Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création de rôles non administrateurs
Les utilisateurs du groupe Administrateurs d'un compte ont accès à tous les AWS services et ressources de ce compte. L'octroi d'un accès direct à toutes les AWS ressources va à l'encontre de la meilleure pratique qui consiste à appliquer les autorisations les moins privilégiées à un utilisateur. Cette section décrit comment créer des rôles avec des autorisations limitées à AWS Elemental MediaConnect. Cette section décrit également comment vos utilisateurs peuvent assumer ce rôle pour octroyer des informations d'identification sécurisées et temporaires.
**Topics**
+ [Étape 1 : créer une politique pour les non-administrateurs](#setting-up-create-nonadmin-IAM-policies)
+ [Étape 2 : créer des rôles non administrateurs](#setting-up-create-nonadmin-roles-create-role)
+ [Étape 3 : Assumez le rôle](#setting-up-create-nonadmin-roles-assume-role)
## Étape 1 : créer une politique pour les non-administrateurs
Créez deux politiques pour AWS Elemental MediaConnect : l'une pour fournir l' read/write accès et l'autre pour fournir un accès en lecture seule. Exécutez ces étapes une seule fois pour chaque stratégie. Plus tard, vous associerez ces politiques aux rôles. Ces rôles peuvent ensuite être temporairement assumés par les utilisateurs pour accorder l'accès à MediaConnect.
**Pour créer des stratégies**
1. Utilisez votre identifiant de AWS compte ou votre alias de compte, ainsi que les informations d'identification de votre utilisateur administrateur, pour vous connecter à la [console IAM](https://console.aws.amazon.com/iam).
1. Dans le volet de navigation de la console, choisissez **Stratégies**.
1. Sur la page **Politiques**, créez une politique nommée `MediaConnectAllAccess` qui autorise toutes les actions sur toutes les ressources d'AWS Elemental MediaConnect :
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON** et collez la stratégie suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
Cette politique autorise toutes les actions sur toutes les ressources d'AWS Elemental MediaConnect.
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Sur la page **Réviser et créer**, dans le **champ Nom de la politique****MediaConnectAllAccess**, entrez puis choisissez **Créer une politique**.
1. Sur la page **Politiques**, créez une politique en lecture seule nommée d'après AWS `MediaConnectReadOnlyAccess` Elemental : MediaConnect
1. Choisissez **Create Policy** (Créer une politique).
1. Choisissez l'onglet **JSON** et collez la stratégie suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"mediaconnect:List*",
"mediaconnect:Describe*"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"ec2:DescribeAvailabilityZones"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"cloudwatch:GetMetricData"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Action": [
"iam:PassRole"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringLike": {
"iam:PassedToService": "mediaconnect.amazonaws.com"
}
}
}
]
}
```
------
1. Choisissez **Suivant : Balises**.
1. Choisissez **Suivant : Vérification**.
1. Sur la page **Réviser et créer**, dans le **champ Nom de la politique****MediaConnectReadOnlyAccess**, entrez puis choisissez **Créer une politique**.
## Étape 2 : créer des rôles non administrateurs
Vous pouvez créer un rôle pour chaque politique et les utilisateurs peuvent assumer ce rôle, plutôt que d'associer des politiques individuelles à chaque utilisateur. À l'aide de la procédure suivante, créez deux rôles : un pour la **MediaConnectAllAccess**stratégie et un pour la **MediaConnectReadOnlyAccess**stratégie.
**Pour créer des rôles**
1. Dans le panneau de navigation de la console IAM, choisissez **Rôles**.
1. Sur la page **Rôles**, créez un rôle d'administrateur à l'aide de la `MediaConnectAllAccess` politique suivante :
1. Choisissez **Créer un rôle**.
1. Dans la section **Sélectionner une entité de confiance**, sélectionnez un **AWS compte**.
1. Dans la section **Un AWS compte**, sélectionnez le compte auprès duquel les utilisateurs joueront ce rôle.
1. Si un tiers doit accéder à ce rôle, il est recommandé de sélectionner **Exiger un identifiant externe**. Pour plus d'informations sur l'accès externe IDs, consultez : [Utilisation d'un identifiant externe pour l'accès de tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) dans le *guide de l'utilisateur IAM*.
1. Il est recommandé d'exiger l'authentification multifactorielle (MFA). Vous pouvez cocher la case à côté de **Exiger le MFA**. *Pour plus d'informations sur l'authentification multifactorielle, consultez : Authentification [multifactorielle (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) dans le guide de l'utilisateur IAM.*
1. Choisissez **Next** pour accéder à la section **Ajouter des autorisations**.
1. Dans la section **Politique d'autorisations**, choisissez la **MediaConnectAllAccess**politique que vous avez créée dans la procédure de l'[étape 3a : Créer une politique](#setting-up-create-nonadmin-IAM-policies).
1. Vérifiez que les bonnes politiques sont ajoutées à ce groupe, puis choisissez **Next**.
1. Dans la section **Nom, révision et création**, nommez le rôle`MediaConnectAdmins`. (Facultatif) Ajoutez une description du rôle. Sélectionnez **Créer le rôle**.
1. Sur la page **Rôles**, créez un rôle d'administrateur à l'aide de la `MediaConnectReadOnlyAccess` politique suivante :
1. Choisissez **Créer un rôle**.
1. Dans la section **Sélectionner une entité de confiance**, sélectionnez un **AWS compte**.
1. Dans la section **Un AWS compte**, sélectionnez le compte auprès duquel les utilisateurs joueront ce rôle.
1. Si un tiers doit accéder à ce rôle, il est recommandé de sélectionner **Exiger un identifiant externe**. Pour plus d'informations sur l'accès externe IDs, consultez : [Utilisation d'un identifiant externe pour l'accès de tiers](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) dans le *guide de l'utilisateur IAM*.
1. Il est recommandé d'exiger l'authentification multifactorielle (MFA). Vous pouvez cocher la case à côté de **Exiger le MFA**. *Pour plus d'informations sur l'authentification multifactorielle, consultez : Authentification [multifactorielle (MFA)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) dans le guide de l'utilisateur IAM.*
1. Choisissez **Next** pour accéder à la section **Ajouter des autorisations**.
1. Dans la section **Politique d'autorisations**, choisissez la **MediaConnectReadOnlyAccess**politique que vous avez créée dans la procédure de l'[étape 3a : Créer une politique](#setting-up-create-nonadmin-IAM-policies).
1. Vérifiez que les bonnes politiques sont ajoutées à ce groupe, puis choisissez **Next**.
1. Dans la section **Nom, révision et création**, nommez le rôle`MediaConnectReaders`. (Facultatif) Ajoutez une description du rôle. Sélectionnez **Créer le rôle**.
## Étape 3 : Assumez le rôle
Après avoir créé une politique et l'avoir attachée à un rôle, vos utilisateurs devront assumer ce rôle pour bénéficier d'un accès sécurisé et temporaire MediaConnect.
Consultez les ressources suivantes pour en savoir plus sur l'octroi d'autorisations aux utilisateurs pour qu'ils assument le rôle et sur la manière dont les utilisateurs peuvent passer au rôle depuis la console ou AWS CLI.
+ Accorder à un utilisateur l'autorisation de changer de rôle : [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_permissions-to-switch.html)
+ Changement de rôle (console) : [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)
+ Changement de rôle (AWS CLI) : [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-cli.html)