Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d'ensembles d'autorisations
Vous pouvez gérer Compte AWS l'accès à l'aide des [ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) intégrés AWS IAM Identity Center. Un *ensemble d'autorisations* est un modèle qui vous permet de déployer une ou plusieurs politiques IAM sur plusieurs Comptes AWS. Lorsque vous attribuez un ensemble d'autorisations à un Compte AWS, IAM Identity Center crée un rôle IAM et lui associe vos politiques IAM. Pour plus d'informations, veuillez consulter la rubrique [Create and manage permission sets](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html) (documentation IAM Identity Center).
AWS recommande de créer des ensembles d'autorisations correspondant aux différentes personnes de votre entreprise.
**Topics**
+ [Ensemble d'autorisations de facturation](#billing-permission-set)
+ [Ensemble d'autorisations pour les développeurs](#developer-permission-set)
+ [Ensemble d'autorisations de production](#production-permission-set)
Les ensembles d'autorisations suivants sont des extraits d'un AWS CloudFormation modèle. Vous devez utiliser ce code comme point de départ et le personnaliser pour votre entreprise. Pour plus d'informations sur les CloudFormation modèles, voir [Apprendre les bases des modèles](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/gettingstarted.templatebasics.html) (CloudFormation documentation).
## Ensemble d'autorisations de facturation
L'équipe financière a l'habitude **BillingAccessPermissionSet**de consulter le tableau de bord de la AWS Billing console et AWS Cost Explorer de chaque compte.
```
BillingAccessPermissionSet:
Type: "AWS::SSO::PermissionSet"
Properties:
Description: Access to Billing and Cost Explorer
InstanceArn: !Sub "arn:${AWS::Partition}:sso:::instance/ssoins-instanceId"
ManagedPolicies:
- !Sub "arn:${AWS::Partition}:iam::aws:policy/job-function/Billing"
Name: BillingAccess
SessionDuration: PT8H
RelayStateType: https://console.aws.amazon.com/billing/home
```
## Ensemble d'autorisations pour les développeurs
L'équipe d'ingénierie a l'habitude d'accéder **DeveloperAccessPermissionSet**à des comptes non liés à la production.
```
DeveloperAccessPermissionSet:
Type: "AWS::SSO::PermissionSet"
Properties:
Description: Access to provision resources through CloudFormation
InlinePolicy: !Sub |-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:${AWS::Partition}:iam::*:role/CloudFormationRole",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${!aws:PrincipalAccount}",
"iam:PassedToService": "cloudformation.${AWS::URLSuffix}"
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudformation:ContinueUpdateRollback",
"cloudformation:CreateChangeSet",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:RollbackStack",
"cloudformation:UpdateStack"
],
"Resource": "arn:${AWS::Partition}:cloudformation:*:*:stack/app-*",
"Condition": {
"ArnLike": {
"cloudformation:RoleArn": "arn:${AWS::Partition}:iam::${!aws:PrincipalAccount}:role/CloudFormationRole"
},
"Null": {
"cloudformation:ImportResourceTypes": true
}
}
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CancelUpdateStack",
"cloudformation:DeleteChangeSet",
"cloudformation:DetectStackDrift",
"cloudformation:DetectStackResourceDrift",
"cloudformation:ExecuteChangeSet",
"cloudformation:TagResource",
"cloudformation:UntagResource",
"cloudformation:UpdateTerminationProtection"
],
"Resource": "arn:${AWS::Partition}:cloudformation:*:*:stack/app-*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateUploadBucket",
"cloudformation:ValidateTemplate",
"cloudformation:EstimateTemplateCost"
],
"Resource": "*"
}
]
}
InstanceArn: !Sub "arn:${AWS::Partition}:sso:::instance/ssoins-instanceId"
ManagedPolicies:
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSServiceCatalogEndUserFullAccess"
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSBillingReadOnlyAccess"
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSSupportAccess"
- !Sub "arn:${AWS::Partition}:iam::aws:policy/ReadOnlyAccess"
Name: DeveloperAccess
SessionDuration: PT8H
```
## Ensemble d'autorisations de production
L'équipe d'ingénierie a l'habitude **ProductionPermissionSet**d'accéder aux comptes de production. Cet ensemble d'autorisations dispose d'un accès limité en lecture seule.
```
ProductionPermissionSet:
Type: "AWS::SSO::PermissionSet"
Properties:
Description: Access to production accounts
InlinePolicy: !Sub |-
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "arn:${AWS::Partition}:iam::*:role/CloudFormationRole",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${!aws:PrincipalAccount}",
"iam:PassedToService": "cloudformation.${AWS::URLSuffix}"
}
}
},
{
"Effect": "Allow",
"Action": "cloudformation:ContinueUpdateRollback",
"Resource": "arn:${AWS::Partition}:cloudformation:*:*:stack/app-*",
"Condition": {
"ArnLike": {
"cloudformation:RoleArn": "arn:${AWS::Partition}:iam::${!aws:PrincipalAccount}:role/CloudFormationRole"
}
}
},
{
"Effect": "Allow",
"Action": "cloudformation:CancelUpdateStack",
"Resource": "arn:${AWS::Partition}:cloudformation:*:*:stack/app-*"
}
]
}
InstanceArn: !Sub "arn:${AWS::Partition}:sso:::instance/ssoins-instanceId"
ManagedPolicies:
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSBillingReadOnlyAccess"
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AWSSupportAccess"
- !Sub "arn:${AWS::Partition}:iam::aws:policy/job-function/ViewOnlyAccess"
Name: ProductionAccess
SessionDuration: PT2H
```