Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gérez l'accès aux ressources
Une *politique d'autorisation* décrit qui a accès à quoi. La section suivante explique les options disponibles pour créer des politiques d'autorisations.
**Note**
Cette section décrit l'utilisation de l'IAM dans le contexte d'AWS Control Tower. Elle ne fournit pas d’informations détaillées sur le service IAM. Pour une documentation complète sur IAM, consultez [Qu'est-ce que IAM ?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) dans le *Guide de l'utilisateur IAM*. Pour plus d'informations sur la syntaxe et les descriptions des stratégies IAM, consultez [Référence de stratégie AWS IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html) dans le *Guide de l'utilisateur IAM*.
Les politiques associées à une identité IAM sont appelées politiques *basées sur l'identité* (politiques IAM). Les stratégies attachées à une ressource sont appelées stratégies *basées sur une ressource*.
**Note**
AWS Control Tower prend uniquement en charge les politiques basées sur l'identité (politiques IAM).
**Topics**
+ [À propos des politiques basées sur l'identité (politiques IAM)](#access-control-manage-access-intro-iam-policies)
+ [Création de rôles et attribution d'autorisations](assign-permissions.md)
+ [Politiques basées sur les ressources](#access-control-manage-access-intro-resource-policies)
## À propos des politiques basées sur l'identité (politiques IAM)
Vous pouvez attacher des politiques à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :
+ **Associer une politique d'autorisations à un utilisateur ou à un groupe de votre compte** : pour accorder à un utilisateur l'autorisation de créer une ressource AWS Control Tower, par exemple pour configurer une zone de landing zone, vous pouvez associer une politique d'autorisations à un utilisateur ou à un groupe auquel appartient l'utilisateur.
+ **Attacher une politique d'autorisations à un rôle (accorder des autorisations entre comptes)** : vous pouvez attacher une politique d'autorisation basée sur une identité à un rôle IAM afin d'accorder des autorisations entre comptes. Par exemple, l'administrateur d'un AWS compte (*compte A*) peut créer un rôle qui accorde des autorisations entre comptes à un autre AWS compte (*compte B*), ou l'administrateur peut créer un rôle qui accorde des autorisations à un autre AWS service.
1. L'administrateur du compte A crée un rôle IAM et associe une politique d'autorisation au rôle qui accorde des autorisations pour gérer les ressources du compte A.
1. L'administrateur du compte A attache une politique de confiance au rôle. La politique indique que le compte B est le principal habilité à assumer ce rôle.
1. En tant que principal, l'administrateur du compte B peut autoriser n'importe quel utilisateur du compte B à assumer ce rôle. En assumant le rôle, les utilisateurs du compte B peuvent créer ou accéder aux ressources du compte A.
1. Pour accorder à un AWS service la capacité (autorisations) d'assumer le rôle, le principal que vous spécifiez dans la politique de confiance peut être un AWS service.
# Création de rôles et attribution d'autorisations
Les rôles et les autorisations vous donnent accès aux ressources, dans AWS Control Tower et dans d'autres AWS services, y compris l'accès programmatique aux ressources.
Pour activer l’accès, ajoutez des autorisations à vos utilisateurs, groupes ou rôles :
+ Utilisateurs et groupes dans AWS IAM Identity Center :
Créez un jeu d’autorisations. Suivez les instructions de la rubrique [Création d’un jeu d’autorisations](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtocreatepermissionset.html) du *Guide de l’utilisateur AWS IAM Identity Center *.
+ Utilisateurs gérés dans IAM par un fournisseur d’identité :
Créez un rôle pour la fédération d’identité. Suivez les instructions de la rubrique [Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*.
+ Utilisateurs IAM :
+ Créez un rôle que votre utilisateur peut assumer. Suivez les instructions de la rubrique [Création d’un rôle pour un utilisateur IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-user.html) dans le *Guide de l’utilisateur IAM*.
+ (Non recommandé) Attachez une politique directement à un utilisateur ou ajoutez un utilisateur à un groupe d’utilisateurs. Suivez les instructions de la rubrique [Ajout d’autorisations à un utilisateur (console)](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) du *Guide de l’utilisateur IAM*.
Pour en savoir plus sur l'utilisation d'IAM pour déléguer des autorisations, consultez [Gestion des accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access.html) dans le *Guide de l'utilisateur IAM*.
**Note**
Lorsque vous configurez une zone de landing zone AWS Control Tower, vous aurez besoin d'un utilisateur ou d'un rôle associé **AdministratorAccess**à la politique gérée. (arn:aws:iam : :aws:policy/) AdministratorAccess
**Pour créer un rôle pour une Service AWS (console IAM)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation de la console IAM, sélectionnez **Roles** (Rôles), puis **Create role** (Créer un rôle).
1. Pour **Trusted entity** (Entité de confiance), choisissez **Service AWS**.
1. Pour **Service ou cas d’utilisation**, choisissez un service, puis choisissez le cas d’utilisation. Les cas d'utilisation sont définis par le service pour inclure la politique d'approbation nécessaire au service.
1. Choisissez **Suivant**.
1. Pour **Politiques d’autorisations**, les options dépendent du cas d’utilisation que vous avez sélectionné :
+ Si le service définit les autorisations pour le rôle, il n’est pas possible de sélectionner les politiques d’autorisation.
+ Choisissez parmi un ensemble limité de politiques d’autorisation.
+ Choisissez parmi toutes les politiques d’autorisation.
+ Ne sélectionnez aucune politique d’autorisation, créez les politiques une fois le rôle créé, puis attachez-les au rôle.
1. (Facultatif) Définissez une [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html). Il s’agit d’une fonctionnalité avancée disponible pour les fonctions de service, mais pas pour les rôles liés à un service.
1. Ouvrez la section **Définir une limite des autorisations** et choisissez **Utiliser une limite des autorisations pour contrôler le nombre maximum d’autorisations de rôle**.
IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte.
1. Sélectionnez la politique à utiliser comme limite d'autorisations.
1. Choisissez **Suivant**.
1. Pour **Nom du rôle**, les options dépendent du service :
+ Si le service définit le nom du rôle, vous ne pouvez pas modifier le nom du rôle.
+ Si le service définit un préfixe pour le nom du rôle, vous pouvez saisir un suffixe facultatif.
+ Si le service ne définit pas le nom du rôle, vous pouvez le nommer.
**Important**
Lorsque vous nommez un rôle, notez ce qui suit :
Les noms de rôles doivent être uniques au sein du Compte AWS vôtre et ne peuvent pas être rendus uniques au cas par cas.
Par exemple, ne créez pas deux rôles nommés **PRODROLE** et **prodrole**. Lorsqu’un nom de rôle est utilisé dans une politique ou dans le cadre d’un ARN, le nom de rôle est sensible à la casse. Cependant, lorsqu’un nom de rôle apparaît aux clients dans la console, par exemple lors de la procédure d’ouverture de session, le nom de rôle est insensible à la casse.
Vous ne pouvez pas modifier le nom du rôle après sa création, car d’autres entités pourraient y faire référence.
1. (Facultatif) Pour **Description**, saisissez la description du rôle.
1. (Facultatif) Pour modifier les cas d’utilisation et les autorisations du rôle, dans les sections **Étape 1 : sélectionner les entités de confiance** ou **Étape 2 : ajouter des autorisations**, sélectionnez **Modifier**.
1. (Facultatif) Pour identifier, organiser ou rechercher le rôle, ajoutez des identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la section [Balises pour les Gestion des identités et des accès AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le Guide de l'*utilisateur d'IAM*.
1. Passez en revue les informations du rôle, puis choisissez **Create role** (Créer un rôle).
**Pour utiliser l’éditeur de politique JSON afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Mise en route**.
1. En haut de la page, sélectionnez **Créer une politique**.
1. Dans la section **Éditeur de politique**, choisissez l’option **JSON**.
1. Saisissez ou collez un document de politique JSON. Pour de plus amples informations sur le langage de la stratégie IAM, consultez la référence de [politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies.html).
1. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la [validation de la politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html), puis choisissez **Suivant**.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. (Facultatif) Lorsque vous créez ou modifiez une politique dans le AWS Management Console, vous pouvez générer un modèle de stratégie JSON ou YAML que vous pouvez utiliser dans les CloudFormation modèles.
Pour ce faire, dans l'**éditeur de politiques**, sélectionnez **Actions**, puis sélectionnez **Générer CloudFormation un modèle**. Pour en savoir plus CloudFormation, consultez la [référence aux types de Gestion des identités et des accès AWS ressources](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) dans le *Guide de AWS CloudFormation l'utilisateur*.
1. Lorsque vous avez fini d’ajouter des autorisations à la politique, choisissez **Suivant**.
1. Sur la page **Vérifier et créer**, tapez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour voir les autorisations accordées par votre politique.
1. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la section [Balises pour les Gestion des identités et des accès AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le Guide de l'*utilisateur d'IAM*.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
**Pour utiliser l'éditeur visuel afin de créer une politique**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de gauche, sélectionnez **Policies** (Politiques).
Si vous sélectionnez **Politiques** pour la première fois, la page **Bienvenue dans les politiques gérées** s’affiche. Sélectionnez **Get started (Mise en route)**.
1. Choisissez **Create Policy** (Créer une politique).
1. Dans la section **Éditeur de politiques**, recherchez la section **Sélectionner un service**, puis choisissez un Service AWS. Vous pouvez utiliser le menu Filtre ou la zone de recherche en haut de l'écran pour limiter les résultats dans la liste des services. Vous pouvez choisir un seul service par bloc d'autorisation de l'éditeur visuel. Pour accorder l'accès à plusieurs services, ajoutez de multiples blocs d'autorisation en sélectionnant **Ajouter d'autres autorisations**.
1. Dans **Actions autorisées**, choisissez les actions à ajouter à la politique. Vous pouvez choisir des actions de différentes manières :
+ Activez la case à cocher pour toutes les actions.
+ Choisissez **Ajouter des actions** pour saisir le nom d'une action spécifique. Vous pouvez utiliser un caractère générique (`*`) pour spécifier plusieurs actions.
+ Sélectionnez l'un des groupes de **niveau Accès** pour choisir toutes les actions pour le niveau d'accès (par exemple, **Lecture**, **Écriture** ou **Liste**).
+ Développez chacun des groupes de **Niveaux d'accès** pour choisir des actions individuelles.
Par défaut, la politique que vous créez autorise les actions que vous choisissez. Pour refuser les actions choisies, sélectionnez **Switch to deny permissions (Basculer vers le refus des autorisations)**. [Le comportement par défaut d'IAM étant le refus](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html), nous vous recommandons comme bonne pratique de sécurité de n'autoriser un utilisateur à accéder qu'aux actions et aux ressources nécessaires. Créez une instruction JSON pour refuser les autorisations uniquement si vous souhaitez remplacer une autorisation autorisée séparément par une autre déclaration ou politique. Nous vous recommandons de limiter le nombre de refus d'autorisation au minimum, car ils peuvent rendre la résolution des problèmes d'autorisation plus complexe.
1. Pour **Ressources**, si le service et les actions que vous avez sélectionnés lors des étapes précédentes ne prennent pas en charge le choix de [ressources spécifiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), toutes les ressources sont autorisées et vous ne pouvez pas modifier cette section.
Si vous avez choisi une ou plusieurs actions qui prennent en charge les [autorisations de niveau ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_controlling.html#access_controlling-resources), l'éditeur visuel affiche la liste de ces ressources. Vous pouvez alors développer **Ressources** pour spécifier les ressources de votre politique.
Vous pouvez spécifier des ressources de la manière suivante :
+ Choisissez **Ajouter ARNs** pour spécifier les ressources en fonction de leur Amazon Resource Names (ARN). Vous pouvez utiliser l'éditeur visuel d'ARN ou la liste ARNs manuellement. Pour plus d'informations sur la syntaxe ARN, consultez [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) dans le *guide de l'utilisateur IAM*. Pour plus d'informations sur l'utilisation ARNs de l'`Resource`élément d'une stratégie, voir [Éléments de stratégie IAM JSON : ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) dans le guide de l'*utilisateur IAM*.
+ Choisissez **Toute ressource dans ce compte** en regard d'une ressource pour accorder des autorisations à toutes les ressources de ce type.
+ Choisissez **Toutes** pour choisir toutes les ressources pour le service.
1. (Facultatif) Choisissez **Demander des conditions – *facultatif*** pour ajouter des conditions à la politique que vous créez. Des conditions limitent l'effet d'une instruction de politique JSON. Par exemple, vous pouvez spécifier qu'un utilisateur est autorisé à effectuer des actions sur les ressources uniquement si la demande de cet utilisateur se produit au cours d'une période spécifiée. Vous pouvez également utiliser des conditions couramment utilisées pour limiter l'authentification d'un utilisateur à l'aide d'un dispositif d'authentification multifactorielle (MFA). Ou vous pouvez exiger que la demande provienne d'une certaine plage d'adresses IP. Pour obtenir la liste de toutes les clés contextuelles que vous pouvez utiliser dans une condition de politique, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html) dans la *référence d'autorisation de service*.
Vous pouvez choisir des conditions de différentes manières :
+ Utilisez les cases à cocher pour sélectionner les conditions couramment utilisées.
+ Choisissez **Ajouter une autre condition** pour spécifier d'autres conditions. Choisissez la **clé de condition**, le **qualificatif** et **l'opérateur** de la condition, puis entrez une **valeur**. Pour ajouter plusieurs valeurs, choisissez **Ajouter**. Vous pouvez considérer que les valeurs sont connectées par un `OR` opérateur logique. Lorsque vous avez fini, choisissez **Ajouter une condition**.
Pour ajouter plusieurs conditions, choisissez de nouveau **Ajouter une autre condition**. Répétez l’opération si nécessaire. Chaque condition s'applique uniquement à ce bloc d'autorisation de l'éditeur visuel. Toutes les conditions doivent être remplies pour que le bloc d'autorisation soit considérée comme réussi. En d'autres termes, considérez les conditions à connecter par un `AND` opérateur logique.
Pour plus d'informations sur l'élément **Condition**, voir [Éléments de politique IAM JSON : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le guide de l'*utilisateur IAM*.
1. Pour ajouter d'autres blocs d'autorisation, choisissez **Ajouter d'autres autorisations**. Pour chaque bloc, répétez les étapes 2 à 5.
**Note**
Vous pouvez basculer à tout moment entre les options des éditeurs **visuel** et **JSON**. Toutefois, si vous apportez des modifications ou si vous choisissez **Suivant** dans l’éditeur **visuel**, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour plus d’informations, consultez la page [Restructuration de politique](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_policies.html#troubleshoot_viseditor-restructure) dans le *Guide de l’utilisateur IAM*.
1. (Facultatif) Lorsque vous créez ou modifiez une politique dans le AWS Management Console, vous pouvez générer un modèle de stratégie JSON ou YAML que vous pouvez utiliser dans les CloudFormation modèles.
Pour ce faire, dans l'**éditeur de politiques**, sélectionnez **Actions**, puis sélectionnez **Générer CloudFormation un modèle**. Pour en savoir plus CloudFormation, consultez la [référence aux types de Gestion des identités et des accès AWS ressources](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_IAM.html) dans le *Guide de AWS CloudFormation l'utilisateur*.
1. Lorsque vous avez fini d’ajouter des autorisations à la politique, choisissez **Suivant**.
1. Sur la page **Vérifier et créer**, tapez un **Nom de politique** et une **Description** (facultative) pour la politique que vous créez. Vérifiez les **Autorisations définies dans cette politique** pour vous assurer que vous les avez accordées comme prévu.
1. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez la section [Balises pour les Gestion des identités et des accès AWS ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html) dans le Guide de l'*utilisateur d'IAM*.
1. Choisissez **Create policy** (Créer une politique) pour enregistrer votre nouvelle politique.
**Pour accorder un accès programmatique**
Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.
Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.
****
| Quel utilisateur a besoin d’un accès programmatique ? | À | Méthode |
| --- | --- | --- |
| IAM | (Recommandé) Utilisez les informations d'identification de la console comme informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/controltower/latest/userguide/assign-permissions.html) |
| Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center) | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/controltower/latest/userguide/assign-permissions.html) |
| IAM | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de la section [Utilisation d'informations d'identification temporaires avec AWS les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) du Guide de l'utilisateur IAM. |
| IAM | (Non recommandé)Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/controltower/latest/userguide/assign-permissions.html) |
## Protégez-vous contre les attaquants
Pour plus d'informations sur la manière de vous protéger contre les attaquants lorsque vous accordez des autorisations à d'autres responsables de AWS service, consultez [Conditions facultatives relatives à vos relations de confiance en matière de rôles](https://docs.aws.amazon.com//controltower/latest/userguide/conditions-for-role-trust.html). En ajoutant certaines conditions à vos politiques, vous pouvez contribuer à empêcher un type d'attaque spécifique, connu sous le nom d'attaque *adjointe confuse*, qui se produit lorsqu'une entité contraint une entité plus privilégiée à effectuer une action, par exemple dans le cas d'une usurpation d'identité interservices. Pour des informations générales sur les conditions du contrat, voir également[Spécification de conditions dans une politique](access-control-overview.md#specifying-conditions).
Pour plus d'informations sur l'utilisation de politiques basées sur l'identité avec AWS Control Tower, consultez. [Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower](access-control-managing-permissions.md) Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l'utilisateur IAM*.
## Politiques basées sur les ressources
D’autres services, tels qu’Amazon S3, prennent également en charge les politiques d’autorisation basées sur une ressource. Par exemple, vous pouvez attacher une politique à un compartiment S3 pour gérer les autorisations d’accès à ce compartiment. AWS Control Tower ne prend pas en charge les politiques basées sur les ressources.