l'utilisateur*. Si vous utilisez IAM Identity Center, vous configurez un ensemble d'autorisations. Pour contrôler les accès auxquels vos identités peuvent accéder après leur authentification, IAM Identity Center met en corrélation l'ensemble d'autorisations avec un rôle dans. IAM Pour plus d’informations sur les jeux d’autorisations, consultez [Jeux d’autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.
+ **Autorisations IAM utilisateur temporaires** : un IAM utilisateur ou un rôle peut assumer un IAM rôle afin d'obtenir temporairement différentes autorisations pour une tâche spécifique.
+ **Accès entre comptes** : vous pouvez utiliser un IAM rôle pour autoriser une personne (un mandant fiable) d'un autre compte à accéder aux ressources de votre compte. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, dans certains Services AWS cas, vous pouvez associer une politique directement à une ressource (au lieu d'utiliser un rôle comme proxy). *Pour connaître la différence entre les rôles et les politiques basées sur les ressources pour l'accès entre comptes, voir Accès aux [ressources entre comptes IAM dans le guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) de l'IAMutilisateur.*
+ **Accès multiservices** — Certains Services AWS utilisent des fonctionnalités dans d'autres Services AWS. Par exemple, lorsque vous effectuez un appel dans un service, il est courant que ce service exécute des applications dans Amazon EC2 ou stocke des objets dans Amazon S3. Un service peut le faire en utilisant les autorisations d’appel du principal, un rôle de service ou un rôle lié au service.
+ **Sessions d'accès transmises (FAS)** — Lorsque vous utilisez un IAM utilisateur ou un rôle pour effectuer des actions AWS, vous êtes considéré comme un mandant. Lorsque vous utilisez certains services, vous pouvez effectuer une action qui initie une autre action dans un autre service. FASutilise les autorisations du principal appelant an Service AWS, combinées à la demande Service AWS pour adresser des demandes aux services en aval. FASles demandes ne sont effectuées que lorsqu'un service reçoit une demande qui nécessite des interactions avec d'autres personnes Services AWS ou des ressources pour être traitée. Dans ce cas, vous devez disposer d’autorisations nécessaires pour effectuer les deux actions. Pour plus de détails sur les politiques relatives FAS aux demandes, consultez la section [Transférer les sessions d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
+ **Rôle de service** — Un rôle de service est un [IAMrôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu'un service assume pour effectuer des actions en votre nom. Un IAM administrateur peut créer, modifier et supprimer un rôle de service de l'intérieurIAM. Pour plus d'informations, consultez [la section Création d'un rôle auquel déléguer des autorisations Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de IAM l'utilisateur*.
+ **Rôle lié à un service — Un rôle** lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS répertoire et appartiennent au service. Un IAM administrateur peut consulter, mais pas modifier les autorisations pour les rôles liés à un service.
+ **Applications exécutées sur Amazon EC2** : vous pouvez utiliser un IAM rôle pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une EC2 instance et qui font AWS CLI des AWS API demandes. Cela est préférable au stockage des clés d'accès dans l'EC2instance. Pour attribuer un AWS rôle à une EC2 instance et le rendre disponible pour toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes exécutés sur l'EC2instance d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez la section [Utilisation d'un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) dans le *Guide de IAM l'utilisateur*.
Pour savoir s'il faut utiliser IAM des rôles ou des IAM utilisateurs, voir [Quand créer un IAM rôle (au lieu d'un utilisateur)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) dans le *guide de IAM l'utilisateur*.
## Gestion des accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. AWS évalue ces politiques lorsqu'un principal (utilisateur, utilisateur root ou session de rôle) fait une demande. Les autorisations dans les politiques déterminent si la demande est autorisée ou refusée. La plupart des politiques sont stockées AWS sous forme de JSON documents. Pour plus d'informations sur la structure et le contenu des documents de JSON politique, voir [Présentation des JSON politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *guide de IAM l'utilisateur*.
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Pour autoriser les utilisateurs à effectuer des actions sur les ressources dont ils ont besoin, un IAM administrateur peut créer des IAM politiques. L'administrateur peut ensuite ajouter les IAM politiques aux rôles, et les utilisateurs peuvent assumer les rôles.
IAMles politiques définissent les autorisations pour une action, quelle que soit la méthode que vous utilisez pour effectuer l'opération. Par exemple, supposons que vous disposiez d’une politique qui autorise l’action `iam:GetRole`. Un utilisateur appliquant cette politique peut obtenir des informations sur le rôle auprès du AWS Management Console AWS CLI, ou du AWS API.
### Politiques basées sur l’identité
Les politiques basées sur l'identité sont JSON des documents de politique d'autorisation que vous pouvez joindre à une identité, telle qu'un IAM utilisateur, un groupe d'utilisateurs ou un rôle. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour savoir comment créer une politique basée sur l'identité, consultez la section [Création de IAM politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le Guide de l'*IAMutilisateur*.
Les politiques basées sur l’identité peuvent être classées comme des *politiques en ligne* ou des *politiques gérées*. Les politiques en ligne sont intégrées directement à un utilisateur, groupe ou rôle. Les politiques gérées sont des politiques autonomes que vous pouvez associer à plusieurs utilisateurs, groupes et rôles au sein de votre Compte AWS. Les politiques gérées incluent les politiques AWS gérées et les politiques gérées par le client. Pour savoir comment choisir entre une politique gérée ou une politique intégrée, voir [Choisir entre des politiques gérées et des politiques intégrées dans le Guide](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#choosing-managed-or-inline) de l'*IAMutilisateur*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents JSON de stratégie que vous attachez à une ressource. Les politiques de *confiance dans les IAM rôles et les politiques relatives aux compartiments Amazon *S3* sont des exemples de politiques* basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou. Services AWS
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser de politiques AWS gérées depuis une IAM stratégie basée sur les ressources.
Explorateur de ressources AWS ne prend pas en charge les politiques basées sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLssont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format du document JSON de stratégie.
Amazon S3 et Amazon VPC sont des exemples de services compatiblesACLs. AWS WAF Pour en savoir plusACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
Explorateur de ressources AWS ne supporte pasACLs.
### Autres types de politique
AWS prend en charge d'autres types de politiques moins courants. Ces types de politiques peuvent définir le nombre maximum d’autorisations qui vous sont accordées par des types de politiques plus courants.
+ **Limites** d'autorisations — Une limite d'autorisations est une fonctionnalité avancée dans laquelle vous définissez le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à une IAM entité (IAMutilisateur ou rôle). Vous pouvez définir une limite d’autorisations pour une entité. Les autorisations en résultant représentent la combinaison des politiques basées sur l’identité d’une entité et de ses limites d’autorisation. Les politiques basées sur les ressources qui spécifient l’utilisateur ou le rôle dans le champ `Principal` ne sont pas limitées par les limites d’autorisations. Un refus explicite dans l’une de ces politiques annule l’autorisation. Pour plus d'informations sur les limites d'autorisations, voir [Limites d'autorisations pour les IAM entités](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de IAM l'utilisateur*.
+ **Politiques de contrôle des services (SCPs)** : SCPs JSON politiques qui spécifient les autorisations maximales pour une organisation ou une unité organisationnelle (UO) dans AWS Organizations. AWS Organizations est un service permettant de regrouper et de gérer de manière centralisée Comptes AWS les multiples propriétés de votre entreprise. Si vous activez toutes les fonctionnalités d'une organisation, vous pouvez appliquer des politiques de contrôle des services (SCPs) à l'un ou à l'ensemble de vos comptes. Les SCP limites d'autorisations pour les entités présentes dans les comptes des membres, y compris chacune d'entre elles Utilisateur racine d'un compte AWS. Pour plus d'informations sur les Organizations et consultez SCPs les [politiques de contrôle des services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de AWS Organizations l'utilisateur*.
+ **Politiques de séance** : les politiques de séance sont des politiques avancées que vous utilisez en tant que paramètre lorsque vous créez par programmation une séance temporaire pour un rôle ou un utilisateur fédéré. Les autorisations de séance en résultant sont une combinaison des politiques basées sur l’identité de l’utilisateur ou du rôle et des politiques de séance. Les autorisations peuvent également provenir d’une politique basée sur les ressources. Un refus explicite dans l’une de ces politiques annule l’autorisation. Pour plus d'informations, consultez la section [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *guide de IAM l'utilisateur*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de IAM l'utilisateur*.
# Comment fonctionne Resource Explorer avec IAM
Avant de gérer l'IAMaccès à Explorateur de ressources AWS, vous devez connaître les IAM fonctionnalités disponibles avec Resource Explorer. Pour obtenir une vue d'ensemble de la façon dont Resource Explorer et les autres Services AWS outils fonctionnentIAM, consultez la section [Services AWS relative à leur](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) utilisation IAM dans le *guide de IAM l'utilisateur*.
**Topics**
+ [Politiques basées sur l'identité de Resource Explorer](#security_iam_service-with-iam-id-based-policies)
+ [Autorisation basée sur les balises Resource Explorer](#security_iam_service-with-iam-tags)
+ [IAMRôles de Resource Explorer](#security_iam_service-with-iam-roles)
Comme tout autre outil Service AWS, Resource Explorer a besoin d'autorisations pour utiliser ses opérations afin d'interagir avec vos ressources. Pour effectuer une recherche, les utilisateurs doivent être autorisés à récupérer les informations relatives à une vue et à effectuer une recherche à l'aide de cette vue. Pour créer des index ou des vues, ou pour les modifier ou pour modifier tout autre paramètre de l'explorateur de ressources, vous devez disposer d'autorisations supplémentaires.
Attribuez IAM des politiques basées sur l'identité qui accordent ces autorisations aux principaux concernésIAM. Resource Explorer fournit [plusieurs politiques gérées](security_iam_awsmanpol.md) qui prédéfinissent des ensembles communs d'autorisations. Vous pouvez les attribuer à vos IAM directeurs.
## Politiques basées sur l'identité de Resource Explorer
Avec les politiques IAM basées sur l'identité, vous pouvez spécifier les actions autorisées ou refusées contre des ressources spécifiques et les conditions dans lesquelles ces actions sont autorisées ou refusées. Resource Explorer prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une JSON politique, consultez la [référence aux éléments de IAM JSON politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de IAM l'utilisateur*.
### Actions
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L'`Action`élément d'une JSON politique décrit les actions que vous pouvez utiliser pour autoriser ou refuser l'accès dans une politique. Les actions de stratégie portent généralement le même nom que l' AWS APIopération associée. Il existe certaines exceptions, telles que les *actions avec autorisation uniquement* qui n'ont pas d'opération correspondante. API Certaines opérations nécessitent également plusieurs actions dans une politique. Ces actions supplémentaires sont nommées *actions dépendantes*.
Intégration d’actions dans une stratégie afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de stratégie dans Resource Explorer utilisent le préfixe de `resource-explorer-2` service avant l'action. Par exemple, pour autoriser quelqu'un à effectuer une recherche à l'aide d'une vue, avec l'`Search`APIopération Resource Explorer, vous incluez l'`resource-explorer-2:Search`action dans une politique attribuée à ce principal. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. Resource Explorer définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service. Elles s'alignent sur les API opérations de l'explorateur de ressources.
Pour préciser plusieurs actions dans une seule déclaration, séparez-les par des virgules comme l'indique l'exemple suivant.
```
"Action": [
"resource-explorer-2:action1",
"resource-explorer-2:action2"
]
```
Vous pouvez définir plusieurs actions à l'aide de caractères génériques (`*`). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante.
```
"Action": "resource-explorer-2:Describe*"
```
Pour obtenir la liste des actions de l'explorateur de ressources, voir [Actions définies par Explorateur de ressources AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions) dans la *référence d'autorisation de AWS service*.
### Ressources
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L'élément `Resource` JSON de stratégie indique le ou les objets auxquels s'applique l'action. Les instructions doivent inclure un élément `Resource` ou `NotResource`. Il est recommandé de spécifier une ressource en utilisant son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Vous pouvez le faire pour des actions qui prennent en charge un type de ressource spécifique, connu sous la dénomination *autorisations de niveau ressource*.
Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, telles que les opérations de liste, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
#### Vue
Le principal type de ressource de l'explorateur de ressources est la *vue*.
La ressource d'affichage de l'explorateur de ressources a le ARN format suivant.
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:view/${ViewName}/${unique-id}
```
Le ARN format Resource Explorer est illustré dans l'exemple suivant.
```
arn:aws:resource-explorer-2:us-east-1:123456789012:view/My-Search-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
**Note**
Le ARN formulaire pour une vue inclut un identifiant unique à la fin pour garantir que chaque vue est unique. Cela permet de garantir qu'une IAM politique accordant l'accès à une ancienne vue supprimée ne peut pas être utilisée pour autoriser accidentellement l'accès à une nouvelle vue portant le même nom que l'ancienne vue. Chaque nouvelle vue reçoit un nouvel identifiant unique à la fin afin de garantir qu'il ARNs ne sera jamais réutilisé.
Pour plus d'informations sur le format deARNs, consultez [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Vous utilisez des politiques IAM basées sur l'identité attribuées aux IAM principaux et vous spécifiez la vue en tant que. `Resource` Cela vous permet d'accorder l'accès à la recherche via une vue à un ensemble de principes, et l'accès via une vue complètement différente à un ensemble de principes différent.
Par exemple, pour autoriser une seule vue nommée `ProductionResourcesView` dans une déclaration de IAM politique, obtenez d'abord le [nom de ressource Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) de la vue. Vous pouvez utiliser la page **[Vues](https://console.aws.amazon.com/resource-explorer/home#/views)** de la console pour afficher les détails d'une vue ou appeler l'`[ListViews](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_ListViews.html)`opération pour récupérer l'intégralité ARN de la vue souhaitée. Incluez-le ensuite dans une déclaration de politique, comme celle illustrée dans l'exemple suivant, qui autorise la modification de la définition d'une seule vue.
```
"Effect": "Allow",
"Action": "UpdateView",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionResourcesView/"
```
Pour autoriser les actions sur ***toutes les*** vues appartenant à un compte spécifique, utilisez le caractère générique (`*`) dans la partie correspondante duARN. L'exemple suivant accorde l'autorisation de recherche à toutes les vues d'un compte spécifique Région AWS .
```
"Effect": "Allow",
"Action": "Search",
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/*"
```
Certaines actions de l'explorateur de ressources`CreateView`, telles que, ne sont pas effectuées sur une ressource spécifique, car, comme dans l'exemple suivant, la ressource n'existe pas encore. Dans ce cas, vous devez utiliser le caractère générique (`*`) pour l'ensemble de la ressourceARN.
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "*"
```
Si vous spécifiez un chemin qui se termine par un caractère générique, vous pouvez limiter l'`CreateView`opération à la création de vues avec uniquement le chemin approuvé. L'exemple d'article de politique suivant montre comment autoriser le directeur à créer des vues uniquement dans le chemin`view/ProductionViews/`.
```
"Effect": "Allow",
"Action": "resource-explorer-2:CreateView"
"Resource": "arn:aws:resource-explorer-2:us-east-1:123456789012:view/ProductionViews/*""
```
#### Index
L'index est un autre type de ressource que vous pouvez utiliser pour contrôler l'accès aux fonctionnalités de l'explorateur de ressources.
La principale façon d'interagir avec l'index consiste à activer l'explorateur de ressources dans et en Région AWS créant un index dans cette région. Ensuite, vous faites presque tout le reste en interagissant avec la vue.
L'une des choses que vous pouvez faire avec l'index est de contrôler qui peut ***créer des*** vues dans chaque région.
**Note**
Une fois que vous avez créé une vue, IAM autorise toutes les autres actions de vue uniquement sur ARN la vue, et non sur l'index.
L'index contient un [ARN](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html)que vous pouvez référencer dans une politique d'autorisation. Un index Resource Explorer ARN a le format suivant.
```
arn:${Partition}:resource-explorer-2:${Region}:${Account}:index/${unique-id}
```
Consultez l'exemple suivant d'index Resource ExplorerARN.
```
arn:aws:resource-explorer-2:us-east-1:123456789012:index/1a2b3c4d-5d6e-7f8a-9b0c-abcd22222222
```
Certaines actions de l'explorateur de ressources vérifient l'authentification par rapport à plusieurs types de ressources. Par exemple, l'[CreateView](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateView.html)opération autorise à la fois ARN l'index et la vue tels qu'ARNils seront une fois que Resource Explorer les aura créés. Pour autoriser les administrateurs à gérer le service Resource Explorer, vous pouvez `"Resource": "*"` autoriser des actions pour n'importe quelle ressource, index ou vue.
Vous pouvez également limiter un directeur à ce qu'il ne puisse travailler qu'avec des ressources spécifiques de l'explorateur de ressources. Par exemple, pour limiter les actions aux seules ressources de l'explorateur de ressources d'une région spécifiée, vous pouvez inclure un ARN modèle qui correspond à la fois à l'index et à la vue, mais qui n'appelle qu'une seule région. Dans l'exemple suivant, les ARN résultats correspondent à la fois aux index ou aux vues dans la `us-west-2` région du compte spécifié uniquement. Spécifiez la région dans le troisième champ duARN, mais utilisez un caractère générique (\$1) dans le dernier champ pour correspondre à n'importe quel type de ressource.
```
"Resource": "arn:aws:resource-explorer-2:us-west-2:123456789012:*
```
Pour plus d'informations, consultez la section [Ressources définies par Explorateur de ressources AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-resources-for-iam-policies) dans la *référence d'autorisation de AWS service*. Pour savoir avec quelles actions vous pouvez spécifier pour chaque ressource, consultez la ARN section [Actions définies par Explorateur de ressources AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).
### Clés de condition
Resource Explorer ne fournit aucune clé de condition spécifique au service, mais il prend en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir les [clés contextuelles de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de IAM l'utilisateur*.
Les administrateurs peuvent utiliser AWS JSON des politiques pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` (ou le *bloc* `Condition`) vous permet de spécifier des conditions lorsqu’une instruction est appliquée. L’élément `Condition` est facultatif. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande.
Si vous spécifiez plusieurs éléments `Condition` dans une instruction, ou plusieurs clés dans un seul élément `Condition`, AWS les évalue à l’aide d’une opération `AND` logique. Si vous spécifiez plusieurs valeurs pour une seule clé de condition, AWS évalue la condition à l'aide d'une `OR` opération logique. Toutes les conditions doivent être remplies avant que les autorisations associées à l’instruction ne soient accordées.
Vous pouvez aussi utiliser des variables d’espace réservé quand vous spécifiez des conditions. Par exemple, vous pouvez autoriser un IAM utilisateur à accéder à une ressource uniquement si celle-ci est étiquetée avec son nom IAM d'utilisateur. Pour plus d'informations, consultez [IAMla section Éléments de politique : variables et balises](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html) dans le *Guide de IAM l'utilisateur*.
AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour voir toutes les clés de condition AWS globales, voir les [clés contextuelles de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de IAM l'utilisateur*.
Pour consulter la liste des clés de condition que vous pouvez utiliser avec Resource Explorer, consultez la section [Clés de condition correspondantes Explorateur de ressources AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-policy-keys) dans la *référence d'autorisation de AWS service*. Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la section [Actions définies par Explorateur de ressources AWS](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsresourceexplorer.html#awsresourceexplorer-actions-as-permissions).
### Exemples
Pour consulter des exemples de politiques basées sur l'identité de Resource Explorer, consultez. [Exemples de politiques basées sur l'identité Explorateur de ressources AWS](security_iam_id-based-policy-examples.md)
## Autorisation basée sur les balises Resource Explorer
Vous pouvez associer des balises aux vues de l'explorateur de ressources ou transmettre des balises dans une demande à l'explorateur de ressources. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `resource-explorer-2:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur le balisage des ressources de l'Explorateur de ressources, consultez[L'ajout d'balises aux vues](manage-views-tag.md). Pour utiliser l'autorisation basée sur des balises dans Resource Explorer, voir[Utiliser l'autorisation basée sur des balises pour contrôler l'accès à vos vues](manage-views-grant-access.md#manage-views-grant-access-abac).
## IAMRôles de Resource Explorer
Un [IAMrôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est un principal au sein de vous Compte AWS qui possède des autorisations spécifiques.
### Utilisation d'informations d'identification temporaires avec Resource Explorer
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à la fédération, assumer un IAM rôle ou assumer un rôle entre comptes. Vous obtenez des informations d'identification de sécurité temporaires en appelant AWS Security Token Service (AWS STS) API des opérations telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
Resource Explorer prend en charge l'utilisation d'informations d'identification temporaires.
### Rôles liés à un service
Les [rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) permettent Services AWS d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre IAM compte et appartiennent au service. Un IAM administrateur peut consulter mais pas modifier les autorisations pour les rôles liés à un service.
Resource Explorer utilise des rôles liés à un service pour effectuer son travail. Pour plus de détails sur les rôles liés à un service Resource Explorer, consultez. [Utilisation de rôles liés à un service pour Resource Explorer](security_iam_service-linked-roles.md)
# Exemples de politiques basées sur l'identité Explorateur de ressources AWS
Par défaut, lesGestion des identités et des accès AWS entités (IAM), tels que les rôles, les groupes et les utilisateurs, ne sont pas autorisés à créer ou modifier les ressources de l'Explorateur de ressources. Ils ne peuvent pas non plus effectuer de tâches à l'aide duAWS Management Console,AWS Command Line Interface (AWS CLI) ou deAWS l'API. Un administrateur IAM doit créer des politiques IAM autorisant les responsables à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Ensuite, l'administrateur doit attribuer ces politiques aux entités IAM qui ont besoin de ces autorisations.
Pour activer l'accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d'autorisations. Suivez les instructions de la rubrique [Création d'un jeu d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l'utilisateur AWS IAM Identity Center*.
+ Utilisateurs gérés dans IAM par un fournisseur d'identité :
Créez un rôle pour la fédération d'identité. Pour plus d'informations, voir la rubrique [Création d'un rôle pour un fournisseur d'identité tiers (fédération)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) du *Guide de l'utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d'un rôle pour un utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user.html) du *Guide de l'utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d'utilisateurs. Suivez les instructions de la rubrique [Ajout d'autorisations à un utilisateur (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l'utilisateur IAM*.
Pour savoir comment créer une politique IAM basée sur l'identité à l'aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console Resource Explorer](#security_iam_id-based-policy-examples-console)
+ [Octroi d'un accès à une vue basée sur des balises](#security_iam_id-based-policy-examples-abac-views)
+ [Autoriser l'accès à la création d'une vue basée sur des balises](#security_iam_id-based-policy-examples-abac-createview)
+ [Autorisation accordée aux responsables pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si une personne peut créer, consulter ou supprimer des ressources de l'Explorateur de ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l'identité, suivez ces instructions et recommandations :
+ **Démarrer avec AWS gérées et évoluez vers les autorisations de moindre privilège** - Pour commencer à accorder des autorisations à vos utilisateurs et charges de travail, utilisez les *politiques gérées AWS* qui accordent des autorisations dans de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire encore les autorisations en définissant des Politiques gérées par le client AWS qui sont spécifiques à vos cas d'utilisation. Pour de plus amples informations, consultez [Politiques gérées AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [Politiques gérées AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l'utilisateur IAM*.
+ **Accorder les autorisations de moindre privilège** - Lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l'exécution d'une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d'informations sur l'utilisation de IAM pour appliquer des autorisations, consultez [Politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l'utilisateur IAM*.
+ **Utiliser des conditions dans les politiques IAM pour restreindre davantage l'accès** - Vous pouvez ajouter une condition à vos politiques afin de limiter l'accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées via un Service AWS spécifique, comme CloudFormation. Pour plus d'informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
+ **Utilisez IAM Access Analyzer pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** - IAM Access Analyzer valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour de plus amples informations, consultez [Validation de politique IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l'utilisateur IAM*.
+ **Authentification multifactorielle (MFA) nécessaire** : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root dans votre Compte AWS, activez l'authentification multifactorielle pour une sécurité renforcée. Pour exiger le MFA lorsque des opérations d'API sont appelées, ajoutez des conditions MFA à vos politiques. Pour de plus amples informations, consultez [Configuration de l'accès aux API protégé par MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l'utilisateur IAM*.
Pour plus d'informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l'utilisateur IAM*.
## Utilisation de la console Resource Explorer
Pour que les entités principales puissent effectuer des recherches dans laExplorateur de ressources AWS console, ils doivent disposer d'un ensemble minimum d'autorisations. Si vous ne créez pas de politique basée sur l'identité avec les autorisations minimales requises, la console de l'Explorateur de ressources ne fonctionnera pas comme prévu pour les entités principales du compte.
Vous pouvez utiliser la politiqueAWS gérée nommée`AWSResourceExplorerReadOnlyAccess` pour autoriser l'utilisation de la console Resource Explorer pour effectuer des recherches à l'aide de n'importe quelle vue du compte. Pour accorder l'autorisation de rechercher avec une seule vue[Autorisation de l'accès aux vues de l'Explorateur de ressources pour la recherche](manage-views-grant-access.md), consultez les exemples des deux sections suivantes.
Vous n'avez pas besoin d'accorder les autorisations minimales de console pour les principaux qui effectuent des appels uniquement à la AWS CLI ou à l'API AWS. Au lieu de cela, vous pouvez choisir de n'accorder l'accès qu'aux actions qui correspondent aux opérations d'API que les responsables doivent effectuer.
## Octroi d'un accès à une vue basée sur des balises
Dans cet exemple, vous souhaitez accorder l'accès à une vue de l'ExplorateurCompte AWS de ressources dans vos deux entités principales du compte. Pour ce faire, vous devez attribuer des politiques IAM basées sur l'identité aux principaux que vous souhaitez pouvoir rechercher dans l'Explorateur de ressources. L'exemple de politique IAM suivant permet d'accéder à toute demande pour laquelle la`Search-Group` balise attachée au principal appelant correspond exactement à la valeur de cette même balise attachée à la vue utilisée dans la demande.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"resource-explorer-2:GetView",
"resource-explorer-2:Search"
],
"Resource": "arn:aws:resource-explorer-2:*:*:view/*",
"Condition": {
"StringEquals": {"aws:ResourceTag/Search-Group": "${aws:PrincipalTag/Search-Group}"}
}
}
]
}
```
Vous pouvez attribuer cette politique aux responsables IAM de votre compte. Si un utilisateur possédant la balise`Search-Group=A` tente d'effectuer une recherche à l'aide d'une vue de l'Explorateur de ressources, la vue doit également être balisée`Search-Group=A`. Si ce n'est pas le cas, l'accès est refusé au principal. La clé de condition d'étiquette `Search-Group` correspond à la fois à `Search-group` et à `search-group`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d'informations, veuillez consulter la rubrique [Éléments de stratégie JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
**Important**
Pour voir vos ressources dans des résultats de recherche unifiés dans leAWS Management Console, les responsables doivent disposer à la fois des`Search` autorisations nécessaires`GetView` et des autorisations pour la vue par défaut dans leRégion AWS qui contient l'index de l'agrégateur. Le moyen le plus simple d'accorder ces autorisations est de conserver l'autorisation basée sur les ressources par défaut qui était associée à la vue lorsque vous avez activé l'Explorateur de ressources à l'aide de la configuration rapide ou avancée.
Dans ce scénario, vous pouvez envisager de définir la vue par défaut pour filtrer les ressources sensibles, puis de configurer des vues supplémentaires auxquelles vous accorderez un accès basé sur des balises, comme décrit dans l'exemple précédent.
## Autoriser l'accès à la création d'une vue basée sur des balises
Dans cet exemple, vous souhaitez autoriser uniquement les principaux balisés de la même manière que l'index à créer des vues dans le fichierRégion AWS qui contient l'index. Pour ce faire, créez des autorisations basées sur l'identité pour permettre aux principaux utilisateurs d'effectuer des recherches à l'aide de vues.
Vous êtes maintenant prêt à accorder l'ensemble minimum d'autorisations requis pour créer une vue. Vous pouvez ajouter les déclarations de cet exemple à la même politique d'autorisation que celle que vous utilisez pour accorder`Search` des autorisations aux responsables concernés. Les actions sont autorisées ou refusées en fonction des balises attachées aux principaux appelant les opérations et l'index auxquels la vue doit être associée. L'exemple de politique IAM suivant refuse toute demande de création d'une vue lorsque la valeur de la`Allow-Create-View` balise attachée au principal de l'appelant ne correspond pas exactement à la valeur de cette même balise attachée à l'index dans la région dans laquelle la vue est créée.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "resource-explorer-2:CreateView",
"Resource": "*",
"Condition": {
"StringNotEquals": {"aws:ResourceTag/Allow-Create-View": "${aws:PrincipalTag/Allow-Create-View}"}
}
}
]
}
```
## Autorisation accordée aux responsables pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d'afficher les politiques en ligne et gérées attachées à leur identité d'utilisateur. Cette politique inclut les autorisations nécessaires pour réaliser cette action sur la console ou par programmation à l'aide de l'AWS CLI ou de l'API AWS.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# Exemples de politiques de contrôle des services pour AWS Organizations et Resource Explorer
Explorateur de ressources AWS prend en charge les politiques de contrôle des services (SCP). Les SCP sont des politiques que vous attachez aux éléments d'une organisation pour gérer les autorisations au sein de cette organisation. Un SCP s'applique Comptes AWS à tous les membres d'une organisation [sous l'élément auquel vous attachez le SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_evaluation.html). Les politiques de contrôle des services (SCP) offrent un contrôle central sur les autorisations maximales disponibles pour tous les comptes de votre organisation. Ils peuvent vous aider à garantir le respect Comptes AWS des directives de contrôle d'accès de votre organisation. Pour plus d'informations, consultez la section [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) du *Guide de l'utilisateur AWS Organizations *.
## Prérequis
Procédez comme suit pour utiliser les SCP :
+ Activez toutes les fonctions de votre organisation. Pour de plus amples informations, consultez [Activation de toutes les fonctionnalités de l'organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dans le *Guide de l'utilisateur AWS Organizations *.
+ Activez les SCP au sein de votre organisation. Pour plus d'informations, voir la rubrique [Activation et désactivation des types des politiques](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_enable-disable.html) du *Guide de l'utilisateur AWS Organizations *.
+ Créez les SCP dont vous avez besoin. Pour plus d'informations sur la création de SCP, voir [Création et mise à jour de SCP](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scp-create.html) dans le guide de l'*AWS Organizations utilisateur*.
## Exemples de politiques de contrôle des services
L'exemple suivant montre comment utiliser le [contrôle d'accès basé sur les attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) pour contrôler l'accès aux opérations administratives de Resource Explorer. Cet exemple de politique refuse l'accès à toutes les opérations de Resource Explorer, à l'exception des deux autorisations requises pour effectuer une recherche `resource-explorer-2:Search` et`resource-explorer-2:GetView`, sauf si le principal IAM qui fait la demande est étiqueté`ResourceExplorerAdmin=TRUE`. Pour une discussion plus complète sur l'utilisation d'ABAC avec Resource Explorer, voir[Utiliser l'autorisation basée sur des balises pour contrôler l'accès à vos vues](manage-views-grant-access.md#manage-views-grant-access-abac).
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"resource-explorer-2:AssociateDefaultView",
"resource-explorer-2:BatchGetView",
"resource-explorer-2:CreateIndex",
"resource-explorer-2:CreateView",
"resource-explorer-2:DeleteIndex",
"resource-explorer-2:DeleteView",
"resource-explorer-2:DisassociateDefaultView",
"resource-explorer-2:GetDefaultView",
"resource-explorer-2:GetIndex",
"resource-explorer-2:ListIndexes",
"resource-explorer-2:ListSupportedResourceTypes",
"resource-explorer-2:ListTagsForResource",
"resource-explorer-2:ListViews",
"resource-explorer-2:TagResource",
"resource-explorer-2:UntagResource",
"resource-explorer-2:UpdateIndexType",
"resource-explorer-2:UpdateView""
],
"Resource": [
"*"
],
"Condition": {
"StringNotEqualsIgnoreCase": {"aws:PrincipalTag/ResourceExplorerAdmin": "TRUE"}
}
]
}
```
# AWS politiques gérées pour Explorateur de ressources AWS
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez la section [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
**Politiques générales AWS gérées qui incluent les autorisations de l'explorateur de ressources**
+ [AdministratorAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AdministratorAccess)— Accorde un accès complet aux ressources Services AWS et aux ressources.
+ [ReadOnlyAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess) : accorde un accès en lecture seule aux ressources Services AWS et à leurs ressources.
+ [ViewOnlyAccès](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/job-function/ViewOnlyAccess) : autorise l'affichage des ressources et des métadonnées de base pour Services AWS.
**Note**
Les `Get*` autorisations de l'explorateur de ressources incluses dans la `ViewOnlyAccess` politique fonctionnent comme `List` des autorisations, bien qu'elles ne renvoient qu'une seule valeur, car une région ne peut contenir qu'un seul index et une seule vue par défaut.
**AWS politiques gérées pour Resource Explorer**
+ [AWSResourceExplorerFullAccess](#security_iam_awsmanpol_AWSResourceExplorerFullAccess)
+ [AWSResourceExplorerReadOnlyAccess](#security_iam_awsmanpol_AWSResourceExplorerReadOnlyAccess)
+ [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)
## AWS politique gérée : AWSResourceExplorerFullAccess
Vous pouvez attribuer la `AWSResourceExplorerFullAccess` politique à vos identités IAM.
Cette politique accorde des autorisations qui permettent un contrôle administratif total du service Resource Explorer. Vous pouvez effectuer toutes les tâches liées à l'activation et à la gestion de l'Explorateur de ressources Régions AWS dans votre compte.
**Détails de l’autorisation**
Cette politique inclut des autorisations qui autorisent toutes les actions pour Resource Explorer, y compris l'activation et la désactivation de Resource Explorer dans Régions AWS, la création ou la suppression d'un index agrégateur pour le compte, la création, la mise à jour et la suppression de vues, ainsi que la recherche. Cette politique inclut également les autorisations qui ne font pas partie de Resource Explorer :
+ `ec2:DescribeRegions`— permet à Resource Explorer d'accéder aux informations relatives aux régions de votre compte.
+ `ram:ListResources`— permet à Resource Explorer de répertorier les partages de ressources dont font partie les ressources.
+ `ram:GetResourceShares`— permet à Resource Explorer d'identifier les informations relatives aux partages de ressources que vous possédez ou qui sont partagés avec vous.
+ `iam:CreateServiceLinkedRole`— permet à Resource Explorer de créer le rôle lié au service requis lorsque vous [activez Resource Explorer en créant le premier index](manage-service-turn-on-region.md#manage-service-turn-on-region-region).
+ `organizations:DescribeOrganization`— permet à Resource Explorer d'accéder aux informations relatives à votre organisation.
Pour consulter la dernière version de cette politique AWS gérée, consultez `[AWSResourceExplorerFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerFullAccess.html)` le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSResourceExplorerReadOnlyAccess
Vous pouvez attribuer la `AWSResourceExplorerReadOnlyAccess` politique à vos identités IAM.
Cette politique accorde des autorisations en lecture seule qui permettent aux utilisateurs d'accéder à la recherche de base pour découvrir leurs ressources.
**Détails de l’autorisation**
Cette politique inclut des autorisations qui permettent aux utilisateurs d'exécuter l'explorateur `Get*` de ressources et des `Search` opérations permettant d'afficher des informations sur les composants et les paramètres de configuration de l'explorateur de ressources, mais n'autorise pas les utilisateurs à les modifier. `List*` Les utilisateurs peuvent également effectuer une recherche. Cette politique inclut également deux autorisations qui ne font pas partie de Resource Explorer :
+ `ec2:DescribeRegions`— permet à Resource Explorer d'accéder aux informations relatives aux régions de votre compte.
+ `ram:ListResources`— permet à Resource Explorer de répertorier les partages de ressources dont font partie les ressources.
+ `ram:GetResourceShares`— permet à Resource Explorer d'identifier les informations relatives aux partages de ressources que vous possédez ou qui sont partagés avec vous.
+ `organizations:DescribeOrganization`— permet à Resource Explorer d'accéder aux informations relatives à votre organisation.
Pour consulter la dernière version de cette politique AWS gérée, consultez `[AWSResourceExplorerReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSResourceExplorerReadOnlyAccess.html)` le *Guide de référence des politiques AWS gérées*.
## AWS politique gérée : AWSResourceExplorerServiceRolePolicy
Vous ne pouvez vous associer `AWSResourceExplorerServiceRolePolicy` à aucune entité IAM vous-même. Cette politique ne peut être attachée qu'à un rôle lié à un service qui permet à Resource Explorer d'effectuer des actions en votre nom. Pour plus d’informations, consultez [Utilisation de rôles liés à un service pour Resource Explorer](security_iam_service-linked-roles.md).
Cette politique accorde les autorisations nécessaires à Resource Explorer pour récupérer des informations sur vos ressources. Resource Explorer renseigne les index qu'il gère dans chacun des index Région AWS que vous enregistrez.
Pour consulter la dernière version de cette politique AWS gérée, consultez `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` la console IAM.
## AWS politique gérée : AWSResourceExplorerOrganizationsAccess
Vous pouvez attribuer `AWSResourceExplorerOrganizationsAccess` à vos identités IAM.
Cette politique accorde des autorisations administratives à Resource Explorer et accorde des autorisations en lecture seule à d'autres personnes pour prendre Services AWS en charge cet accès. L' AWS Organizations administrateur a besoin de ces autorisations pour configurer et gérer la recherche multi-comptes dans la console.
**Détails de l’autorisation**
Cette politique inclut des autorisations qui permettent aux administrateurs de configurer la recherche multi-comptes pour l'organisation :
+ `ec2:DescribeRegions`— Permet à Resource Explorer d'accéder aux informations relatives aux régions de votre compte.
+ `ram:ListResources`— Permet à Resource Explorer de répertorier les partages de ressources dont font partie les ressources.
+ `ram:GetResourceShares`— Permet à l'explorateur de ressources d'identifier les informations relatives aux partages de ressources que vous possédez ou qui sont partagés avec vous.
+ `organizations:ListAccounts`— Permet à Resource Explorer d'identifier les comptes au sein d'une organisation.
+ `organizations:ListRoots`— Permet à Resource Explorer d'identifier les comptes racine au sein d'une organisation.
+ `organizations:ListOrganizationalUnitsForParent`— Permet à Resource Explorer d'identifier les unités organisationnelles (UO) d'une unité organisationnelle parent ou d'une racine.
+ `organizations:ListAccountsForParent`— Permet à Resource Explorer d'identifier les comptes d'une organisation qui sont contenus par la racine cible spécifiée ou par une unité d'organisation.
+ `organizations:ListDelegatedAdministrators`— Permet à Resource Explorer d'identifier les AWS comptes désignés comme administrateurs délégués dans cette organisation.
+ `organizations:ListAWSServiceAccessForOrganization`— Permet à Resource Explorer d'identifier une liste de ceux Services AWS qui sont autorisés à s'intégrer à votre organisation.
+ `organizations:DescribeOrganization`— Permet à Resource Explorer de récupérer des informations sur l'organisation à laquelle appartient le compte de l'utilisateur.
+ `organizations:EnableAWSServiceAccess`— Permet à Resource Explorer d'activer l'intégration d'un Service AWS (le service spécifié par`ServicePrincipal`) avec AWS Organizations.
+ `organizations:DisableAWSServiceAccess`— Permet à Resource Explorer de désactiver l'intégration d'un Service AWS (le service spécifié par ServicePrincipal) avec AWS Organizations.
+ `organizations:RegisterDelegatedAdministrator`— Permet à Resource Explorer d'activer le compte de membre spécifié pour administrer les fonctionnalités du AWS service spécifié de l'organisation.
+ `organizations:DeregisterDelegatedAdministrator`— Permet à Resource Explorer de supprimer le membre spécifié Compte AWS en tant qu'administrateur délégué pour le membre spécifié Service AWS.
+ `iam:GetRole`— Permet à Resource Explorer de récupérer des informations sur le rôle spécifié, notamment le chemin, le GUID, l'ARN du rôle, ainsi que la politique de confiance du rôle qui accorde l'autorisation d'assumer le rôle.
+ `iam:CreateServiceLinkedRole`— Permet à Resource Explorer de créer le rôle lié au service requis lorsque vous [activez Resource Explorer en créant le premier index](manage-service-turn-on-region.md#manage-service-turn-on-region-region).
Pour consulter la dernière version de cette politique AWS gérée, consultez `[AWSResourceExplorerOrganizationsAccess](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerOrganizationsAccess)` la console IAM.
## Mises à jour des politiques AWS gérées par Resource Explorer
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour Resource Explorer depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'[historique des documents de l'Explorateur de ressources](doc-history.md).
| Modification | Description | Date |
| --- | --- | --- |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)- Autorisations de politique mises à jour pour afficher des types de ressources supplémentaires | Resource Explorer a ajouté des autorisations à la politique de rôle liée au service [`AWSResourceExplorerServiceRolePolicy`](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)qui permet à Resource Explorer d'afficher des types de ressources supplémentaires : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 12 décembre 2023 |
| Nouvelle politique gérée par | Resource Explorer a ajouté la politique AWS gérée suivante : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 14 novembre 2023 |
| Mise à jour des stratégies gérées par | Resource Explorer a mis à jour les politiques AWS gérées suivantes pour prendre en charge la recherche multi-comptes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 14 novembre 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Politique mise à jour pour prendre en charge la recherche multi-comptes auprès des Organizations | Resource Explorer a ajouté des autorisations à la politique des rôles liés au service `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` qui permet à Resource Explorer de prendre en charge la recherche multi-comptes auprès des Organizations : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 14 novembre 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Politique mise à jour pour prendre en charge des types de ressources supplémentaires | Resource Explorer a ajouté des autorisations à la politique de rôle liée au service `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` qui permet au service d'indexer les types de ressources suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 17 octobre 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Politique mise à jour pour prendre en charge des types de ressources supplémentaires | Resource Explorer a ajouté des autorisations à la politique de rôle liée au service `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` qui permet au service d'indexer les types de ressources suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 1er août 2023 |
| [AWSResourceExplorerServiceRolePolicy](#security_iam_awsmanpol_AWSResourceExplorerServiceRolePolicy)— Politique mise à jour pour prendre en charge des types de ressources supplémentaires | Resource Explorer a ajouté des autorisations à la politique de rôle liée au service `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` qui permet au service d'indexer les types de ressources suivants : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 7 mars 2023 |
| Nouvelles politiques gérées | Resource Explorer a ajouté les politiques AWS gérées suivantes : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/resource-explorer/latest/userguide/security_iam_awsmanpol.html) | 7 novembre 2022 |
| Resource Explorer a commencé à suivre les modifications | Resource Explorer a commencé à suivre les modifications apportées AWS à ses politiques gérées. | 7 novembre 2022 |
# Utilisation de rôles liés à un service pour Resource Explorer
Explorateur de ressources AWS utilise Gestion des identités et des accès AWS (IAM) des rôles [liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Un rôle lié à un service est un type unique de IAM rôle directement lié à Resource Explorer. Les rôles liés au service sont prédéfinis par Resource Explorer et incluent toutes les autorisations dont le service a besoin pour appeler d'autres personnes en votre Services AWS nom.
Un rôle lié à un service facilite la configuration de l'Explorateur de ressources, car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. L'explorateur de ressources définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul l'explorateur de ressources peut assumer ses rôles. Les autorisations définies incluent à la fois la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attribuée à aucune autre IAM entité.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section [AWS Services compatibles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'*IAMutilisateur*. Dans cette section, recherchez les services dont la valeur est **Oui** dans la colonne **Rôles liés aux services**. Choisissez un **Oui** ayant un lien permettant de consulter les détails du rôle pour ce service.
## Autorisations de rôle liées à un service pour Resource Explorer
L'explorateur de ressources utilise le rôle lié au service nommé. `AWSServiceRoleForResourceExplorer` Ce rôle autorise le service Resource Explorer à consulter en votre nom les ressources et les AWS CloudTrail événements qui Compte AWS s'y trouvent et à indexer ces ressources pour faciliter la recherche.
Le rôle `AWSServiceRoleForResourceExplorer` lié au service ne fait confiance qu'au service dont le principal de service est le suivant pour assumer le rôle :
+ `resource-explorer-2.amazonaws.com`
La politique d'autorisation de rôle nommée AWSResourceExplorerServiceRolePolicy autorise l'accès en lecture seule à Resource Explorer pour récupérer les noms des ressources et les propriétés des ressources prises en charge AWS . Pour voir les services et les ressources pris en charge par Resource Explorer, voir [Types de ressources que vous pouvez rechercher avec Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html). Pour obtenir la liste complète de toutes les actions que ce rôle peut effectuer, vous pouvez consulter la `[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)` politique dans la IAM console.
Un principal est une IAM entité telle qu'un utilisateur, un groupe ou un rôle. Si vous laissez Resource Explorer créer le rôle lié au service pour vous lorsqu'il crée l'index dans la première région du compte, le principal exécutant la tâche n'a besoin que des autorisations requises pour créer l'index Resource Explorer. Pour créer le rôle lié à un service manuellement à l'aide deIAM, le principal exécutant la tâche doit être autorisé à créer un rôle lié à un service. Pour plus d'informations, consultez la section [Autorisations relatives aux rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le Guide de l'*IAMutilisateur*.
## Création d'un rôle lié à un service pour Resource Explorer
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous activez l'explorateur de ressources dans le AWS Management Console ou que vous l'exécutez [CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html)dans le premier Région AWS dans votre compte à l'aide du AWS CLI ou un AWS API, l'explorateur de ressources crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous devez ensuite le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous vous [RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)trouvez dans la première région de votre compte, Resource Explorer crée à nouveau le rôle lié au service pour vous.
## Modification d'un rôle lié à un service pour Resource Explorer
L'Explorateur de ressources ne vous permet pas de modifier le rôle `AWSServiceRoleForResourceExplorer` lié au service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Vous pouvez toutefois modifier la description du rôle à l'aide deIAM. Pour plus d'informations, consultez la section [Modification d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) dans le Guide de l'*IAMutilisateur*.
## Supprimer un rôle lié à un service pour Resource Explorer
Vous pouvez utiliser la IAM console AWS CLI, le ou le AWS API pour supprimer manuellement le rôle lié au service. Pour ce faire, vous devez d'abord supprimer les index de l'explorateur de ressources de tous Région AWS les index de votre compte, puis supprimer manuellement le rôle lié à un service.
**Note**
Si le service Resource Explorer utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression échoue. Dans ce cas, assurez-vous que tous les index de toutes les régions sont supprimés, puis attendez quelques minutes et recommencez l'opération.
**Pour supprimer manuellement le rôle lié à un service à l'aide de IAM**
Utilisez la IAM console AWS CLI, le ou le AWS API pour supprimer le rôle `AWSServiceRoleForResourceExplorer` lié au service. Pour plus d'informations, consultez [la section Suppression d'un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) dans le Guide de l'*IAMutilisateur*.
## Régions prises en charge pour les rôles liés au service Resource Explorer
Resource Explorer prend en charge l'utilisation de rôles liés à un service dans toutes les régions où le service est disponible. Pour de plus amples informations, veuillez consulter [Points de terminaison Service AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html) dans le *Référence générale d'Amazon Web Services*.
# Explorateur de ressources AWS Permissions de dépannage
Utilisez les informations suivantes pour diagnostiquer et résoudre les problèmes courants que vous pouvez rencontrer lors de l'utilisation de Resource Explorer et Gestion des identités et des accès AWS (IAM).
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans Resource Explorer](#security_iam_troubleshoot-no-permissions)
+ [Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder aux ressources de mon explorateur de ressources](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans Resource Explorer
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni les informations d'identification que vous avez utilisées pour tenter cette opération.
Par exemple, l'erreur suivante se produit lorsqu'une personne assumant le rôle IAM `MyExampleRole` essaie d'utiliser la console pour afficher les détails d'une vue sans y être `resource-explorer-2:GetView` autorisée.
```
User: arn:aws:iam::123456789012:role/MyExampleRole is not authorized to perform: resource-explorer-2:GetView on resource: arn:aws:resource-explorer-2:us-east-1:123456789012:view/EC2-Only-View/1a2b3c4d-5d6e-7f8a-9b0c-abcd11111111
```
Dans ce cas, la personne utilisant le rôle doit demander à l'administrateur de mettre à jour les politiques d'autorisation du rôle afin d'autoriser l'accès à la vue à l'aide de l'`resource-explorer-2:GetView`action.
## Je souhaite autoriser des personnes extérieures à moi Compte AWS à accéder aux ressources de mon explorateur de ressources
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d’accès (ACL), vous pouvez utiliser ces politiques pour donner l’accès à vos ressources.
Pour en savoir plus, consultez les éléments suivants :
+ Pour savoir si Resource Explorer prend en charge ces fonctionnalités, consultez[Comment fonctionne Resource Explorer avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l'utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Protection des données dans Explorateur de ressources AWS
Le [modèle de responsabilité AWS partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) de s'applique à la protection des données dans Explorateur de ressources AWS. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section [Confidentialité des données FAQ](https://aws.amazon.com/compliance/data-privacy-faq/). Pour plus d'informations sur la protection des données en Europe, consultez le [modèle de responsabilitéAWS partagée et](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) le billet de GDPR blog sur le *blog sur la AWS sécurité*.
À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou Gestion des identités et des accès AWS (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
+ Utilisez l'authentification multifactorielle (MFA) pour chaque compte.
+ UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.
+ Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section [Utilisation des CloudTrail sentiers](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) dans le *guide de AWS CloudTrail l'utilisateur*.
+ Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.
+ Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
+ Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ **Nom**. Cela inclut lorsque vous travaillez avec Resource Explorer ou autre Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.
## Chiffrement au repos
Les données stockées par Resource Explorer incluent la liste indexée des ressources et des ressources associées utilisées par le client, ainsi ARNs que les vues permettant d'y accéder.
Ces données sont chiffrées lorsqu'elles sont au repos en utilisant [AWS Key Management Service (AWS KMS) des clés de chiffrement symétriques](https://docs.aws.amazon.com/kms/latest/developerguide/asymmetric-key-specs.html#key-spec-symmetric-default) qui implémentent la [norme de chiffrement avancée (AES)](https://csrc.nist.gov/csrc/media/publications/fips/197/final/documents/fips-197.pdf) en [mode compteur Galois (GCM)](http://csrc.nist.gov/publications/nistpubs/800-38D/SP-800-38D.pdf) avec des clés de 256 bits (AES-256-). GCM
## Chiffrement en transit
Les demandes des clients et toutes les données associées sont cryptées en transit à l'aide de [Transport Later Security (TLS) 1.2](https://datatracker.ietf.org/doc/html/rfc5246) ou version ultérieure. Tous les points de terminaison Resource Explorer prennent en HTTPS charge le chiffrement des données en transit. Pour obtenir la liste des points de terminaison du service Resource Explorer, consultez la section [Explorateur de ressources AWS Points de terminaison et quotas](https://docs.aws.amazon.com/general/latest/gr/resourceexplorer2.html) dans le. *Références générales AWS*
# Validation de la conformité pour Explorateur de ressources AWS
Pour savoir si un Service AWS est inclus dans le champ d'application de programmes de conformité spécifiques, consultez Services AWS la section [Portée par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/). Pour obtenir des renseignements généraux, consultez [Programmes de conformité AWS](https://aws.amazon.com/compliance/programs/).
Vous pouvez télécharger les rapports de l’audit externe avec AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) le *Guide de AWS Artifact l'utilisateur*.
Lorsque vous utilisez Resource Explorer, votre responsabilité en matière de conformité dépend de la sensibilité de vos données, des objectifs de conformité de votre entreprise et des lois et réglementations applicables. AWSfournit les ressources suivantes pour faciliter la mise en conformité :
+ [Guides démarrage rapide de la sécurité et de la conformité](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance). Ces guides de déploiement traitent des considérations architecturales et fournissent des étapes pour déployer des environnements de base axés sur la sécurité et la conformité sur AWS.
+ [Architecture axée sur la sécurité et la conformité HIPAA sur Amazon Web Services](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) : ce livre blanc décrit comment les entreprises peuvent créer des applications AWS conformes à la loi HIPAA.
**Note**
Tous ne Services AWS sont pas éligibles à la loi HIPAA. Pour plus d’informations, consultez le [HIPAA Eligible Services Reference](https://aws.amazon.com/compliance/hipaa-eligible-services-reference).
+ [Ressources de conformité AWS](https://aws.amazon.com/compliance/resources/) : cet ensemble de manuels et de guides peut s’appliquer à votre secteur d’activité et à votre emplacement.
+ [Évaluation des ressources à l’aide de règles](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) dans le *Guide du développeur AWS Config* : AWS Config évalue dans quelle mesure vos configurations de ressources sont conformes aux pratiques internes, aux directives sectorielles et aux réglementations.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) – Ce service AWS fournit une vue complète de votre état de sécurité au sein d’AWS qui vous permet de vérifier votre conformité aux normes du secteur et aux bonnes pratiques de sécurité.
# Résilience dans Explorateur de ressources AWS
L'infrastructureAWS mondiale d'repose surRégions AWS des zones de disponibilité. Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau à latence faible, à débit élevé et à forte redondance. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d'une zone à l'autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur les Régions AWS et les zones de disponibilité, consultez [Infrastructure mondiale d'AWS](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans Explorateur de ressources AWS
En tant que service géré, Explorateur de ressources AWS il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez les API appels AWS publiés pour accéder à Resource Explorer via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Sécurité de la couche de transport (TLS). Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.
+ Des suites de chiffrement parfaitement confidentielles (PFS) telles que (Ephemeral Diffie-Hellman) ou DHE ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
En outre, les demandes doivent être signées à l'aide d'un identifiant de clé d'accès et d'une clé d'accès secrète associés à un IAM principal. Vous pouvez également utiliser [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) (AWS STS) pour générer des informations d’identification de sécurité temporaires et signer les demandes.
Pour plus d'informations sur les procédures de sécurité du réseau AWS mondial, consultez le livre blanc [Amazon Web Services : présentation des processus de sécurité](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf).