Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Comment AWS IoT SiteWise fonctionne avec IAM
Avant d'utiliser Gestion des identités et des accès AWS (IAM) pour gérer l'accès à AWS IoT SiteWise, vous devez connaître les fonctionnalités IAM disponibles. AWS IoT SiteWise
| Fonctionnalité IAM | Soutenu par AWS IoT SiteWise ? |
| --- | --- |
| [Stratégies basées sur l'identité avec autorisations au niveau des ressources](security_iam_service-with-iam-id-based-policies.md) | Oui |
| [Actions de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| Politiques basées sur les ressources | Non |
| Listes de contrôle d'accès (ACLs) | Non |
| [Autorisation basée sur des balises (ABAC)](security_iam_service-with-iam-tags.md) | Oui |
| [Informations d’identification temporaires](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Sessions d'accès transféré (FAS)](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions) | Oui |
| [Rôles liés à un service](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Oui |
| [Rôles de service](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked) | Oui |
Pour obtenir une vue d'ensemble de la façon dont AWS IoT SiteWise les autres AWS services fonctionnent avec IAM, consultez la section [AWS Services compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le Guide de l'utilisateur d'*IAM*.
**Contents**
+ [AWS IoT SiteWise Rôles IAM](security_iam_service-with-iam-roles.md)
+ [Utilisez des informations d'identification temporaires avec AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-tempcreds)
+ [Sessions d'accès direct (FAS) pour AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-principal-permissions)
+ [Rôles liés à un service](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service-linked)
+ [Rôles du service](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-service)
+ [Choisissez un rôle IAM dans AWS IoT SiteWise](security_iam_service-with-iam-roles.md#security_iam_service-with-iam-roles-choose)
+ [Autorisation basée sur les AWS IoT SiteWise tags](security_iam_service-with-iam-tags.md)
+ [AWS IoT SiteWise politiques basées sur l'identité](security_iam_service-with-iam-id-based-policies.md)
+ [Actions de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-actions)
+ [BatchPutAssetPropertyValue autorisation](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-batchputassetpropertyvalue-action)
+ [Ressources de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-resources)
+ [Clés de condition de politique](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [Exemples](security_iam_service-with-iam-id-based-policies.md#security_iam_service-with-iam-id-based-policies-examples)
+ [AWS IoT SiteWise exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
+ [Bonnes pratiques en matière de politiques](security_iam_id-based-policy-examples.md#security_iam_service-with-iam-policy-best-practices)
+ [Utiliser la AWS IoT SiteWise console](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permettre aux utilisateurs d'ingérer des données dans des actifs d'une seule hiérarchie](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Afficher les AWS IoT SiteWise ressources en fonction des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags)
+ [Gérez l'accès à l'aide de politiques dans AWS IoT SiteWise](security_iam_access-manage.md)
+ [Politiques basées sur l’identité](security_iam_access-manage.md#security_iam_access-manage-id-based-policies)
+ [Politiques basées sur les ressources](security_iam_access-manage.md#security_iam_access-manage-resource-based-policies)
+ [Listes de contrôle d'accès (ACLs)](security_iam_access-manage.md#security_iam_access-manage-acl)
+ [Autres types de politique](security_iam_access-manage.md#security_iam_access-manage-other-policies)
+ [Plusieurs types de politique](security_iam_access-manage.md#security_iam_access-manage-multiple-policies)
# AWS IoT SiteWise Rôles IAM
Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) est une entité au sein de votre compte AWS qui dispose d’autorisations spécifiques.
## Utilisez des informations d'identification temporaires avec AWS IoT SiteWise
Vous pouvez utiliser des informations d’identification temporaires pour vous connecter à l’aide de la fédération, endosser un rôle IAM ou encore pour endosser un rôle intercompte. Vous obtenez des informations d'identification de sécurité temporaires en appelant des opérations d' AWS STS API telles que [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou [GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html).
AWS IoT SiteWise prend en charge l'utilisation d'informations d'identification temporaires.
SiteWise Monitor aide les utilisateurs fédérés à accéder aux portails. Les utilisateurs du portail s'authentifient à l'aide de leurs informations d'identification IAM Identity Center ou IAM.
**Important**
Les utilisateurs ou les rôles doivent être `iotsitewise:DescribePortal` autorisés à se connecter au portail.
Lorsqu'un utilisateur se connecte à un portail, SiteWise Monitor génère une politique de session qui fournit les autorisations suivantes :
+ Accès en lecture seule aux actifs et aux données des actifs de AWS IoT SiteWise votre compte auxquels le rôle de ce portail permet d'accéder.
+ Accès aux projets de ce portail auxquels l'utilisateur dispose d'un accès administrateur (propriétaire du projet) ou en lecture seule (visualiseur de projet).
Pour de plus amples informations sur les autorisations utilisateur du portail fédéré, veuillez consulter [Utiliser les rôles de service pour AWS IoT SiteWise Monitor](monitor-service-role.md).
## Sessions d'accès direct (FAS) pour AWS IoT SiteWise
**Prend en charge les sessions d’accès direct (FAS) :** oui
Les sessions d'accès direct (FAS) utilisent les autorisations du principal appelant et Service AWS, combinées Service AWS à la demande d'envoi de demandes aux services en aval. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez la section [Sessions de transmission d’accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Rôles liés à un service
[Les rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) permettent aux AWS services d'accéder aux ressources d'autres services pour effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre AWS compte et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
AWS IoT SiteWise prend en charge les rôles liés aux services. Pour plus d'informations sur la création ou la gestion des rôles liés à un service AWS IoT SiteWise , consultez [Utilisez des rôles liés à un service pour AWS IoT SiteWise](using-service-linked-roles.md).
## Rôles du service
Cette fonction permet à un service d’endosser une [fonction du service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts) en votre nom. Ce rôle autorise le service à accéder à des ressources d’autres services pour effectuer une action en votre nom. Les rôles de service apparaissent dans votre AWS compte et sont détenus par le compte. Cela signifie qu’un administrateur IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon fonctionnement du service.
AWS IoT SiteWise utilise un rôle de service pour permettre aux utilisateurs du portail SiteWise Monitor d'accéder à certaines de vos AWS IoT SiteWise ressources en votre nom. Pour de plus amples informations, veuillez consulter [Utiliser les rôles de service pour AWS IoT SiteWise Monitor](monitor-service-role.md).
Vous devez disposer des autorisations requises pour pouvoir créer des modèles AWS IoT Events d'alarme dans AWS IoT SiteWise. Pour de plus amples informations, veuillez consulter [Configurer les autorisations pour les alarmes liées aux événements dans AWS IoT SiteWise](alarms-iam-permissions.md).
## Choisissez un rôle IAM dans AWS IoT SiteWise
Lorsque vous créez une `portal` ressource dans AWS IoT SiteWise, vous devez choisir un rôle pour permettre aux utilisateurs fédérés de votre portail SiteWise Monitor d'y accéder en votre AWS IoT SiteWise nom. Si vous avez déjà créé un rôle de service, il vous AWS IoT SiteWise fournit une liste de rôles parmi lesquels choisir. Sinon, vous pouvez créer un rôle avec les autorisations requises lorsque vous créez un portail. Il est important de choisir un rôle qui permet d'accéder à vos actifs et à leurs données. Pour de plus amples informations, veuillez consulter [Utiliser les rôles de service pour AWS IoT SiteWise Monitor](monitor-service-role.md).
# Autorisation basée sur les AWS IoT SiteWise tags
Vous pouvez associer des balises aux AWS IoT SiteWise ressources ou transmettre des balises dans une demande à AWS IoT SiteWise. Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`. Pour plus d’informations sur le balisage des ressources AWS IoT SiteWise , consultez [Marquez vos AWS IoT SiteWise ressources](tag-resources.md).
Pour visualiser un exemple de politique basée sur l’identité permettant de limiter l’accès à une ressource en fonction des balises de cette ressource, consultez [Afficher les AWS IoT SiteWise ressources en fonction des balises](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-asset-tags).
# AWS IoT SiteWise politiques basées sur l'identité
Les politiques IAM vous permettent de contrôler qui peut faire quoi. AWS IoT SiteWise Vous pouvez décider quelles actions sont autorisées ou non et définir des conditions spécifiques pour ces actions. Par exemple, vous pouvez définir des règles concernant les personnes autorisées à consulter ou à modifier des informations dans AWS IoT SiteWise. AWS IoT SiteWise prend en charge des actions, des ressources et des clés de condition spécifiques. Pour en savoir plus sur tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l'utilisateur IAM*.
## Actions de politique
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Action` d’une politique JSON décrit les actions que vous pouvez utiliser pour autoriser ou refuser l’accès à une politique. Intégration d’actions dans une politique afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de politique en AWS IoT SiteWise cours utilisent le préfixe suivant avant l'action :`iotsitewise:`. Par exemple, pour autoriser une personne à télécharger les données relatives AWS IoT SiteWise aux propriétés des actifs dans le cadre de l'opération d'`BatchPutAssetPropertyValue`API, vous devez inclure l'`iotsitewise:BatchPutAssetPropertyValue`action dans sa politique. Les déclarations de politique doivent inclure un `NotAction` élément `Action` ou. AWS IoT SiteWise définit son propre ensemble d'actions décrivant les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule instruction, séparez-les par des virgules, comme suit :
```
"Action": [
"iotsitewise:action1",
"iotsitewise:action2"
]
```
Vous pouvez aussi préciser plusieurs actions à l’aide de caractères génériques (\$1). Par exemple, pour spécifier toutes les actions qui commencent par le mot `Describe`, incluez l’action suivante.
```
"Action": "iotsitewise:Describe*"
```
Pour consulter la liste des AWS IoT SiteWise actions, reportez-vous à la section [Actions définies par AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
### BatchPutAssetPropertyValue autorisation
AWS IoT SiteWise autorise l'accès à l'[BatchPutAssetPropertyValue](https://docs.aws.amazon.com/iot-sitewise/latest/APIReference/API_BatchPutAssetPropertyValue.html)action de manière inhabituelle. Pour la plupart des actions, lorsque vous autorisez ou refusez l'accès, cette action renvoie une erreur si les autorisations ne sont pas accordées. Avec`BatchPutAssetPropertyValue`, vous pouvez envoyer plusieurs entrées de données à différents actifs et propriétés d'actifs dans une seule demande d'API. AWS IoT SiteWise autorise chaque saisie de données de manière indépendante. Pour toute entrée individuelle dont l'autorisation échoue dans la demande, AWS IoT SiteWise inclut une erreur `AccessDeniedException` dans la liste d'erreurs renvoyée. AWS IoT SiteWise reçoit les données pour toute entrée autorisée et réussie, même si une autre entrée dans la même demande échoue.
**Important**
Avant d'ingérer des données dans un flux de données, procédez comme suit :
Autorisez la `time-series` ressource si vous utilisez un alias de propriété pour identifier le flux de données.
Autorisez la `asset` ressource si vous utilisez un ID d'actif pour identifier l'actif qui contient la propriété d'actif associée.
## Ressources de politique
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément de politique JSON `Resource` indique le ou les objets auxquels l’action s’applique. Il est recommandé de définir une ressource à l’aide de son [Amazon Resource Name (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Pour les actions qui ne sont pas compatibles avec les autorisations de niveau ressource, utilisez un caractère générique (\$1) afin d’indiquer que l’instruction s’applique à toutes les ressources.
```
"Resource": "*"
```
Chaque déclaration de politique IAM s'applique aux ressources que vous spécifiez à l'aide de leur. ARNs Un ARN a la syntaxe générale suivante :
```
arn:${Partition}:${Service}:${Region}:${Account}:${ResourceType}/${ResourcePath}
```
Pour plus d'informations sur le format de ARNs, consultez [Identifier les AWS ressources avec Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html).
Par exemple, pour spécifier l'actif avec l'ID `a1b2c3d4-5678-90ab-cdef-22222EXAMPLE` dans votre instruction, utilisez l'ARN suivant :
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE"
```
Pour spécifier tous les flux de données appartenant à un compte spécifique, utilisez le caractère générique (\$1) :
```
"Resource": "arn:aws:iotsitewise:region:123456789012:time-series/*"
```
Pour spécifier tous les actifs appartenant à un compte spécifique, utilisez le caractère générique (\$1) :
```
"Resource": "arn:aws:iotsitewise:region:123456789012:asset/*"
```
Certaines AWS IoT SiteWise actions, telles que celles relatives à la création de ressources, ne peuvent pas être effectuées sur une ressource spécifique. Dans ces cas-là, vous devez utiliser le caractère générique (\$1).
```
"Resource": "*"
```
Pour spécifier plusieurs ressources dans une seule instruction, séparez-les ARNs par des virgules.
```
"Resource": [
"resource1",
"resource2"
]
```
Pour consulter la liste des types de AWS IoT SiteWise ressources et leurs caractéristiques ARNs, consultez la section [Types de ressources définis par AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-resources-for-iam-policies) dans le *guide de l'utilisateur IAM*. Pour savoir grâce à quelles actions vous pouvez spécifier l’ARN de chaque ressource, consultez [Actions définies par AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Clés de condition de politique
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
**Important**
Plusieurs clés de condition sont propres à une ressource et certaines actions d’API utilisent plusieurs ressources. Si vous écrivez une déclaration de stratégie avec une clé de condition, utilisez l'élément `Resource` de la déclaration pour spécifier la ressource à laquelle la clé de condition s'applique. Dans le cas contraire, la stratégie peut empêcher totalement les utilisateurs d'exécuter l'action, car le contrôle de la condition échoue pour les ressources auxquelles la clé de condition ne s'applique pas. Si vous ne voulez pas spécifier de ressource ou si vous avez écrit l'élément `Action` de votre stratégie pour inclure plusieurs actions d'API, vous devez utiliser le type de condition `...IfExists` pour garantir que la clé de condition est ignorée pour les ressources qui ne l'utilisent pas. Pour plus d'informations, voir[... IfExists conditions énoncées](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IfExists) dans le *guide de l'utilisateur IAM*.
AWS IoT SiteWise définit son propre ensemble de clés de condition et prend également en charge l'utilisation de certaines clés de condition globales. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
**AWS IoT SiteWise clés de condition**
| Clé de condition | Description | Types |
| --- | --- | --- |
| iotsitewise:isAssociatedWithAssetProperty | Si les flux de données sont associés à une propriété d'actif. Utilisez cette clé de condition pour définir les autorisations en fonction de l'existence d'une propriété d'actif associée pour les flux de données. Exemple de valeur : `true` | String |
| iotsitewise:assetHierarchyPath | Le chemin hiérarchique de la ressource, qui est une chaîne d'actifs séparés IDs chacun par une barre oblique. Utilisez cette clé de condition pour définir des autorisations en fonction d'un sous-ensemble de votre hiérarchie de tous les actifs de votre compte. Exemple de valeur : `/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:propertyId | ID d'une propriété d'actif. Utilisez cette clé de condition pour définir des autorisations basées sur une propriété spécifiée d'un modèle de ressource. Cette clé de condition s'applique à tous les actifs de ce modèle. Exemple de valeur : `a1b2c3d4-5678-90ab-cdef-33333EXAMPLE` | String |
| iotsitewise:childAssetId | ID d'une ressource associée en tant qu'enfant à une autre ressource. Utilisez cette clé de condition pour définir les autorisations en fonction des ressources enfants. Pour définir des autorisations en fonction des ressources parent, utilisez la section ressource d'une instruction de stratégie. Exemple de valeur : `a1b2c3d4-5678-90ab-cdef-66666EXAMPLE` | String |
| iotsitewise:iam | L'ARN d'une identité IAM lors de la liste des politiques d'accès. Utilisez cette clé de condition pour définir les autorisations de politique d'accès pour une identité IAM. Exemple de valeur : `arn:aws:iam::123456789012:user/JohnDoe` | Chaîne, null |
| iotsitewise:propertyAlias | Alias qui identifie une propriété d'actif ou un flux de données. Utilisez cette clé de condition pour définir les autorisations en fonction de l'alias. | String |
| iotsitewise:user | ID d'un utilisateur du IAM Identity Center lors de la liste des politiques d'accès. Utilisez cette clé de condition pour définir les autorisations de politique d'accès pour un utilisateur d'IAM Identity Center. Exemple de valeur : `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-aaaaaEXAMPLE` | Chaîne, null |
| iotsitewise:group | ID d'un groupe IAM Identity Center lors de la liste des politiques d'accès. Utilisez cette clé de condition pour définir les autorisations de politique d'accès pour un groupe IAM Identity Center. Exemple de valeur : `a1b2c3d4e5-a1b2c3d4-5678-90ab-cdef-bbbbbEXAMPLE` | Chaîne, null |
| iotsitewise:portal | ID d'un portail dans une stratégie d'accès. Utilisez cette clé de condition pour définir les autorisations de stratégie d'accès basées sur un portail. Exemple de valeur : `a1b2c3d4-5678-90ab-cdef-77777EXAMPLE` | Chaîne, null |
| iotsitewise:project | ID d'un projet dans une stratégie d'accès ou ID d'un projet pour un tableau de bord. Utilisez cette clé de condition pour définir des autorisations de stratégie d'accès ou de tableau de bord en fonction d'un projet. Exemple de valeur : `a1b2c3d4-5678-90ab-cdef-88888EXAMPLE` | Chaîne, null |
Pour savoir avec quelles actions et ressources vous pouvez utiliser une clé de condition, consultez la section [Actions définies par AWS IoT SiteWise](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiotsitewise.html#awsiotsitewise-actions-as-permissions).
## Exemples
Pour consulter des exemples de politiques AWS IoT SiteWise basées sur l'identité, consultez. [AWS IoT SiteWise exemples de politiques basées sur l'identité](security_iam_id-based-policy-examples.md)
# AWS IoT SiteWise exemples de politiques basées sur l'identité
Par défaut, les entités (utilisateurs et rôles) ne sont pas autorisées à créer ou à modifier AWS IoT SiteWise des ressources. Ils ne peuvent pas non plus effectuer de tâches à l'aide de l'API AWS Management Console, AWS Command Line Interface (AWS CLI) ou de AWS l'API. Pour ajuster les autorisations, un administrateur Gestion des identités et des accès AWS (IAM) doit effectuer les opérations suivantes :
1. Créez des politiques IAM qui accordent aux utilisateurs et aux rôles l'autorisation d'effectuer des opérations d'API spécifiques sur les ressources dont ils ont besoin.
1. Associez ces politiques aux utilisateurs ou aux groupes qui ont besoin de ces autorisations.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques dans l’onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l’utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utiliser la AWS IoT SiteWise console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Permettre aux utilisateurs d'ingérer des données dans des actifs d'une seule hiérarchie](#security_iam_id-based-policy-examples-ingest-to-one-asset-hierarchy)
+ [Afficher les AWS IoT SiteWise ressources en fonction des balises](#security_iam_id-based-policy-examples-view-asset-tags)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer AWS IoT SiteWise des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utiliser la AWS IoT SiteWise console
Pour accéder à la AWS IoT SiteWise console, vous avez besoin d'un ensemble d'autorisations de base. Ces autorisations vous permettent de consulter et de gérer les informations relatives AWS IoT SiteWise aux ressources de votre AWS compte.
Si vous définissez une politique trop restrictive, la console risque de ne pas fonctionner comme prévu pour les utilisateurs ou les rôles (entités) concernés par cette politique. Pour garantir que ces entités peuvent toujours utiliser la AWS IoT SiteWise console, associez-leur la politique [AWSIoTSiteWiseConsoleFullAccess](https://console.aws.amazon.com/iam/home#/policies/policies/arn:aws:iam::aws:policy/AWSIoTSiteWiseConsoleFullAccess)gérée ou définissez des autorisations équivalentes pour ces entités. Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
Si les entités utilisent uniquement la AWS Command Line Interface (CLI) ou l' AWS IoT SiteWise API, et non la console, elles n'ont pas besoin de ces autorisations minimales. Dans ce cas, donnez-leur simplement accès aux actions spécifiques dont ils ont besoin pour leurs tâches d'API.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Permettre aux utilisateurs d'ingérer des données dans des actifs d'une seule hiérarchie
Dans cet exemple, vous souhaitez autoriser un utilisateur de votre AWS compte à écrire des données sur toutes les propriétés des actifs dans une hiérarchie d'actifs spécifique, en commençant par l'actif racine`a1b2c3d4-5678-90ab-cdef-22222EXAMPLE`. La stratégie accorde l'autorisation `iotsitewise:BatchPutAssetPropertyValue` à l'utilisateur. Cette stratégie utilise la clé de condition `iotsitewise:assetHierarchyPath` pour restreindre l'accès aux ressources dont le chemin hiérarchique correspond à l'actif ou à ses descendants.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "PutAssetPropertyValuesForHierarchy",
"Effect": "Allow",
"Action": "iotsitewise:BatchPutAssetPropertyValue",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringLike": {
"iotsitewise:assetHierarchyPath": [
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE",
"/a1b2c3d4-5678-90ab-cdef-22222EXAMPLE/*"
]
}
}
}
]
}
```
------
## Afficher les AWS IoT SiteWise ressources en fonction des balises
Utilisez les conditions de votre politique basée sur l'identité pour contrôler l'accès aux AWS IoT SiteWise ressources en fonction des balises. Cet exemple montre comment créer une politique permettant de visualiser les actifs. Toutefois, l'autorisation est accordée uniquement si la balise de ressource `Owner` a pour valeur le nom d'utilisateur de cet utilisateur. Cette politique accorde également l'autorisation d'effectuer cette action sur la console.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ListAllAssets",
"Effect": "Allow",
"Action": [
"iotsitewise:ListAssets",
"iotsitewise:ListAssociatedAssets"
],
"Resource": "*"
},
{
"Sid": "DescribeAssetIfOwner",
"Effect": "Allow",
"Action": "iotsitewise:DescribeAsset",
"Resource": "arn:aws:iotsitewise:*:*:asset/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
```
------
Associez cette politique aux utilisateurs de votre compte. Si un utilisateur nommé `richard-roe` tente de consulter une AWS IoT SiteWise ressource, celle-ci doit être étiquetée `Owner=richard-roe` ou`owner=richard-roe`. Dans le cas contraire, Richard se voit refuser l'accès. Les noms des clés des balises de condition ne distinguent pas les majuscules et minuscules. Donc, `Owner` correspond aux deux `Owner` et`owner`. Pour plus d'informations, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
# Gérez l'accès à l'aide de politiques dans AWS IoT SiteWise
Vous contrôlez l'accès en AWS créant des politiques et en les associant à AWS des identités ou à des ressources. Une politique définit les autorisations lorsqu'elles sont associées à une identité ou à une ressource. AWS évalue ces politiques lorsqu'un directeur fait une demande. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d’informations les documents de politique JSON, consultez [Vue d’ensemble des politiques JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) dans le *Guide de l’utilisateur IAM*.
À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel **principal** peut effectuer des **actions** sur quelles **ressources** et dans quelles **conditions**.
Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.
## Politiques basées sur l’identité
Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Les politiques basées sur l’identité peuvent être des *politiques intégrées* (intégrées directement dans une seule identité) ou des *politiques gérées (politiques* autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez [Choix entre les politiques gérées et les politiques en ligne](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) dans le *Guide de l’utilisateur IAM*.
## Politiques basées sur les ressources
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent *les politiques de confiance de rôle* IAM et les *stratégies de compartiment* Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez [spécifier un principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans une politique basée sur les ressources.
Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques AWS gérées par IAM dans une stratégie basée sur les ressources.
## Listes de contrôle d'accès (ACLs)
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
Amazon S3 et AWS WAF Amazon VPC sont des exemples de services compatibles. ACLs Pour en savoir plus ACLs, consultez la [présentation de la liste de contrôle d'accès (ACL)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/acl-overview.html) dans le *guide du développeur Amazon Simple Storage Service*.
## Autres types de politique
AWS prend en charge des types de politiques supplémentaires qui peuvent définir les autorisations maximales accordées par les types de politiques les plus courants :
+ **Limites d’autorisations** : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez [Limites d’autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le *Guide de l’utilisateur IAM*.
+ **Politiques de contrôle des services (SCPs)** — Spécifiez les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, consultez [Politiques de contrôle de service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations *.
+ **Politiques de contrôle des ressources (RCPs)** : définissez le maximum d'autorisations disponibles pour les ressources de vos comptes. Pour plus d'informations, voir [Politiques de contrôle des ressources (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) dans le *guide de AWS Organizations l'utilisateur*.
+ **Politiques de session** : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez [Politiques de session](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) dans le *Guide de l’utilisateur IAM*.
## Plusieurs types de politique
Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour savoir comment AWS déterminer s'il faut autoriser une demande lorsque plusieurs types de politiques sont impliqués, consultez la section [Logique d'évaluation des politiques](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) dans le *guide de l'utilisateur IAM*.