Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Comment AWS App Mesh fonctionne avec IAM
<a name="security_iam_service-with-iam"></a>

**Important**  
Avis de fin de support : le 30 septembre 2026, AWS le support de. AWS App Mesh Après le 30 septembre 2026, vous ne pourrez plus accéder à la AWS App Mesh console ni aux AWS App Mesh ressources. Pour plus d'informations, consultez ce billet de blog [intitulé Migration from AWS App Mesh to Amazon ECS Service Connect](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect). 

Avant d'utiliser IAM pour gérer l'accès à App Mesh, vous devez connaître les fonctionnalités IAM disponibles avec App Mesh. Pour obtenir une vue d'ensemble de la façon dont App Mesh et les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le guide de l'utilisateur *IAM*.

**Topics**
+ [Politiques basées sur l'identité App Mesh](#security_iam_service-with-iam-id-based-policies)
+ [Politiques basées sur les ressources App Mesh](#security_iam_service-with-iam-resource-based-policies)
+ [Autorisation basée sur les tags App Mesh](#security_iam_service-with-iam-tags)
+ [Rôles IAM d'App Mesh](#security_iam_service-with-iam-roles)

## Politiques basées sur l'identité App Mesh
<a name="security_iam_service-with-iam-id-based-policies"></a>

Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. App Mesh prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.

### Actions
<a name="security_iam_service-with-iam-id-based-policies-actions"></a>

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.

Les actions politiques dans App Mesh utilisent le préfixe suivant avant l'action :`appmesh:`. Par exemple, pour autoriser une personne à répertorier les maillages d'un compte avec l'opération `appmesh:ListMeshes` API, vous devez inclure l'`appmesh:ListMeshes`action dans sa politique. Les déclarations de politique doivent inclure un élément `Action` ou `NotAction`.

Pour spécifier plusieurs actions dans une seule instruction, séparez-les par des virgules, comme suit :

```
"Action": [
      "appmesh:ListMeshes",
      "appmesh:ListVirtualNodes"
]
```

Vous pouvez aussi préciser plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante.

```
"Action": "appmesh:Describe*"
```



Pour consulter la liste des actions App Mesh, consultez la section [Actions définies par AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions) dans le *guide de l'utilisateur IAM*.

### Ressources
<a name="security_iam_service-with-iam-id-based-policies-resources"></a>

Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.

L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.

```
"Resource": "*"
```



La `mesh` ressource App Mesh possède l'ARN suivant.

```
arn:${Partition}:appmesh:${Region}:${Account}:mesh/${MeshName}
```

Pour plus d'informations sur le format de ARNs, consultez [Amazon Resource Names (ARNs) et AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).

Par exemple, pour spécifier le maillage nommé *apps* dans la *Region-code* région dans votre instruction, utilisez l'ARN suivant.

```
arn:aws:appmesh:Region-code:111122223333:mesh/apps
```

Pour spécifier toutes les instances qui appartiennent à un compte spécifique, utilisez le caractère générique (\$1).

```
"Resource": "arn:aws:appmesh:Region-code:111122223333:mesh/*"
```

Certaines actions App Mesh, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).

```
"Resource": "*"
```

De nombreuses actions de l'API App Mesh impliquent plusieurs ressources. Par exemple, `CreateRoute` crée une route avec une cible de nœud virtuel, de sorte qu'un utilisateur IAM doit être autorisé à utiliser la route et le nœud virtuel. Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules. 

```
"Resource": [
      "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualRouter/serviceB/route/*",
      "arn:aws:appmesh:Region-code:111122223333:mesh/apps/virtualNode/serviceB"
]
```

Pour consulter la liste des types de ressources App Mesh et leurs caractéristiques ARNs, consultez la section [Ressources définies par AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-resources-for-iam-policies) dans le *guide de l'utilisateur IAM*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).

### Clés de condition
<a name="security_iam_service-with-iam-id-based-policies-conditionkeys"></a>

App Mesh prend en charge l'utilisation de certaines clés de condition globales. Pour afficher toutes les clés de condition globales AWS , consultez la rubrique [Clés de contexte de condition globale AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *Guide de l’utilisateur IAM*. Pour consulter la liste des clés de condition globales prises en charge par App Mesh, consultez la section [Clés de condition correspondantes AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-policy-keys) dans le *guide de l'utilisateur IAM*. Pour savoir quelles actions et ressources vous pouvez utiliser avec une clé de condition, consultez la section [Actions définies par AWS App Mesh](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappmesh.html#awsappmesh-actions-as-permissions).

### Exemples
<a name="security_iam_service-with-iam-id-based-policies-examples"></a>



Pour consulter des exemples de politiques basées sur l'identité App Mesh, consultez. [AWS App Mesh exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)

## Politiques basées sur les ressources App Mesh
<a name="security_iam_service-with-iam-resource-based-policies"></a>

App Mesh ne prend pas en charge les politiques basées sur les ressources. Toutefois, si vous utilisez le service AWS Resource Access Manager (AWS RAM) pour partager un maillage entre les AWS services, une politique basée sur les ressources est appliquée à votre maillage par le AWS RAM service. Pour de plus amples informations, veuillez consulter [Octroi d'autorisations pour un maillage](sharing.md#sharing-permissions-resource).

## Autorisation basée sur les tags App Mesh
<a name="security_iam_service-with-iam-tags"></a>

Vous pouvez associer des tags aux ressources App Mesh ou transmettre des tags dans une demande à App Mesh. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `appmesh:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d'informations sur le balisage des ressources App Mesh, consultez la section Ressources de [balisage AWS](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html).

Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez [Création de maillages App Mesh avec des balises restreintes](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-widget-tags).

## Rôles IAM d'App Mesh
<a name="security_iam_service-with-iam-roles"></a>

Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité de votre AWS compte qui dispose d'autorisations spécifiques.

### Utilisation d'informations d'identification temporaires avec App Mesh
<a name="security_iam_service-with-iam-roles-tempcreds"></a>

Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html). 

App Mesh prend en charge l'utilisation d'informations d'identification temporaires. 

### Rôles liés à un service
<a name="security_iam_service-with-iam-roles-service-linked"></a>

Les [rôles liés aux](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS services permettent aux services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service s’affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.

App Mesh prend en charge les rôles liés aux services. Pour plus d'informations sur la création ou la gestion des rôles liés au service App Mesh, consultez. [Utilisation de rôles liés à un service pour App Mesh](using-service-linked-roles.md)

### Rôles du service
<a name="security_iam_service-with-iam-roles-service"></a>

Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service s’affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.

App Mesh ne prend pas en charge les rôles de service.