# Gestion des identités et des accès pour AWS Well-Architected Tool
<a name="security-iam"></a>

Gestion des identités et des accès AWS (IAM) est un Service AWS qui aide un administrateur à contrôler en toute sécurité l’accès aux ressources AWS. Des administrateurs IAM contrôlent les personnes qui *s’authentifient* (sont connectées) et sont *autorisées* (disposent d’autorisations) à utiliser des ressources AWS WA Tool. IAM est un Service AWS que vous pouvez utiliser sans frais supplémentaires.

**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion des accès à l’aide de politiques](#security_iam_access-manage)
+ [Fonctionnement de AWS Well-Architected Tool avec IAM](security_iam_service-with-iam.md)
+ [AWS Well-Architected ToolExemples de politiques basées sur l’identité ](security_iam_id-based-policy-examples.md)
+ [Politiques gérées par AWS pour AWS Well-Architected Tool](security-iam-awsmanpol.md)
+ [Résolution des problèmes d’identité et d’accès avec AWS Well-Architected Tool](security_iam_troubleshoot.md)

## Public ciblé
<a name="security_iam_audience"></a>

La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes d’identité et d’accès avec AWS Well-Architected Tool](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Fonctionnement de AWS Well-Architected Tool avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [AWS Well-Architected ToolExemples de politiques basées sur l’identité ](security_iam_id-based-policy-examples.md))

## Authentification par des identités
<a name="security_iam_authentication"></a>

L’authentification correspond au processus par lequel vous vous connectez à AWS avec vos informations d’identification. Vous devez vous authentifier en tant qu’Utilisateur racine d'un compte AWS, en tant qu’utilisateur IAM ou en endossant un rôle IAM.

Vous pouvez vous connecter en tant qu’identité fédérée en utilisant les informations d’identification provenant d’une source d’identité telle que AWS IAM Identity Center (IAM Identity Center), l’authentification unique ou les informations d’identification Google/Facebook. Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS*.

Pour l’accès par programmation, AWS fournit un kit SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.

### Utilisateur racine Compte AWS
<a name="security_iam_authentication-rootuser"></a>

 Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion nommée *utilisateur racine* du Compte AWS, qui bénéficie d’un accès complet à tous les Services AWS et toutes les ressources du compte. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*. 

### Identité fédérée
<a name="security_iam_authentication-federated"></a>

Nous vous recommandons vivement d’exiger de vos utilisateurs humains qu’ils utilisent une fédération liée à un fournisseur d’identité pour accéder à Services AWS avec des informations d’identification temporaires.

Une *identité fédérée* est un utilisateur provenant de l’annuaire de votre entreprise, de votre fournisseur d’identité Web ou Directory Service qui y accède à Services AWS l’aide d’informations d’identification provenant d’une source d’identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.

Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center*.

### Utilisateurs et groupes IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d’informations, consultez [Exiger des utilisateurs humains qu’ils utilisent une fédération avec un fournisseur d’identité pour accéder à AWS en utilisant des informations d’identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *Guide de l’utilisateur IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.

### Rôles IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Pour endosser un rôle, [passez d’un utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou appelez une AWS CLI ou une opération d’API AWS. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.

Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

## Gestion des accès à l’aide de politiques
<a name="security_iam_access-manage"></a>

Vous contrôlez les accès dans AWS en créant des politiques et en les attachant à des identités AWS ou à des ressources. Une politique définit les autorisations lorsqu’elles sont associées à une identité ou une ressource. AWS évalue ces politiques lorsqu’un principal effectue une demande. La plupart des politiques sont stockées dans AWS en tant que documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.

À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.

Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.

### Politiques basées sur l’identité
<a name="security_iam_access-manage-id-based-policies"></a>

Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.

Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.

### Politiques basées sur les ressources
<a name="security_iam_access-manage-resource-based-policies"></a>

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.

Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques gérées AWS depuis IAM dans une politique basée sur une ressource.

### Autres types de politique
<a name="security_iam_access-manage-other-policies"></a>

AWS prend en charge des types de politiques supplémentaires qui peuvent définir le nombre maximum d’autorisations qui vous sont accordées par des types de politiques plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCP)** : spécifient les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations*.
+ **Politiques de contrôle des ressources (RCP)** : définissent les autorisations maximales disponibles pour les ressources de votre organisation. Pour plus d’informations, consultez [Politiques de contrôle des ressources (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *Guide de l’utilisateur AWS Organizations*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.

### Plusieurs types de politique
<a name="security_iam_access-manage-multiple-policies"></a>

Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour découvrir la façon dont AWS détermine s’il convient d’autoriser une demande en présence de plusieurs types de politiques, consultez [Logique d’évaluation de politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *Guide de l’utilisateur IAM*.

# Fonctionnement de AWS Well-Architected Tool avec IAM
<a name="security_iam_service-with-iam"></a>

Avant d’utiliser IAM pour gérer l’accès à AWS WA Tool, découvrez les fonctions IAM que vous pouvez utiliser avec AWS WA Tool.


**Fonctions IAM que vous pouvez utiliser avec AWS Well-Architected Tool**  

| Fonctionnalité IAM | AWS WA ToolPrise en charge de l’ | 
| --- | --- | 
|  [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies)  |   Oui  | 
|  [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies)  |   Non   | 
|  [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions)  |   Oui  | 
|  [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources)  |   Oui  | 
|  [Clés de condition de politique (spécifiques au service)](#security_iam_service-with-iam-id-based-policies-conditionkeys)  |   Oui  | 
|  [ACL](#security_iam_service-with-iam-acls)  |   Non   | 
|  [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags)  |   Oui  | 
|  [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds)  |   Oui  | 
|  [Autorisations de principal](#security_iam_service-with-iam-principal-permissions)  |   Oui  | 
|  [Rôles du service](#security_iam_service-with-iam-roles-service)  |   Non   | 
|  [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked)  |   Non   | 

Pour obtenir une vue d’ensemble de la façon dont AWS WA Tool et d’autres services AWS fonctionnent avec la plupart des fonctionnalités d’IAM, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.

## Politiques basées sur l’identité AWS WA Tool
<a name="security_iam_service-with-iam-id-based-policies"></a>

**Prend en charge les actions de politique :** oui

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.

## Politiques basées sur les ressources dans AWS WA Tool
<a name="security_iam_service-with-iam-resource-based-policies"></a>

**Prend en charge les politiques basées sur les ressources :** non 

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Par exemple, les *politiques de confiance de rôle* IAM et les *politiques de compartiment* Amazon S3 sont des politiques basées sur les ressources. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources. Les principaux peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou des Services AWS.

Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

## Actions de politique pour AWS WA Tool
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

**Prend en charge les actions de politique :** oui

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.

Les actions de politique dans AWS WA Tool utilisent le préfixe suivant avant l’action : `wellarchitected:`. Par exemple, pour autoriser une entité à définir une charge de travail, un administrateur doit attacher une stratégie qui autorise les actions `wellarchitected:CreateWorkload`. De même, pour éviter qu’une entité supprime des charges de travail, un administrateur peut attacher une stratégie qui refuse les actions `wellarchitected:DeleteWorkload`. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. AWS WA Tool définit son propre ensemble d’actions qui décrivent les tâches que vous pouvez effectuer avec ce service.

Pour afficher la liste des actions AWS WA Tool, consultez [Actions définies par AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions) dans la *Référence de l’autorisation de service*. 

## Ressources de politique
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

**Prend en charge les ressources de politique :** oui

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.

```
"Resource": "*"
```

Pour afficher la liste des types de ressources AWS WA Tool et leurs ARN, consultez [Ressources définies par AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-resources-for-iam-policies) dans la *Référence de l’autorisation de service*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#your_service-actions-as-permissions).

La ressource de charge de travail AWS WA Tool possède l’ARN suivant :

```
arn:${Partition}:wellarchitected:${Region}:${Account}:workload/${ResourceId} 
```

Pour plus d’informations sur le format des ARN, consultez [Noms ARN (Amazon Resource Name) et Espaces de noms du service AWS](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

L’ARN se trouve sur la page **Workload properties (Propriétés de la charge de travail)** d’une charge de travail. Par exemple, pour spécifier une charge de travail spécifique :

```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/11112222333344445555666677778888" 
```

Pour spécifier toutes les charges de travail qui appartiennent à un compte spécifique, utilisez le caractère générique (\$1) :

```
"Resource": "arn:aws:wellarchitected:us-west-2:123456789012:workload/*" 
```

Certaines actions AWS WA Tool, notamment celles pour créer et répertorier des charges de travail, ne peuvent pas être exécutées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).

```
"Resource": "*"
```

Pour afficher la liste des types de ressources AWS WA Tool et leurs ARN, consultez [Ressources définies par AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-resources-for-iam-policies) dans la *référence de l’autorisation de service*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS Well-Architected Tool](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awswell-architectedtool.html#awswell-architectedtool-actions-as-permissions).

## Clés de condition de politique pour AWS WA Tool
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

**Prend en charge les clés de condition de politique spécifiques au service :** oui

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour afficher toutes les clés de condition globales AWS, consultez [Clés de contexte de condition globales AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *Guide de l’utilisateur IAM*.

AWS WA Tool fournit une clé de condition spécifique au service (`wellarchitected:JiraProjectKey`) et prend en charge l’utilisation de certaines clés de condition globales. Pour afficher toutes les clés de condition AWS globales, consultez [Clés de contexte de condition AWS globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans la *référence de l’autorisation de service*.

Les administrateurs peuvent utiliser les politiques JSON AWS pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour afficher toutes les clés de condition globales AWS, consultez [Clés de contexte de condition globales AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *Guide de l’utilisateur IAM*.

## ACL dans AWS WA Tool
<a name="security_iam_service-with-iam-acls"></a>

**Prend en charge les ACL :** non 

Les listes de contrôle d’accès (ACL) vérifie quels principaux (membres de compte, utilisateurs ou rôles) ont l’autorisation d’accéder à une ressource. Les listes de contrôle d’accès sont similaires aux politiques basées sur les ressources, bien qu’elles n’utilisent pas le format de document de politique JSON.

## Autorisation basée sur les balises AWS WA Tool
<a name="security_iam_service-with-iam-tags"></a>

**Prise en charge d’ABAC (balises dans les politiques) :** Oui

Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez attacher des balises aux entités IAM et aux ressources AWS, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à celle de la ressource.

Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.

Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.

Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.

## Utilisation des informations d’identification temporaires avec AWS WA Tool
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

**Prend en charge les informations d’identification temporaires :** oui

Les informations d’identification temporaires fournissent un accès à court terme aux ressources AWS et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer des informations d’identification temporaires dynamiquement pour utiliser des clés d’accès à long terme. Pour plus d’informations, consultez la section [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.

## Autorisations de principal interservices pour AWS WA Tool
<a name="security_iam_service-with-iam-principal-permissions"></a>

**Prend en charge les sessions d’accès direct (FAS) :** oui

 Les sessions FAS utilisent les autorisations du principal en appelant un Service AWS, associé au Service AWS demandeur afin d’effectuer des demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html). 

## Rôles de service pour AWS WA Tool
<a name="security_iam_service-with-iam-roles-service"></a>

**Prend en charge les rôles de service :** Non 

 Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*. 

## Rôles liés à un service pour AWS WA Tool
<a name="security_iam_service-with-iam-roles-service-linked"></a>

**Prend en charge les rôles liés à un service :** non 

 Un rôle lié à un service est un type de rôle de service lié à un Service AWS. Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre Compte AWS et sont détenus par le service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service. 

Pour plus d’informations sur la création ou la gestion des rôles liés à un service, consultez [Services AWS qui fonctionnent avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Recherchez un service dans le tableau qui inclut un `Yes` dans la colonne **Rôle lié à un service**. Choisissez le lien **Oui** pour consulter la documentation du rôle lié à ce service.

# AWS Well-Architected ToolExemples de politiques basées sur l’identité 
<a name="security_iam_id-based-policy-examples"></a>

Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou modifier les ressources AWS WA Tool. Ils ne peuvent pas non plus exécuter des tâches à l’aide de AWS Management Console, AWS CLI ou de l’API AWS. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d’API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes ayant besoin de ces autorisations.

Pour savoir comment créer une politique IAM basée sur l’identité à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l’onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l’utilisateur IAM*.

**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console AWS WA Tool](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Octroi d’un accès complet aux charges de travail](#security_iam_id-based-policy-examples-full-access)
+ [Octroi d’un accès en lecture seule aux charges de travail](#security_iam_id-based-policy-examples-readonly-access)
+ [Accès à une charge de travail](#security_iam_id-based-policy-examples-access-one-workload)
+ [Utilisation d’une clé de condition spécifique au service pour le Connecteur de l’AWS Well-Architected Tool pour Jira](#security_iam_id-based-policy-examples-service-specific-condition-key)

## Bonnes pratiques en matière de politiques
<a name="security_iam_service-with-iam-policy-best-practices"></a>

Les stratégies basées sur l’identité déterminent si une personne peut créer, consulter ou supprimer des ressources AWS WA Tool dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Démarrez avec les politiques gérées par AWS et évoluez vers les autorisations de moindre privilège** : pour commencer à accorder des autorisations à vos utilisateurs et charges de travail, utilisez les *politiques gérées par AWS* qui accordent des autorisations dans de nombreux cas d’utilisation courants. Elles sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire encore les autorisations en définissant des politiques AWS gérées par le client qui sont propres à vos cas d’utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l’accès aux actions de service si elles sont utilisées via un Service AWS spécifique, comme CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exigez l’authentification multifactorielle (MFA)** : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur racine dans votre Compte AWS, activez l’authentification multifactorielle pour une sécurité renforcée. Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.

Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.

## Utilisation de la console AWS WA Tool
<a name="security_iam_id-based-policy-examples-console"></a>

Pour accéder à la console AWS Well-Architected Tool, vous devez disposer d’un ensemble minimum d’autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les informations relatives aux ressources AWS WA Tool de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.

Pour garantir que ces entités pourront continuer à utiliser la console AWS WA Tool, attachez également la stratégie gérée AWS suivante aux entités :

```
WellArchitectedConsoleReadOnlyAccess
```

Pour autoriser la création, la modification et la suppression de charges de travail, attachez la stratégie AWS gérée suivante aux entités :

```
WellArchitectedConsoleFullAccess
```

Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.

Vous n’avez pas besoin d’accorder les autorisations minimales de console pour les utilisateurs qui effectuent des appels uniquement à l’interface AWS CLI ou API AWS. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.

## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
<a name="security_iam_id-based-policy-examples-view-own-permissions"></a>

Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations nécessaires pour réaliser cette action sur la console ou par programmation à l’aide de l’AWS CLI ou de l’API AWS.

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ViewOwnUserInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetUserPolicy",
                "iam:ListGroupsForUser",
                "iam:ListAttachedUserPolicies",
                "iam:ListUserPolicies",
                "iam:GetUser"
            ],
            "Resource": ["arn:aws:iam::*:user/${aws:username}"]
        },
        {
            "Sid": "NavigateInConsole",
            "Effect": "Allow",
            "Action": [
                "iam:GetGroupPolicy",
                "iam:GetPolicyVersion",
                "iam:GetPolicy",
                "iam:ListAttachedGroupPolicies",
                "iam:ListGroupPolicies",
                "iam:ListPolicyVersions",
                "iam:ListPolicies",
                "iam:ListUsers"
            ],
            "Resource": "*"
        }
    ]
}
```

## Octroi d’un accès complet aux charges de travail
<a name="security_iam_id-based-policy-examples-full-access"></a>

Dans cet exemple, vous souhaitez accorder à un utilisateur de votre Compte AWS un accès complet à vos charges de travail. Un accès complet permet à l’utilisateur d’effectuer toutes les actions dans AWS WA Tool. Cet accès est nécessaire pour définir des charges de travail, supprimer des charges de travail, afficher les charges de travail et mettre à jour les charges de travail.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## Octroi d’un accès en lecture seule aux charges de travail
<a name="security_iam_id-based-policy-examples-readonly-access"></a>

Dans cet exemple, vous souhaitez accorder à un utilisateur de votre Compte AWS un accès en lecture seule à vos charges de travail. L’accès en lecture seule permet uniquement à l’utilisateur d’afficher les charges de travail dans AWS WA Tool.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:Get*",
          "wellarchitected:List*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## Accès à une charge de travail
<a name="security_iam_id-based-policy-examples-access-one-workload"></a>

Dans cet exemple, vous souhaitez accorder à un utilisateur de votre Compte AWS un accès en lecture seule à l’une de vos charges de travail, `99999999999955555555555566666666`, dans la région `us-west-2`. L’ID de compte est `777788889999`.

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:Get*",
          "wellarchitected:List*"
     ],
     "Resource": "arn:aws:wellarchitected:us-west-2:777788889999:workload/999999999999555555555555666666666"
     }
   ]
}
```

------

## Utilisation d’une clé de condition spécifique au service pour le Connecteur de l’AWS Well-Architected Tool pour Jira
<a name="security_iam_id-based-policy-examples-service-specific-condition-key"></a>

 Cet exemple montre comment utiliser la clé de condition spécifique au service `wellarchitected:JiraProjectKey` pour contrôler quels projets Jira peuvent être liés aux charges de travail de votre compte. 

 Des utilisations pertinentes de la clé de condition sont décrites ci-dessous : 
+  **`CreateWorkload:`** lorsque vous appliquez `wellarchitected:JiraProjectKey` à `CreateWorkload`, vous pouvez définir quels projets Jira personnalisés peuvent être liés à une charge de travail quelconque créée par l’utilisateur. Par exemple, si un utilisateur essaie de créer une nouvelle charge de travail avec le projet ABC, mais que la politique spécifie uniquement le projet PQR, l’action est refusée. 
+  **`UpdateWorkload:`** lorsque vous appliquez `wellarchitected:JiraProjectKey` à `UpdateWorkload`, vous pouvez définir quels projets Jira personnalisés peuvent être liés à cette charge de travail particulière ou à une charge de travail quelconque. Par exemple, si un utilisateur essaie de mettre à jour une charge de travail existante avec le projet ABC, mais que la politique spécifie le projet PQR, l’action est refusée. En outre, si l’utilisateur a une charge de travail liée au projet PQR et essaie de mettre à jour la charge de travail pour qu’elle soit liée au projet ABC, l’action est refusée. 
+  **`UpdateGlobalSettings:`** lorsque vous appliquez `wellarchitected:JiraProjectKey` à `UpdateGlobalSettings`, vous pouvez définir quels projets Jira personnalisés peuvent être liés au Compte AWS. Le paramètre au niveau du compte protège les charges de travail de votre compte qui ne remplacent pas les paramètres Jira au niveau du compte. Par exemple, si un utilisateur a accès à `UpdateGlobalSettings`, il ne peut pas lier les charges de travail de votre compte à des projets non spécifiés dans la politique. 

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "VisualEditor0",
			"Effect": "Allow",
			"Action": [
				"wellarchitected:UpdateGlobalSettings",
				"wellarchitected:CreateWorkload"
			],
			"Resource": "*",
			"Condition": {
				"StringEqualsIfExists": {
					"wellarchitected:JiraProjectKey": ["ABC, PQR"]
				}
			}
		},
		{
			"Sid": "VisualEditor1",
			"Effect": "Allow",
			"Action": [
				"wellarchitected:UpdateWorkload"
			],
			"Resource": "arn:aws:wellarchitected:us-east-1:111122223333:workload/example-workload",
			"Condition": {
				"StringEqualsIfExists": {
					"wellarchitected:JiraProjectKey": ["ABC, PQR"]
				}
			}
		}
	]
}
```

------

# Politiques gérées par AWS pour AWS Well-Architected Tool
<a name="security-iam-awsmanpol"></a>

Une politique gérée par AWS est une politique autonome créée et administrée par AWS. Les politiques gérées par AWS sont conçues pour fournir des autorisations pour de nombreux cas d’utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

Gardez à l’esprit que les politiques gérées par AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d’utilisation spécifiques, car elles sont disponibles pour tous les clients AWS. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques gérées par AWS. Si AWS met à jour les autorisations définies dans une politique gérée par AWS, la mise à jour affecte toutes les identités de principal (utilisateurs, groupes et rôles) auxquelles la politique est associée. AWS est plus susceptible de mettre à jour une politique gérée par AWS lorsqu’un nouveau Service AWS est lancé ou lorsque de nouvelles opérations API deviennent accessibles pour les services existants.

Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.

## AWS Politique gérée par: WellArchitectedConsoleFullAccess
<a name="security-iam-awsmanpol-WellArchitectedConsoleFullAccess"></a>

Vous pouvez associer la politique `WellArchitectedConsoleFullAccess` à vos identités IAM.

Cette politique accorde à un accès total à AWS Well-Architected Tool. 

**Détails de l’autorisation**

------
#### [ JSON ]

****  

```
{
   "Version":"2012-10-17",		 	 	 
   "Statement" : [  
     {
     "Effect" : "Allow",
     "Action" : [
          "wellarchitected:*"
     ],
     "Resource": "*"
     }
   ]
}
```

------

## AWS Politique gérée par: WellArchitectedConsoleReadOnlyAccess
<a name="security-iam-awsmanpol-WellArchitectedConsoleReadOnlyAccess"></a>

Vous pouvez associer la politique `WellArchitectedConsoleReadOnlyAccess` à vos identités IAM.

Cette politique accorde un accès en lecture seule à l’AWS Well-Architected Tool. 

**Détails de l’autorisation**

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "wellarchitected:Get*",
                "wellarchitected:List*",
                "wellarchitected:ExportLens"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## AWS Politique gérée par: AWSWellArchitectedOrganizationsServiceRolePolicy
<a name="security-iam-awsmanpol-AWSWellArchitectedOrganizationsServiceRolePolicy"></a>

Vous pouvez associer la politique `AWSWellArchitectedOrganizationsServiceRolePolicy` à vos identités IAM.

Cette politique accorde les autorisations administratives dans AWS Organizations qui sont nécessaires pour prendre en charge l’intégration de l’AWS Well-Architected Tool à Organizations. Ces autorisations permettent au compte de gestion de l’organisation d’activer le partage des ressources avec AWS WA Tool. 

**Détails de l’autorisation**

Cette politique inclut les autorisations suivantes.
+ `organizations:ListAWSServiceAccessForOrganization` : autorise les principaux à vérifier si l’accès aux services AWS est activé pour l’AWS WA Tool. 
+ `organizations:DescribeAccount` : autorise les principaux à extraire des informations sur un compte dans l’organisation.
+ `organizations:DescribeOrganization` : autorise les principaux à extraire des informations sur la configuration de l’organisation.
+ `organizations:ListAccounts` : autorise les principaux à extraire la liste des comptes appartenant à une organisation.
+ `organizations:ListAccountsForParent` : autorise les principaux à extraire la liste des comptes appartenant à une organisation à partir d’un nœud racine donné dans l’organisation.
+ `organizations:ListChildren` : autorise les principaux à extraire la liste des comptes et des unités d’organisation appartenant à une organisation à partir d’un nœud racine donné dans l’organisation.
+ `organizations:ListParents` : autorise les principaux à extraire la liste des parents immédiats spécifiés par l’unité d’organisation ou le compte au sein d’une organisation.
+ `organizations:ListRoots` : autorise les principaux à extraire la liste de tous les nœuds racines au sein d’une organisation.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:DescribeAccount",
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAccountsForParent",
                "organizations:ListChildren",
                "organizations:ListParents",
                "organizations:ListRoots"
            ],
            "Resource": "*"
        }
    ]
}
```

------

## Politique gérée par AWS : AWSWellArchitectedDiscoveryServiceRolePolicy
<a name="security-iam-awsmanpol-AWSWellArchitectedDiscoveryServiceRolePolicy"></a>

Vous pouvez associer la politique `AWSWellArchitectedDiscoveryServiceRolePolicy` à vos identités IAM.

Cette politique autorise l’AWS Well-Architected Tool à accéder aux services et aux ressources AWS liés aux ressources de l’AWS WA Tool. 

**Détails de l’autorisation**

Cette politique inclut les autorisations suivantes.
+ `trustedadvisor:DescribeChecks` : dresse la liste des vérifications Trusted Advisor disponibles. 
+ `trustedadvisor:DescribeCheckItems` : récupère les données des vérifications Trusted Advisor, y compris le statut et les ressources signalés par Trusted Advisor.
+ `servicecatalog:GetApplication` : récupère les détails d’une application AppRegistry.
+ `servicecatalog:ListAssociatedResources` : répertorie les ressources associées à une application AppRegistry. 
+ `cloudformation:DescribeStacks` : obtient les détails des piles CloudFormation.
+ `cloudformation:ListStackResources` : dresse la liste des ressources associées aux piles CloudFormation. 
+ `resource-groups:ListGroupResources` : dresse la liste des ressources d’un ResourceGroup. 
+ `tag:GetResources` : requis pour ListGroupResources.
+ `servicecatalog:CreateAttributeGroup` : crée un groupe d’attributs géré par le service lorsque cela est nécessaire.
+ `servicecatalog:AssociateAttributeGroup` : associe un groupe d’attributs géré par le service à une application AppRegistry.
+ `servicecatalog:UpdateAttributeGroup` : met à jour un groupe d’attributs géré par le service.
+ `servicecatalog:DisassociateAttributeGroup` : dissocie un groupe d’attributs géré par le service d’une application AppRegistry.
+ `servicecatalog:DeleteAttributeGroup` : supprime un groupe d’attributs géré par le service lorsque cela est nécessaire.

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"trustedadvisor:DescribeChecks",
				"trustedadvisor:DescribeCheckItems"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"cloudformation:DescribeStacks",
				"cloudformation:ListStackResources",
				"resource-groups:ListGroupResources",
				"tag:GetResources"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:ListAssociatedResources",
				"servicecatalog:GetApplication",
				"servicecatalog:CreateAttributeGroup"
			],
			"Resource": [
				"*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:AssociateAttributeGroup",
				"servicecatalog:DisassociateAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/applications/*",
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		},
		{
			"Effect": "Allow",
			"Action": [
				"servicecatalog:UpdateAttributeGroup",
				"servicecatalog:DeleteAttributeGroup"
			],
			"Resource": [
				"arn:*:servicecatalog:*:*:/attribute-groups/AWS_WellArchitected-*"
			]
		}
	]
}
```

------

## Mises à jour AWS WA Tool vers des politiques gérées par AWS
<a name="security-iam-awsmanpol-updates"></a>

Consultez le détail des mises à jour des politiques gérées par AWS pour AWS WA Tool depuis que ce service a commencé à suivre ces modifications. Pour obtenir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la [Page de révisions du document](document-revisions.md) AWS WA Tool.


| Modification | Description | Date | 
| --- | --- | --- | 
| Politique gérée modifiée par l’AWS WA Tool | Ajout de `"wellarchitected:Export*"` à ` WellArchitectedConsoleReadOnlyAccess`. | 22 juin 2023 | 
|  Politique de rôle de service ajoutée par l’AWS WA Tool  |  La politique `AWSWellArchitectedDiscoveryServiceRolePolicy` a été ajoutée pour autoriser l’AWS Well-Architected Tool à accéder aux services et aux ressources AWS liés aux ressources de l’AWS WA Tool.  | 3 mai 2023 | 
|  Autorisations ajoutées par AWS WA Tool  |  Une nouvelle action a été ajoutée pour accorder la politique `ListAWSServiceAccessForOrganization` afin d’autoriser l’AWS WA Tool à vérifier si l’accès aux services AWS est activé pour l’AWS WA Tool.  | 22 juillet 2022 | 
|  AWS WA Tool a démarré le suivi des modifications  |  AWS WA Tool a commencé à suivre les modifications pour ses politiques gérées par AWS.  | 22 juillet 2022 | 

# Résolution des problèmes d’identité et d’accès avec AWS Well-Architected Tool
<a name="security_iam_troubleshoot"></a>

Utilisez les informations suivantes pour identifier et résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec AWS WA Tool et IAM.

**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans AWS WA Tool](#security_iam_troubleshoot-no-permissions)

## Je ne suis pas autorisé à effectuer une action dans AWS WA Tool
<a name="security_iam_troubleshoot-no-permissions"></a>

Si la AWS Management Console indique que vous n'êtes pas autorisé à exécuter une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.

L’exemple d’erreur suivant se produit quand l’utilisateur *mateojackson* essaie d’utiliser la console pour effectuer l’action `DeleteWorkload`, mais qu’il ne dispose pas des autorisations nécessaires.

```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: wellarchitected:DeleteWorkload on resource: 11112222333344445555666677778888
```

Pour cet exemple, demandez à votre administrateur de mettre à jour vos stratégies pour vous permettre d’accéder à la ressource `11112222333344445555666677778888` à l’aide de l’action `wellarchitected:DeleteWorkload`.