Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Sécurité dans AWS X-Ray
La sécurité du cloud AWS est la priorité absolue. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité.
La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cette notion par les termes sécurité *du* cloud et sécurité *dans* le cloud :
+ **Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui s'exécute Services AWS dans le AWS Cloud. AWS vous fournit également des services que vous pouvez utiliser en toute sécurité. L’efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre des [programmes de conformitéAWS](https://aws.amazon.com/compliance/programs/). Pour en savoir plus sur les programmes de conformité qui s'appliquent à X-Ray, consultez Services AWS la section [Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
+ **Sécurité dans le cloud** — Votre responsabilité est déterminée par Service AWS ce que vous utilisez. Vous êtes également responsable d’autres facteurs, y compris la sensibilité de vos données, les exigences de votre organisation, et la législation et la réglementation applicables.
Cette documentation vous aidera à comprendre comment appliquer le modèle de responsabilité partagée lors de l'utilisation de X-Ray. Les rubriques suivantes expliquent comment configurer X-Ray pour atteindre vos objectifs de sécurité et de conformité. Vous apprendrez également à utiliser d'autres outils Services AWS qui peuvent vous aider à surveiller et à sécuriser vos ressources X-Ray.
**Rubriques**
+ [Protection des données dans AWS X-Ray](xray-console-encryption.md)
+ [Gestion des identités et des accès pour AWS X-Ray](security-iam.md)
+ [Validation de conformité pour AWS X-Ray](compliance-validation.md)
+ [Résilience dans AWS X-Ray](disaster-recovery-resiliency.md)
+ [Sécurité de l'infrastructure dans AWS X-Ray](infrastructure-security.md)
# Protection des données dans AWS X-Ray
AWS X-Ray chiffre toujours les traces et les données associées au repos. Lorsque vous devez auditer et désactiver des clés de chiffrement pour des raisons de conformité ou pour des exigences internes, vous pouvez configurer X-Ray pour qu'il utilise une clé AWS Key Management Service (AWS KMS) pour chiffrer les données.
X-Ray fournit un Clé gérée par AWS nom`aws/xray`. Utilisez cette clé si vous voulez uniquement effectuer un [audit de l'utilisation des clés dans AWS CloudTrail](https://docs.aws.amazon.com/kms/latest/developerguide/logging-using-cloudtrail.html)et que vous n'avez pas besoin de gérer la clé elle-même. Lorsque vous devez gérer l'accès à la clé ou configurer la rotation des clés, vous pouvez [créer une clé gérée par le client](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html).
Lorsque vous modifiez les paramètres de chiffrement, X-Ray passe un certain temps à générer et à propager des clés de données. Pendant que la nouvelle clé est en cours de traitement, X-Ray peut chiffrer les données avec une combinaison de paramètres nouveaux et anciens. Les données existantes ne sont pas chiffrées à nouveau lorsque vous modifiez les paramètres de chiffrement.
**Note**
AWS KMS se facture lorsque X-Ray utilise une clé KMS pour chiffrer ou déchiffrer les données de suivi.
**Chiffrement par défaut** — Gratuit.
**Clé gérée par AWS**— Payez pour l'utilisation des clés.
**clé gérée par le client** — Payez pour le stockage et l'utilisation des clés.
Consultez les [AWS Key Management Service tarifs](https://aws.amazon.com/kms/pricing/) pour plus de détails.
**Note**
Les notifications X-Ray Insights envoient des événements à Amazon EventBridge, qui ne prend actuellement pas en charge les clés gérées par les clients. Pour plus d'informations, consultez la section [Protection des données sur Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/data-protection.html).
Vous devez disposer d'un accès de niveau utilisateur à une clé gérée par le client pour configurer X-Ray afin de l'utiliser, puis pour afficher les traces chiffrées. Pour plus d’informations, consultez [Autorisations utilisateur pour le chiffrement](security_iam_service-with-iam.md#xray-permissions-encryption).
------
#### [ CloudWatch console ]
**Pour configurer X-Ray afin d'utiliser une clé KMS pour le chiffrement à l'aide de la CloudWatch console**
1. Connectez-vous à la CloudWatch console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/cloudwatch/](https://console.aws.amazon.com/cloudwatch/).
1. Choisissez **Paramètres** dans le volet de navigation de gauche.
1. Choisissez **Afficher les paramètres** sous **Encryption** dans la section **X-Ray Traces**.
1. Choisissez **Modifier** dans la section **Configuration du chiffrement**.
1. Choisissez **Utiliser une clé KMS**.
1. Choisissez une clé dans le menu déroulant :
+ **aws/xray — Utilisez** le. Clé gérée par AWS
+ *alias de clé* — Utilisez une clé gérée par le client dans votre compte.
+ **Entrez manuellement un ARN de clé** : utilisez une clé gérée par le client dans un autre compte. Saisissez l'Amazon Resource Name (ARN) complet de la clé dans le champ qui s'affiche.
1. Choisissez **Mettre à jour le chiffrement**.
------
#### [ X-Ray console ]
**Pour configurer X-Ray afin d'utiliser une clé KMS pour le chiffrement à l'aide de la console X-Ray**
1. Ouvrez la [console X-Ray](https://console.aws.amazon.com/xray/home#).
1. Choisissez **Chiffrement**.
1. Choisissez **Utiliser une clé KMS**.
1. Choisissez une clé dans le menu déroulant :
+ **aws/xray — Utilisez** le. Clé gérée par AWS
+ *alias de clé* — Utilisez une clé gérée par le client dans votre compte.
+ **Entrez manuellement un ARN de clé** : utilisez une clé gérée par le client dans un autre compte. Saisissez l'Amazon Resource Name (ARN) complet de la clé dans le champ qui s'affiche.
1. Choisissez **Appliquer**.
------
**Note**
X-Ray ne prend pas en charge les clés KMS asymétriques.
Si X-Ray ne parvient pas à accéder à votre clé de chiffrement, il arrête de stocker les données. Cela peut se produire si votre utilisateur perd l'accès à la clé KMS ou si vous désactivez une clé actuellement utilisée. Lorsque cela se produit, X-Ray affiche une notification dans la barre de navigation.
Pour configurer les paramètres de chiffrement avec l'API X-Ray, consultez[Configuration des paramètres d'échantillonnage, de groupes et de chiffrement avec l' AWS X-Ray API](xray-api-configuration.md).
# Gestion des identités et des accès pour AWS X-Ray
Gestion des identités et des accès AWS (IAM) est un outil Service AWS qui permet à un administrateur de contrôler en toute sécurité l'accès aux AWS ressources. Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser les ressources X-Ray. IAM est un Service AWS outil que vous pouvez utiliser sans frais supplémentaires.
**Topics**
+ [Public ciblé](#security_iam_audience)
+ [Authentification par des identités](#security_iam_authentication)
+ [Gestion de l’accès à l’aide de politiques](#security_iam_access-manage)
+ [Comment AWS X-Ray fonctionne avec IAM](security_iam_service-with-iam.md)
+ [AWS X-Ray exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
+ [Résolution des problèmes AWS X-Ray d'identité et d'accès](security_iam_troubleshoot.md)
## Public ciblé
La façon dont vous utilisez Gestion des identités et des accès AWS (IAM) varie en fonction de votre rôle :
+ **Utilisateur du service** : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir [Résolution des problèmes AWS X-Ray d'identité et d'accès](security_iam_troubleshoot.md))
+ **Administrateur du service** : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir [Comment AWS X-Ray fonctionne avec IAM](security_iam_service-with-iam.md))
+ **Administrateur IAM** : rédigez des politiques pour gérer l’accès (voir [AWS X-Ray exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md))
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS
Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.
Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.
### Compte AWS utilisateur root
Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
## Gestion de l’accès à l’aide de politiques
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
### Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
### Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
### Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
### Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
### Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.
# Comment AWS X-Ray fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à X-Ray, vous devez connaître les fonctionnalités IAM disponibles avec X-Ray. Pour obtenir une vue d'ensemble de la façon dont X-Ray et d'autres appareils Services AWS fonctionnent avec IAM, voir Services AWS That [Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur d'*IAM*.
Vous pouvez utiliser Gestion des identités et des accès AWS (IAM) pour accorder des autorisations X-Ray aux utilisateurs et aux ressources de calcul de votre compte. IAM contrôle l'accès au service X-Ray au niveau de l'API afin d'appliquer les autorisations de manière uniforme, quel que soit le client (console, AWS SDK AWS CLI) utilisé par vos utilisateurs.
Pour [utiliser la console X-Ray](aws-xray-interface-console.md#xray-console) afin de visualiser des cartes de traçage et des segments, vous n'avez besoin que d'autorisations de lecture. Pour activer l'accès à la console, ajoutez la `AWSXrayReadOnlyAccess` [politique gérée](security_iam_id-based-policy-examples.md#xray-permissions-managedpolicies) à votre utilisateur IAM.
Pour [le développement et les tests locaux](#xray-permissions-local), créez un rôle IAM avec des autorisations de lecture et d'écriture. [Assumez le rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) et stockez les informations d'identification temporaires pour le rôle. Vous pouvez utiliser ces informations d'identification avec le daemon X-Ray AWS CLI, le et le AWS SDK. Pour plus d'informations, reportez-vous à la section [Utilisation d'informations d'identification AWS CLI de sécurité temporaires avec le](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli).
Pour [déployer votre application instrumentée AWS](#xray-permissions-aws), créez un rôle IAM avec des autorisations d'écriture et attribuez-le aux ressources qui exécutent votre application. `AWSXRayDaemonWriteAccess`inclut l'autorisation de télécharger des traces, ainsi que certaines autorisations de lecture pour soutenir l'utilisation de [règles d'échantillonnage](xray-console-sampling.md).
Les stratégies de lecture et d'écriture n'incluent pas l'autorisation de configurer les [paramètres de la clé de chiffrement](xray-console-encryption.md) et les règles d'échantillonnage. `AWSXrayFullAccess`Utilisez-le pour accéder à ces paramètres ou ajouter une [configuration APIs](xray-api-configuration.md) dans une politique personnalisée. Pour les opérations de chiffrement et de déchiffrement avec une clé gérée par le client que vous créez, vous avez également besoin de l'[autorisation d'utiliser la clé](#xray-permissions-encryption).
**Topics**
+ [Politiques basées sur l'identité de X-Ray](#security_iam_service-with-iam-id-based-policies)
+ [Politiques basées sur les ressources de X-Ray](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les tags X-Ray](#security_iam_service-with-iam-tags)
+ [Exécution de votre application en local](#xray-permissions-local)
+ [Exécution de votre application dans AWS](#xray-permissions-aws)
+ [Autorisations utilisateur pour le chiffrement](#xray-permissions-encryption)
## Politiques basées sur l'identité de X-Ray
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. X-Ray prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
### Actions
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions politiques dans X-Ray utilisent le préfixe suivant avant l'action :`xray:`. Par exemple, pour autoriser quelqu'un à récupérer les détails des ressources du groupe à l'aide de l'opération de l'`GetGroup`API X-Ray, vous devez inclure l'`xray:GetGroup`action dans sa politique. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`. X-Ray définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
```
"Action": [
"xray:action1",
"xray:action2"
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Get`, incluez l’action suivante :
```
"Action": "xray:Get*"
```
Pour consulter la liste des actions X-Ray, reportez-vous à la section [Actions définies par AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html) dans le *guide de l'utilisateur IAM*.
### Ressources
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Vous pouvez contrôler l'accès aux ressources à l'aide d'une politique IAM. Pour les actions qui prennent en charge les autorisations au niveau des ressources, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la stratégie s'applique.
Toutes les actions X-Ray peuvent être utilisées dans une politique IAM pour accorder ou refuser aux utilisateurs l'autorisation d'utiliser cette action. Cependant, les [actions X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) ne prennent pas toutes en charge les autorisations au niveau des ressources, qui vous permettent de spécifier les ressources sur lesquelles une action peut être effectuée.
Pour les actions qui ne prennent pas en charge les autorisations de niveau ressource, vous devez utiliser « `*` » comme ressource.
Les actions X-Ray suivantes prennent en charge les autorisations au niveau des ressources :
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Vous trouverez ci-dessous un exemple de stratégie d’autorisations basées sur l’identité pour une action `CreateGroup`. Cet exemple montre comment se servir d’un ARN lié à un nom de groupe `local-users`, en utilisant l’ID unique en tant que caractère générique. L'ID unique est généré lorsque le groupe est créé. Il ne peut donc pas être prédit à l'avance dans la stratégie. Lorsque vous utilisez `GetGroup`, `UpdateGroup` ou `DeleteGroup`, vous pouvez définir l’ID unique en tant que caractère générique ou ARN exact, comprenant l’ID.
**Note**
L'ARN d'une règle d'échantillonnage est défini par le nom de cette dernière. Contrairement aux règles de groupe ARNs, les règles d'échantillonnage n'ont pas d'identifiant généré de manière unique.
Pour consulter la liste des types de ressources X-Ray et leurs caractéristiques ARNs, reportez-vous à la section [Ressources définies par AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html#awsx-ray-resources-for-iam-policies) dans le *guide de l'utilisateur IAM*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS X-Ray](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsx-ray.html).
### Clés de condition
X-Ray ne fournit aucune clé de condition spécifique au service, mais prend en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, consultez la section [Clés contextuelles de condition AWS globale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
### Exemples
Pour consulter des exemples de politiques basées sur l'identité de X-Ray, consultez. [AWS X-Ray exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
## Politiques basées sur les ressources de X-Ray
X-Ray prend en charge les politiques basées sur les ressources pour l' Service AWS intégration actuelle et future, telles que le suivi actif [Amazon SNS](https://docs.aws.amazon.com/sns/latest/dg/sns-active-tracing.html). Les politiques basées sur les ressources de X-Ray peuvent être mises à jour par d'autres AWS Management Console utilisateurs, via le AWS SDK ou la CLI. Par exemple, la console Amazon SNS tente de configurer automatiquement une politique basée sur les ressources pour envoyer des traces à X-Ray. Le document de politique suivant fournit un exemple de configuration manuelle de la politique basée sur les ressources de X-Ray.
**Example Exemple de politique basée sur les ressources X-Ray pour le suivi actif d'Amazon SNS**
Cet exemple de document de politique précise les autorisations dont Amazon SNS a besoin pour envoyer des données de suivi à X-Ray :
```
{
Version: "2012-10-17",
Statement: [
{
Sid: "SNSAccess",
Effect: Allow,
Principal: {
Service: "sns.amazonaws.com",
},
Action: [
"xray:PutTraceSegments",
"xray:GetSamplingRules",
"xray:GetSamplingTargets"
],
Resource: "*",
Condition: {
StringEquals: {
"aws:SourceAccount": "account-id"
},
StringLike: {
"aws:SourceArn": "arn:partition:sns:region:account-id:topic-name"
}
}
}
]
}
```
Utilisez la CLI pour créer une politique basée sur les ressources qui autorise Amazon SNS à envoyer des données de suivi à X-Ray :
```
aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }'
```
Pour utiliser ces exemples, remplacez*`partition`*, *`region`**`account-id`*, et *`topic-name`* par votre AWS partition, région, ID de compte et nom de rubrique Amazon SNS spécifiques. Pour autoriser toutes les rubriques Amazon SNS à envoyer des données de suivi à X-Ray, remplacez le nom de la rubrique par. `*`
## Autorisation basée sur les tags X-Ray
Vous pouvez associer des tags à des groupes X-Ray ou à des règles d'échantillonnage, ou transmettre des tags dans une demande à X-Ray. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `xray:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur le balisage des ressources X-Ray, consultez[Étiquetage des règles et des groupes d'échantillonnage aux rayons X](xray-tagging.md).
Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez [Gestion de l'accès aux groupes X-Ray et des règles d'échantillonnage en fonction des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-manage-sampling-tags).
## Exécution de votre application en local
Votre application instrumentée envoie des données de trace au daemon X-Ray. Le daemon met en mémoire tampon les documents et les télécharge par lots vers le service X-Ray. Le daemon a besoin d'autorisations d'écriture pour télécharger des données de trace et des données de télémétrie vers le service X-Ray.
Lorsque vous [exécutez le démon localement](xray-daemon-local.md), créez un rôle IAM, [assumez le rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) et stockez les informations d'identification temporaires dans des variables d'environnement ou dans un fichier nommé `credentials` dans un dossier nommé `.aws` dans votre dossier utilisateur. Pour plus d'informations, reportez-vous à la section [Utilisation d'informations d'identification AWS CLI de sécurité temporaires avec le](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli).
**Example \$1/.aws/credentials**
```
[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={AWS session token}
```
Si vous avez déjà configuré des informations d'identification à utiliser avec le AWS SDK ou AWS CLI, le démon peut les utiliser. Si plusieurs profils sont disponibles, le démon utilise celui par défaut.
## Exécution de votre application dans AWS
Lorsque vous exécutez votre application sur AWS, utilisez un rôle pour accorder l'autorisation à l'instance Amazon EC2 ou à la fonction Lambda qui exécute le démon.
+ **Amazon Elastic Compute Cloud (Amazon EC2**[) — Créez un rôle IAM et associez-le à l'instance EC2 en tant que profil d'instance.](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)
+ **Amazon Elastic Container Service (Amazon ECS)** — Créez un rôle IAM et associez-le aux instances de conteneur en tant que rôle IAM [d'instance de conteneur](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/instance_IAM_role.html).
+ **AWS Elastic Beanstalk (Elastic Beanstalk) — Elastic** [Beanstalk inclut les autorisations X-Ray dans son profil d'instance par défaut.](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/concepts-roles.html#concepts-roles-instance) Vous pouvez utiliser le profil d'instance par défaut ou ajouter des autorisations d'écriture à un profil d'instance personnalisé.
+ **AWS Lambda (Lambda)** — Ajoutez des autorisations d'écriture au rôle d'exécution de votre fonction.
**Pour créer un rôle à utiliser avec X-Ray**
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/home).
1. Sélectionnez **Rôles**.
1. Choisissez **Create New Role** (Créer un nouveau rôle).
1. Sous **Nom du rôle**, tapez **xray-application**. Choisissez **Étape suivante**.
1. Pour **Role Type**, choisissez **Amazon EC2**.
1. Joignez la politique gérée suivante pour permettre à votre application d'accéder à Services AWS :
+ **AWSXRayDaemonWriteAccess**— Permet au daemon X-Ray de télécharger des données de trace.
Si votre application utilise le AWS SDK pour accéder à d'autres services, ajoutez des politiques qui accordent l'accès à ces services.
1. Choisissez **Étape suivante**.
1. Choisissez **Create Role** (Créer un rôle).
## Autorisations utilisateur pour le chiffrement
X-Ray chiffre toutes les données de trace et, par défaut, vous pouvez le [configurer pour utiliser une clé que vous gérez](xray-console-encryption.md). Si vous choisissez une clé gérée par le AWS Key Management Service client, vous devez vous assurer que la politique d'accès de la clé vous permet d'autoriser X-Ray à l'utiliser pour le chiffrement. Les autres utilisateurs de votre compte doivent également accéder à la clé pour consulter les données de suivi cryptées dans la console X-Ray.
Pour une clé gérée par le client, configurez votre clé avec une politique d'accès qui autorise les actions suivantes :
+ L'utilisateur qui configure la clé dans X-Ray est autorisé à appeler `kms:CreateGrant` et`kms:DescribeKey`.
+ Les utilisateurs qui peuvent accéder à des données de suivi chiffrées sont autorisés à appeler `kms:Decrypt`.
Lorsque vous ajoutez un utilisateur au groupe **Utilisateurs clés** dans la section de configuration des clés de la console IAM, il est autorisé à effectuer ces deux opérations. Les autorisations doivent uniquement être définies selon la politique clé, vous n'avez donc pas besoin d' AWS KMS autorisations pour vos utilisateurs, groupes ou rôles. Pour plus d'informations, consultez la section [Utilisation des politiques clés dans le guide du AWS KMS développeur](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html).
Pour le chiffrement par défaut, ou si vous choisissez la AWS clé CMK gérée (`aws/xray`), l'autorisation dépend de la personne ayant accès à X-Ray APIs. Toute personne ayant accès à [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html), incluse dans `AWSXrayFullAccess`, peut modifier la configuration de chiffrement. Pour empêcher un utilisateur de changer la clé de chiffrement, ne leur donnez pas l'autorisation d'utiliser [https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html](https://docs.aws.amazon.com/xray/latest/api/API_PutEncryptionConfig.html).
# AWS X-Ray exemples de politiques basées sur l'identité
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier les ressources X-Ray. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d’API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes ayant besoin de ces autorisations.
Pour savoir comment créer une politique IAM basée sur l’identité à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l’onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la console X-Ray](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Gestion de l'accès aux groupes X-Ray et des règles d'échantillonnage en fonction des balises](#security_iam_id-based-policy-examples-manage-sampling-tags)
+ [Politiques gérées par IAM pour X-Ray](#xray-permissions-managedpolicies)
+ [X-Ray met à jour les politiques AWS gérées](#xray-permissions-managedpolicies-history)
+ [Spécification d'une ressource dans une politique IAM](#xray-permissions-resources)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources X-Ray dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la console X-Ray
Pour accéder à la AWS X-Ray console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et de consulter les détails des ressources X-Ray de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Pour vous assurer que ces entités peuvent toujours utiliser la console X-Ray, associez la politique `AWSXRayReadOnlyAccess` AWS gérée aux entités. Cette politique est décrite plus en détail dans [Politiques gérées par IAM pour X-Ray](#xray-permissions-managedpolicies). Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Gestion de l'accès aux groupes X-Ray et des règles d'échantillonnage en fonction des balises
Vous pouvez utiliser les conditions de votre politique basée sur l'identité pour contrôler l'accès aux groupes X-Ray et les règles d'échantillonnage en fonction des balises. L'exemple de politique suivant peut être utilisé pour refuser à un rôle d'utilisateur l'autorisation de créer, de supprimer ou de mettre à jour des groupes avec les balises `stage:prod` ou`stage:preprod`. Pour plus d'informations sur le balisage des règles et des groupes d'échantillonnage X-Ray, consultez[Étiquetage des règles et des groupes d'échantillonnage aux rayons X](xray-tagging.md).
Pour refuser la création d'une règle d'échantillonnage, utilisez cette option `aws:RequestTag` pour indiquer les balises qui ne peuvent pas être transmises dans le cadre d'une demande de création. Pour refuser la mise à jour ou la suppression d'une règle d'échantillonnage, utilisez cette `aws:ResourceTag` option pour refuser les actions en fonction des balises associées à ces ressources.
Vous pouvez associer ces politiques (ou les combiner en une seule politique, puis associer la politique) aux utilisateurs de votre compte. Pour que l'utilisateur puisse modifier un groupe ou une règle d'échantillonnage, le groupe ou la règle d'échantillonnage ne doit pas être balisé `stage=prepod` ou`stage=prod`. La clé de condition d'étiquette `Stage` correspond à la fois à `Stage` et à `stage`, car les noms de clé de condition ne sont pas sensibles à la casse. Pour plus d'informations sur le bloc de conditions, voir [IAM JSON Policy Elements : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le guide de l'*utilisateur IAM*.
Un utilisateur dont le rôle est associé à la politique suivante ne peut pas ajouter la balise `role:admin` aux ressources et ne peut pas supprimer de balises d'une ressource qui lui est `role:admin` associée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyRequestTagAdmin",
"Effect": "Deny",
"Action": "xray:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/role": "admin"
}
}
},
{
"Sid": "DenyResourceTagAdmin",
"Effect": "Deny",
"Action": "xray:UntagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/role": "admin"
}
}
}
]
}
```
------
## Politiques gérées par IAM pour X-Ray
Pour faciliter l'octroi des autorisations, IAM prend en charge les **politiques gérées** pour chaque service. Un service peut mettre à jour ces politiques gérées avec de nouvelles autorisations lorsqu'il en publie de nouvelles APIs. AWS X-Ray fournit des politiques gérées pour les cas d'utilisation en lecture seule, en écriture seule et par les administrateurs.
+ `AWSXrayReadOnlyAccess`— Autorisations de lecture pour utiliser la console X-Ray, ou le AWS SDK AWS CLI, afin d'obtenir des données de suivi, des cartes de traçage, des informations et la configuration de X-Ray à partir de l'API X-Ray. Inclut le gestionnaire d'accès à l'observabilité (OAM) `oam:ListSinks` et `oam:ListAttachedSinks` des autorisations permettant à la console de consulter les traces partagées depuis les comptes sources dans le cadre de l'observabilité [CloudWatch entre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) comptes. Les actions `BatchGetTraceSummaryById` et `GetDistinctTraceGraphs` API ne sont pas destinées à être appelées par votre code et ne sont pas incluses dans le AWS CLI et AWS SDKs.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries",
"xray:BatchGetTraces",
"xray:BatchGetTraceSummaryById",
"xray:GetDistinctTraceGraphs",
"xray:GetServiceGraph",
"xray:GetTraceGraph",
"xray:GetTraceSummaries",
"xray:GetGroups",
"xray:GetGroup",
"xray:ListTagsForResource",
"xray:ListResourcePolicies",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetInsightSummaries",
"xray:GetInsight",
"xray:GetInsightEvents",
"xray:GetInsightImpactGraph",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
}
```
+ `AWSXRayDaemonWriteAccess`— Écrivez des autorisations pour utiliser le daemon X-Ray, ou AWS SDK AWS CLI, pour télécharger des documents segmentés et des données de télémétrie vers l'API X-Ray. Inclut les autorisations de lecture pour obtenir les [règles d'échantillonnage](xray-console-sampling.md) et rapporter les résultats d'échantillonnage.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
+ `AWSXrayCrossAccountSharingConfiguration`— Accorde les autorisations nécessaires pour créer, gérer et consulter les liens d'Observability Access Manager pour partager les ressources X-Ray entre les comptes. Utilisé pour permettre l'[observabilité entre CloudWatch comptes](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) source et comptes de surveillance.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:Link",
"oam:ListLinks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
}
]
}
```
------
+ `AWSXrayFullAccess`— Autorisation d'utiliser tous les X-Ray APIs, y compris les autorisations de lecture, les autorisations d'écriture et l'autorisation de configurer les paramètres des clés de chiffrement et les règles d'échantillonnage. Inclut le gestionnaire d'accès à l'observabilité (OAM) `oam:ListSinks` et `oam:ListAttachedSinks` des autorisations permettant à la console de consulter les traces partagées depuis les comptes sources dans le cadre de l'observabilité [CloudWatch entre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) comptes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:*",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
]
}
```
------
**Pour ajouter une stratégie gérée à un utilisateur, groupe ou rôle IAM**
1. Ouvrez la [console IAM](https://console.aws.amazon.com/iam/home).
1. Ouvrez le rôle associé à votre profil d'instance, un utilisateur IAM ou un groupe IAM.
1. Sous **Autorisations**, attachez la stratégie gérée.
## X-Ray met à jour les politiques AWS gérées
Consultez les détails des mises à jour apportées aux politiques AWS gérées pour X-Ray depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS sur la page d'[historique du document](document-history.md) X-Ray.
| Modifier | Description | Date |
| --- | --- | --- |
| [Politiques gérées par IAM pour X-Ray](#xray-permissions-managedpolicies) — Ajout de `AWSXrayFullAccess` politiques nouvelles `AWSXrayCrossAccountSharingConfiguration` `AWSXrayReadOnlyAccess` et mises à jour. | X-Ray a ajouté des autorisations `oam:ListSinks` Observability Access Manager (OAM) `oam:ListAttachedSinks` à ces politiques pour permettre à la console de visualiser les traces partagées depuis les comptes sources dans le cadre de l'observabilité [CloudWatch entre](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html) comptes. | 27 novembre 2022 |
| [Politiques gérées par IAM pour X-Ray](#xray-permissions-managedpolicies) — Mise à jour de la `AWSXrayReadOnlyAccess` politique. | X-Ray a ajouté une action d'API,`ListResourcePolicies`. | 15 novembre 2022 |
| [Utilisation de la console X-Ray](#security_iam_id-based-policy-examples-console) — Mise à jour de la `AWSXrayReadOnlyAccess` politique | X-Ray a ajouté deux nouvelles actions d'API, `BatchGetTraceSummaryById` et`GetDistinctTraceGraphs`. Ces actions ne sont pas destinées à être appelées par votre code. Par conséquent, ces actions d'API ne sont pas incluses dans le AWS CLI et AWS SDKs. | 11 novembre 2022 |
## Spécification d'une ressource dans une politique IAM
Vous pouvez contrôler l'accès aux ressources à l'aide d'une politique IAM. Pour les actions qui prennent en charge les autorisations au niveau des ressources, vous utilisez un Amazon Resource Name (ARN) pour identifier la ressource à laquelle la stratégie s'applique.
Toutes les actions X-Ray peuvent être utilisées dans une politique IAM pour accorder ou refuser aux utilisateurs l'autorisation d'utiliser cette action. Cependant, les [actions X-Ray](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html) ne prennent pas toutes en charge les autorisations au niveau des ressources, qui vous permettent de spécifier les ressources sur lesquelles une action peut être effectuée.
Pour les actions qui ne prennent pas en charge les autorisations de niveau ressource, vous devez utiliser « `*` » comme ressource.
Les actions X-Ray suivantes prennent en charge les autorisations au niveau des ressources :
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
Vous trouverez ci-dessous un exemple de stratégie d’autorisations basées sur l’identité pour une action `CreateGroup`. Cet exemple montre comment se servir d’un ARN lié à un nom de groupe `local-users`, en utilisant l’ID unique en tant que caractère générique. L'ID unique est généré lorsque le groupe est créé. Il ne peut donc pas être prédit à l'avance dans la stratégie. Lorsque vous utilisez `GetGroup`, `UpdateGroup` ou `DeleteGroup`, vous pouvez définir l’ID unique en tant que caractère générique ou ARN exact, comprenant l’ID.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateGroup"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
]
}
]
}
```
------
Vous trouverez ci-dessous un exemple de stratégie d’autorisations basées sur l’identité pour une action `CreateSamplingRule`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateSamplingRule"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
]
}
]
}
```
------
**Note**
L'ARN d'une règle d'échantillonnage est défini par le nom de cette dernière. Contrairement aux règles de groupe ARNs, les règles d'échantillonnage n'ont pas d'identifiant généré de manière unique.
# Résolution des problèmes AWS X-Ray d'identité et d'accès
Utilisez les informations suivantes pour vous aider à diagnostiquer et à résoudre les problèmes courants que vous pouvez rencontrer lorsque vous travaillez avec X-Ray et IAM.
**Topics**
+ [Je ne suis pas autorisé à effectuer une action dans X-Ray](#security_iam_troubleshoot-no-permissions)
+ [Je ne suis pas autorisé à effectuer iam : PassRole](#security_iam_troubleshoot-passrole)
+ [Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à X-Ray](#security_iam_troubleshoot-admin-delegate)
+ [Je veux permettre à des personnes extérieures Compte AWS à moi d'accéder à mes ressources X-Ray](#security_iam_troubleshoot-cross-account-access)
## Je ne suis pas autorisé à effectuer une action dans X-Ray
S'il vous AWS Management Console indique que vous n'êtes pas autorisé à effectuer une action, vous devez contacter votre administrateur pour obtenir de l'aide. Votre administrateur est la personne qui vous a fourni vos informations de connexion.
L'exemple d'erreur suivant se produit lorsque l'`mateojackson`utilisateur essaie d'utiliser la console pour afficher les détails d'une règle d'échantillonnage mais ne dispose pas des `xray:GetSamplingRules` autorisations nécessaires.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: xray:GetSamplingRules on resource: arn:${Partition}:xray:${Region}:${Account}:sampling-rule/${SamplingRuleName}
```
Dans ce cas, Mateo demande à son administrateur de mettre à jour ses stratégies pour l'autoriser à accéder à la ressource de la règle d'échantillonnage à l'aide de l'action `xray:GetSamplingRules`.
## Je ne suis pas autorisé à effectuer iam : PassRole
Si vous recevez un message d'erreur indiquant que vous n'êtes pas autorisé à effectuer l'`iam:PassRole`action, vos politiques doivent être mises à jour pour vous permettre de transmettre un rôle à X-Ray.
Certains vous Services AWS permettent de transmettre un rôle existant à ce service au lieu de créer un nouveau rôle de service ou un rôle lié à un service. Pour ce faire, vous devez disposer des autorisations nécessaires pour transmettre le rôle au service.
L'exemple d'erreur suivant se produit lorsqu'un utilisateur IAM nommé `marymajor` essaie d'utiliser la console pour effectuer une action dans X-Ray. Toutefois, l’action nécessite que le service ait des autorisations accordées par un rôle de service. Mary n'est pas autorisée à transmettre le rôle au service.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
Dans ce cas, les politiques de Mary doivent être mises à jour pour lui permettre d’exécuter l’action `iam:PassRole`.
Si vous avez besoin d'aide, contactez votre AWS administrateur. Votre administrateur vous a fourni vos informations d’identification de connexion.
## Je suis administrateur et je souhaite autoriser d'autres personnes à accéder à X-Ray
Pour autoriser d'autres personnes à accéder à X-Ray, vous devez autoriser les personnes ou les applications qui ont besoin d'y accéder. Si vous utilisez AWS IAM Identity Center pour gérer des personnes et des applications, vous attribuez des ensembles d'autorisations aux utilisateurs ou aux groupes afin de définir leur niveau d'accès. Les ensembles d'autorisations créent et attribuent automatiquement des politiques IAM aux rôles IAM associés à la personne ou à l'application. Pour plus d'informations, consultez la section [Ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *guide de AWS IAM Identity Center l'utilisateur*.
Si vous n'utilisez pas IAM Identity Center, vous devez créer des entités IAM (utilisateurs ou rôles) pour les personnes ou les applications qui ont besoin d'un accès. Vous devez ensuite associer une politique à l'entité qui lui accorde les autorisations appropriées dans X-Ray. Une fois les autorisations accordées, fournissez les informations d'identification à l'utilisateur ou au développeur de l'application. Ils utiliseront ces informations d'identification pour y accéder AWS. Pour en savoir plus sur la création d'utilisateurs, de groupes, de politiques et d'autorisations [IAM, consultez la section Identités](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html), [politiques et autorisations IAM dans le guide de l'utilisateur *IAM*](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).
## Je veux permettre à des personnes extérieures Compte AWS à moi d'accéder à mes ressources X-Ray
Vous pouvez créer un rôle que les utilisateurs provenant d’autres comptes ou les personnes extérieures à votre organisation pourront utiliser pour accéder à vos ressources. Vous pouvez spécifier qui est autorisé à assumer le rôle. Pour les services qui prennent en charge les politiques basées sur les ressources ou les listes de contrôle d'accès (ACLs), vous pouvez utiliser ces politiques pour autoriser les utilisateurs à accéder à vos ressources.
Pour plus d’informations, consultez les éléments suivants :
+ Pour savoir si X-Ray prend en charge ces fonctionnalités, consultez[Comment AWS X-Ray fonctionne avec IAM](security_iam_service-with-iam.md).
+ Pour savoir comment fournir l'accès à vos ressources sur celles Comptes AWS que vous possédez, consultez la section [Fournir l'accès à un utilisateur IAM dans un autre utilisateur Compte AWS que vous possédez](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) dans le Guide de l'*utilisateur IAM*.
+ Pour savoir comment fournir l'accès à vos ressources à des tiers Comptes AWS, consultez la section [Fournir un accès à des ressources Comptes AWS détenues par des tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) dans le *guide de l'utilisateur IAM*.
+ Pour savoir comment fournir un accès par le biais de la fédération d’identité, consultez [Fournir un accès à des utilisateurs authentifiés en externe (fédération d’identité)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) dans le *Guide de l’utilisateur IAM*.
+ Pour en savoir plus sur la différence entre l’utilisation des rôles et des politiques basées sur les ressources pour l’accès intercompte, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.
# Connexion et surveillance AWS X-Ray
La surveillance est essentielle pour assurer la fiabilité, la disponibilité et les performances de vos solutions AWS . Vous devez collecter des données de surveillance provenant de toutes les parties de votre AWS solution afin de pouvoir corriger plus facilement une défaillance multipoint, le cas échéant. AWS fournit plusieurs outils pour surveiller vos ressources X-Ray et répondre aux incidents potentiels :
**AWS CloudTrail Journaux**
AWS X-Ray s'intègre AWS CloudTrail pour enregistrer les actions d'API effectuées par un utilisateur, un rôle ou un AWS service dans X-Ray. Vous pouvez l'utiliser CloudTrail pour surveiller les demandes d'API X-Ray en temps réel et stocker les journaux dans Amazon S3, Amazon CloudWatch Logs et Amazon CloudWatch Events. Pour de plus amples informations, veuillez consulter [Enregistrement des appels d'API X-Ray avec AWS CloudTrail](xray-api-cloudtrail.md).
**AWS Config Suivi**
AWS X-Ray s'intègre AWS Config pour enregistrer les modifications de configuration apportées à vos ressources de chiffrement X-Ray. Vous pouvez l'utiliser AWS Config pour inventorier les ressources de chiffrement de X-Ray, vérifier l'historique de configuration de X-Ray et envoyer des notifications en fonction des modifications apportées aux ressources. Pour de plus amples informations, veuillez consulter [Suivi des modifications de configuration du chiffrement X-Ray avec AWS Config](xray-api-config.md).
** CloudWatch Surveillance d'Amazon**
Vous pouvez utiliser le SDK X-Ray pour Java pour publier des métriques CloudWatch Amazon non échantillonnées à partir des segments X-Ray que vous avez collectés. Ces métriques sont dérivées de l'heure de début et de fin du segment, ainsi que des indicateurs d'erreur, de défaut et d'état de limitation. Utilisez ces métriques de suivi pour exposer les nouvelles tentatives et les problèmes de dépendance dans les sous-segments. Pour de plus amples informations, veuillez consulter [AWS X-Ray métriques pour le SDK X-Ray pour Java](xray-sdk-java.md#xray-sdk-java-monitoring).
# Validation de conformité pour AWS X-Ray
Pour savoir si un [programme Services AWS de conformité Service AWS s'inscrit dans le champ d'application de programmes de conformité](https://aws.amazon.com/compliance/services-in-scope/) spécifiques, consultez Services AWS la section de conformité et sélectionnez le programme de conformité qui vous intéresse. Pour des informations générales, voir Programmes de [AWS conformité Programmes AWS](https://aws.amazon.com/compliance/programs/) de .
Vous pouvez télécharger des rapports d'audit tiers à l'aide de AWS Artifact. Pour plus d'informations, voir [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
Votre responsabilité en matière de conformité lors de l'utilisation Services AWS est déterminée par la sensibilité de vos données, les objectifs de conformité de votre entreprise et les lois et réglementations applicables. Pour plus d'informations sur votre responsabilité en matière de conformité lors de l'utilisation Services AWS, consultez [AWS la documentation de sécurité](https://docs.aws.amazon.com/security/).
# Résilience dans AWS X-Ray
L'infrastructure AWS mondiale est construite autour Régions AWS de zones de disponibilité. Régions AWS fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur les zones de disponibilité Régions AWS et les zones de disponibilité, consultez la section [Infrastructure AWS globale](https://aws.amazon.com/about-aws/global-infrastructure/).
# Sécurité de l'infrastructure dans AWS X-Ray
En tant que service géré, AWS X-Ray il est protégé par la sécurité du réseau AWS mondial. Pour plus d'informations sur les services AWS de sécurité et sur la manière dont AWS l'infrastructure est protégée, consultez la section [Sécurité du AWS cloud](https://aws.amazon.com/security/). Pour concevoir votre AWS environnement en utilisant les meilleures pratiques en matière de sécurité de l'infrastructure, consultez la section [Protection de l'infrastructure](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) dans le cadre * AWS bien architecturé du pilier de sécurité*.
Vous utilisez des appels d'API AWS publiés pour accéder à X-Ray via le réseau. Les clients doivent prendre en charge les éléments suivants :
+ Protocole TLS (Transport Layer Security). Nous exigeons TLS 1.2 et recommandons TLS 1.3.
+ Ses suites de chiffrement PFS (Perfect Forward Secrecy) comme DHE (Ephemeral Diffie-Hellman) ou ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La plupart des systèmes modernes tels que Java 7 et les versions ultérieures prennent en charge ces modes.
# Utilisation AWS X-Ray avec des points de terminaison VPC
Si vous utilisez Amazon Virtual Private Cloud (Amazon VPC) pour héberger vos AWS ressources, vous pouvez établir une connexion privée entre votre VPC et X-Ray. Cela permet aux ressources de votre Amazon VPC de communiquer avec le service X-Ray sans passer par l'Internet public.
Amazon VPC est un système Service AWS que vous pouvez utiliser pour lancer AWS des ressources dans un réseau virtuel que vous définissez. Avec un VPC, vous contrôlez des paramètres réseau, tels que la plage d'adresses IP, les sous-réseaux, les tables de routage et les passerelles réseau. Pour connecter votre VPC à X-Ray, vous devez définir un point de terminaison [VPC d'interface.](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) Le point de terminaison fournit une connectivité fiable et évolutive à X-Ray sans nécessiter de passerelle Internet, d'instance de traduction d'adresses réseau (NAT) ou de connexion VPN. Pour de plus amples informations, veuillez consulter [Qu’est-ce qu’Amazon VPC ?](https://docs.aws.amazon.com/vpc/latest/userguide/) dans le *Guide de l’utilisateur Amazon VPC*.
Les points de terminaison VPC d'interface sont alimentés par AWS PrivateLink une AWS technologie qui permet une communication privée entre eux Services AWS en utilisant une interface Elastic Network avec des adresses IP privées. Pour plus d'informations, consultez le billet de Services AWS blog [New — AWS PrivateLink for](https://aws.amazon.com/blogs/aws/new-aws-privatelink-endpoints-kinesis-ec2-systems-manager-and-elb-apis-in-your-vpc/) et [Getting Started](https://docs.aws.amazon.com/vpc/latest/userguide/GetStarted.html) dans le guide de l'*utilisateur Amazon VPC*.
Pour vous assurer que vous pouvez créer un point de terminaison VPC pour X-Ray dans celui de votre choix Région AWS, consultez. [Régions prises en charge](#xray-vpc-availability)
## Création d'un point de terminaison VPC pour X-Ray
Pour commencer à utiliser X-Ray avec votre VPC, créez un point de terminaison VPC d'interface pour X-Ray.
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Accédez à **Endpoints** dans le volet de navigation et choisissez **Create Endpoint**.
1. Recherchez et sélectionnez le nom du AWS X-Ray service :`com.amazonaws.region.xray`.
![\[Sélectionnez le service.\]](http://docs.aws.amazon.com/fr_fr/xray/latest/devguide/images/xray-vpc-select-service.png)
1. Sélectionnez le VPC de votre choix, puis sélectionnez un sous-réseau dans votre VPC pour utiliser le point de terminaison de l'interface. Une interface réseau de point de terminaison est créée dans le sous-réseau sélectionné. Vous pouvez spécifier plusieurs sous-réseaux dans différentes zones de disponibilité (telles que prises en charge par le service) afin de vous assurer que le point de terminaison de votre interface résiste aux défaillances des zones de disponibilité. Dans ce cas, une interface réseau est créée dans chaque sous-réseau que vous spécifiez.
![\[Sélectionnez VPC et sous-réseau.\]](http://docs.aws.amazon.com/fr_fr/xray/latest/devguide/images/xray-vpc-select-vpc.png)
1. (Facultatif) Le DNS privé est activé par défaut pour le point de terminaison, afin que vous puissiez envoyer des demandes à X-Ray en utilisant son nom d'hôte DNS par défaut. Vous pouvez choisir de le désactiver.
1. Spécifiez les groupes de sécurité à associer à l'interface réseau du point de terminaison.
![\[Sélectionnez les groupes de sécurité.\]](http://docs.aws.amazon.com/fr_fr/xray/latest/devguide/images/xray-vpc-select-secgroup.png)
1. (Facultatif) Spécifiez une politique personnalisée pour contrôler les autorisations d'accès au service X-Ray. Par défaut, l'accès complet est autorisé.
## Contrôle de l'accès à votre point de terminaison X-Ray VPC
Une stratégie de point de terminaison d’un VPC est une stratégie de ressource IAM que vous attachez à un point de terminaison lorsque vous le créez ou le modifiez. Si vous n'attachez pas de stratégie quand vous créez un point de terminaison, Amazon VPC attache une stratégie par défaut pour vous qui autorise un accès total au service. Une politique de point de terminaison n'annule pas et ne remplace pas les politiques utilisateur IAM ou les politiques propres au service. Il s'agit d'une politique distincte qui contrôle l'accès depuis le point de terminaison jusqu'au service spécifié. Les politiques de point de terminaison doivent être écrites au format JSON. Pour en savoir plus, consultez [Contrôle de l'accès aux services avec des points de terminaison d'un VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) dans le *guide de l'utilisateur Amazon VPC*.
La politique des points de terminaison VPC vous permet de contrôler les autorisations relatives à diverses actions X-Ray. Par exemple, vous pouvez créer une politique pour autoriser uniquement PutTraceSegment et refuser toutes les autres actions. Cela empêche les charges de travail et les services du VPC d'envoyer uniquement des données de suivi à X-Ray et de refuser toute autre action telle que la récupération de données, la modification de la configuration de chiffrement ou la création/mise à jour de groupes.
Voici un exemple de politique de point de terminaison pour X-Ray. Cette politique permet aux utilisateurs qui se connectent à X-Ray via le VPC d'envoyer des données de segment à X-Ray et les empêche également d'effectuer d'autres actions de X-Ray.
```
{"Statement": [
{"Sid": "Allow PutTraceSegments",
"Principal": "*",
"Action": [
"xray:PutTraceSegments"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
**Pour modifier la politique de point de terminaison VPC pour X-Ray**
1. Ouvrez la console Amazon VPC à l’adresse [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/).
1. Dans le volet de navigation, choisissez **Points de terminaison**.
1. Si vous n'avez pas encore créé le point de terminaison pour X-Ray, suivez les étapes décrites dans[Création d'un point de terminaison VPC pour X-Ray](#create-VPC-endpoint-for-xray).
1. Sélectionnez **com.amazonaws. *region*point de terminaison .xray**, puis choisissez l'onglet **Policy**.
1. Choisissez **Edit Policy (Modifier la politique)**, puis apportez vos modifications.
## Régions prises en charge
X-Ray prend actuellement en charge les points de terminaison VPC dans les domaines suivants : Régions AWS
+ USA Est (Ohio)
+ USA Est (Virginie du Nord)
+ USA Ouest (Californie du Nord)
+ USA Ouest (Oregon)
+ Afrique (Le Cap)
+ Asie-Pacifique (Hong Kong)
+ Asia Pacific (Mumbai)
+ Asie-Pacifique (Osaka)
+ Asia Pacific (Seoul)
+ Asie-Pacifique (Singapour)
+ Asie-Pacifique (Sydney)
+ Asie-Pacifique (Tokyo)
+ Canada (Centre)
+ Europe (Francfort)
+ Europe (Irlande)
+ Europe (Londres)
+ Europe (Milan)
+ Europe (Paris)
+ Europe (Stockholm)
+ Moyen-Orient (Bahreïn)
+ Amérique du Sud (São Paulo)
+ AWS GovCloud (USA Est)
+ AWS GovCloud (US-Ouest)
# Prévention du problème de l’adjoint confus entre services
Le problème de député confus est un problème de sécurité dans lequel une entité qui n’est pas autorisée à effectuer une action peut contraindre une entité plus privilégiée à le faire. En AWS, l'usurpation d'identité interservices peut entraîner la confusion des adjoints. L’usurpation d’identité entre services peut se produire lorsqu’un service (le *service appelant*) appelle un autre service (le *service appelé*). Le service appelant peut être manipulé et ses autorisations utilisées pour agir sur les ressources d’un autre client auxquelles on ne serait pas autorisé à accéder autrement. Pour éviter cela, AWS fournit des outils qui vous aident à protéger vos données pour tous les services avec des principaux de service qui ont eu accès aux ressources de votre compte.
Nous recommandons d'utiliser les clés [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)contextuelles [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn),, et de condition [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceorgpaths)globale dans les politiques de ressources afin de limiter les autorisations que xraylong accorde à un autre service à la ressource. Utilisez `aws:SourceArn` pour associer une seule ressource à l’accès interservice. Utilisez `aws:SourceAccount` pour permettre à n’importe quelle ressource de ce compte d’être associée à l’utilisation interservice. Utilisez `aws:SourceOrgID` pour permettre à n’importe quelle ressource de n’importe quel compte au sein d’une organisation d’être associée à l’utilisation interservice. Utilisez `aws:SourceOrgPaths` pour associer n’importe quelle ressource des comptes d’un chemin d’accès AWS Organizations à l’utilisation interservice. Pour plus d'informations sur l'utilisation et la compréhension des chemins, voir [Comprendre le chemin de l' AWS Organizations entité](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data-orgs.html#access_policies_access-advisor-viewing-orgs-entity-path).
Le moyen le plus efficace de se protéger contre le problème de député confus consiste à utiliser la clé de contexte de condition globale `aws:SourceArn` avec l’ARN complet de la ressource. Si vous ne connaissez pas l’ARN complet de la ressource ou si vous spécifiez plusieurs ressources, utilisez la clé de contexte de condition globale `aws:SourceArn` avec des caractères génériques (`*`) pour les parties inconnues de l’ARN. Par exemple, `arn:aws:servicename:*:123456789012:*`.
Si la valeur `aws:SourceArn` ne contient pas l'ID du compte, tel qu'un ARN de compartiment Amazon S3, vous devez utiliser à la fois `aws:SourceAccount` et `aws:SourceArn` pour limiter les autorisations.
Pour se protéger contre le problème de l'adjoint confus à grande échelle, utilisez la clé de contexte de condition globale `aws:SourceOrgID` ou `aws:SourceOrgPaths` avec l'ID de l'organisation ou le chemin de l'organisation de la ressource dans vos politiques basées sur les ressources. Lorsque vous ajoutez, supprimez et déplacez des comptes dans votre organisation, les politiques qui contiennent la clé `aws:SourceOrgID` ou `aws:SourceOrgPaths` incluront automatiquement les bons comptes et vous n'avez pas besoin de mettre manuellement à jour les polices.
L'exemple suivant montre comment vous pouvez utiliser les touches `aws:SourceArn` contextuelles et de condition `aws:SourceAccount` globale dans xray pour éviter le problème de confusion des adjoints.
```
{
"Sid": "BlockCrossAccountUnlessSameSource",
"Effect": "Deny",
"Principal": {
"AWS": "*"
},
"Action": [
"kms:Decrypt",
"kms:GenerateDataKeyWithoutPlaintext"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": "123456789012",
"aws:SourceAccount": "123456789012"
},
"ArnNotLike": {
"aws:SourceArn": "arn:*:*:*:123456789012:*"
}
}
}
```