Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Exemples de politiques basées sur l'identité pour AWS Telco Network Builder
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier des ressources AWS TNB. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
Pour plus de détails sur les actions et les types de ressources définis par AWS TNB, y compris le format de ARNs pour chacun des types de ressources, voir [Actions, ressources et clés de condition pour AWS Telco Network Builder](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awstelconetworkbuilder.html) dans la référence *d'autorisation de service*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la AWS console TNB](#security_iam_id-based-policy-examples-console)
+ [Exemples de politiques relatives aux rôles de service](#service-role-policy-examples)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources AWS TNB dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la AWS console TNB
Pour accéder à la console AWS Telco Network Builder, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les détails des ressources AWS TNB de votre Compte AWS. Si vous créez une politique basée sur l’identité qui est plus restrictive que l’ensemble minimum d’autorisations requis, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs ou rôles) tributaires de cette politique.
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API qu’ils tentent d’effectuer.
## Exemples de politiques relatives aux rôles de service
En tant qu'administrateur, vous possédez et gérez les ressources créées par AWS TNB, telles que définies par les modèles d'environnement et de service. Vous devez associer des rôles de service IAM à votre compte pour permettre à AWS TNB de créer des ressources pour la gestion du cycle de vie de votre réseau.
Un rôle de service IAM permet à AWS TNB de passer des appels aux ressources en votre nom afin d'instancier et de gérer vos réseaux. Si vous spécifiez un rôle de service, AWS TNB utilise les informations d'identification de ce rôle.
Le rôle de service et sa politique d'autorisation sont créés à partir du service IAM. Pour plus d'informations sur la création d'un rôle de service, consultez la section [Création d'un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l'utilisateur IAM*.
### AWS Rôle de service TNB
En tant que membre de l'équipe de la plateforme, vous pouvez, en tant qu'administrateur, créer un rôle de service AWS TNB et le fournir à AWS TNB. Ce rôle permet à AWS TNB de passer des appels vers d'autres services tels qu'Amazon Elastic Kubernetes CloudFormation Service, de fournir l'infrastructure requise pour votre réseau et de fournir des fonctions réseau telles que définies dans votre NSD.
Nous vous recommandons d'utiliser le rôle IAM et la politique de confiance suivants pour votre rôle de service AWS TNB. Lorsque vous délimitez les autorisations relatives à cette politique, gardez à l'esprit que AWS TNB peut échouer en cas d'erreurs d'accès refusé vers des ressources exclues de votre politique.
Le code suivant illustre une politique de rôle de service AWS TNB :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"sts:GetCallerIdentity"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AssumeRole"
},
{
"Action": [
"tnb:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "TNBPolicy"
},
{
"Action": [
"iam:AddRoleToInstanceProfile",
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetInstanceProfile",
"iam:RemoveRoleFromInstanceProfile",
"iam:TagInstanceProfile",
"iam:UntagInstanceProfile"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "IAMPolicy"
},
{
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"eks.amazonaws.com",
"eks-nodegroup.amazonaws.com"
]
}
},
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "TNBAccessSLRPermissions"
},
{
"Action": [
"autoscaling:CreateAutoScalingGroup",
"autoscaling:CreateOrUpdateTags",
"autoscaling:DeleteAutoScalingGroup",
"autoscaling:DeleteTags",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeScalingActivities",
"autoscaling:DescribeTags",
"autoscaling:UpdateAutoScalingGroup",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:CreateSecurityGroup",
"ec2:DeleteLaunchTemplateVersions",
"ec2:DescribeLaunchTemplates",
"ec2:DescribeLaunchTemplateVersions",
"ec2:DeleteLaunchTemplate",
"ec2:DeleteSecurityGroup",
"ec2:DescribeSecurityGroups",
"ec2:DescribeTags",
"ec2:GetLaunchTemplateData",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress",
"ec2:RunInstances",
"ec2:AssociateRouteTable",
"ec2:AttachInternetGateway",
"ec2:CreateInternetGateway",
"ec2:CreateNetworkInterface",
"ec2:CreateRoute",
"ec2:CreateRouteTable",
"ec2:CreateSubnet",
"ec2:CreateTags",
"ec2:CreateVpc",
"ec2:DeleteInternetGateway",
"ec2:DeleteNetworkInterface",
"ec2:DeleteRoute",
"ec2:DeleteRouteTable",
"ec2:DeleteSubnet",
"ec2:DeleteTags",
"ec2:DeleteVpc",
"ec2:DetachNetworkInterface",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroupRules",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"ec2:DetachInternetGateway",
"ec2:DisassociateRouteTable",
"ec2:ModifySecurityGroupRules",
"ec2:ModifySubnetAttribute",
"ec2:ModifyVpcAttribute",
"ec2:AllocateAddress",
"ec2:AssignIpv6Addresses",
"ec2:AssociateAddress",
"ec2:AssociateNatGatewayAddress",
"ec2:AssociateVpcCidrBlock",
"ec2:CreateEgressOnlyInternetGateway",
"ec2:CreateNatGateway",
"ec2:DeleteEgressOnlyInternetGateway",
"ec2:DeleteNatGateway",
"ec2:DescribeAddresses",
"ec2:DescribeEgressOnlyInternetGateways",
"ec2:DescribeNatGateways",
"ec2:DisassociateAddress",
"ec2:DisassociateNatGatewayAddress",
"ec2:DisassociateVpcCidrBlock",
"ec2:ReleaseAddress",
"ec2:UnassignIpv6Addresses",
"ec2:DescribeImages",
"eks:CreateCluster",
"eks:ListClusters",
"eks:RegisterCluster",
"eks:TagResource",
"eks:DescribeAddonVersions",
"events:DescribeRule",
"iam:GetRole",
"iam:ListAttachedRolePolicies"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "TNBAccessComputePerms"
},
{
"Resource": "*",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"ec2.amazonaws.com",
"eks.amazonaws.com",
"eks-nodegroup.amazonaws.com",
"events.amazonaws.com",
"autoscaling.amazonaws.com",
"codebuild.amazonaws.com"
]
}
}
},
{
"Action": [
"codebuild:BatchDeleteBuilds",
"codebuild:BatchGetBuilds",
"codebuild:CreateProject",
"codebuild:DeleteProject",
"codebuild:ListBuildsForProject",
"codebuild:StartBuild",
"codebuild:StopBuild",
"events:DeleteRule",
"events:PutRule",
"events:PutTargets",
"events:RemoveTargets",
"s3:CreateBucket",
"s3:GetBucketAcl",
"s3:GetObject",
"eks:DescribeNodegroup",
"eks:DeleteNodegroup",
"eks:AssociateIdentityProviderConfig",
"eks:CreateNodegroup",
"eks:DeleteCluster",
"eks:DeregisterCluster",
"eks:UpdateAddon",
"eks:UpdateClusterVersion",
"eks:UpdateNodegroupConfig",
"eks:UpdateNodegroupVersion",
"eks:DescribeUpdate",
"eks:UntagResource",
"eks:DescribeCluster",
"eks:ListNodegroups",
"eks:CreateAddon",
"eks:DeleteAddon",
"eks:DescribeAddon",
"eks:DescribeAddonVersions",
"s3:PutObject",
"cloudformation:CreateStack",
"cloudformation:DeleteStack",
"cloudformation:DescribeStackResources",
"cloudformation:DescribeStacks",
"cloudformation:ListStackResources",
"cloudformation:UpdateStack",
"cloudformation:UpdateTerminationProtection",
"ssm:PutParameter",
"ssm:GetParameters",
"ssm:GetParameter",
"ssm:DeleteParameter",
"ssm:AddTagsToResource",
"ssm:ListTagsForResource",
"ssm:RemoveTagsFromResource"
],
"Resource": [
"arn:aws:events:*:*:rule/tnb*",
"arn:aws:codebuild:*:*:project/tnb*",
"arn:aws:logs:*:*:log-group:/aws/tnb*",
"arn:aws:s3:::tnb*",
"arn:aws:eks:*:*:addon/tnb*/*/*",
"arn:aws:eks:*:*:cluster/tnb*",
"arn:aws:eks:*:*:nodegroup/tnb*/tnb*/*",
"arn:aws:cloudformation:*:*:stack/tnb*",
"arn:aws:ssm:*:*:parameter/tnb/*"
],
"Effect": "Allow",
"Sid": "TNBAccessInfraResourcePerms"
},
{
"Sid": "CFNTemplatePerms",
"Effect": "Allow",
"Action": [
"cloudformation:GetTemplateSummary"
],
"Resource": "*"
},
{
"Sid": "ImageAMISSMPerms",
"Effect": "Allow",
"Action": [
"ssm:GetParameters"
],
"Resource": [
"arn:aws:ssm:*::parameter/aws/service/eks/optimized-ami/*",
"arn:aws:ssm:*::parameter/aws/service/bottlerocket/*"
]
},
{
"Action": [
"tag:GetResources"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "TaggingPolicy"
},
{
"Action": [
"outposts:GetOutpost"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "OutpostPolicy"
}
]
}
```
------
Le code suivant illustre la politique de confiance du service AWS TNB :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "events.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "codebuild.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "eks.amazonaws.com"
},
"Action": "sts:AssumeRole"
},
{
"Effect": "Allow",
"Principal": {
"Service": "tnb.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
### AWS Rôle de service TNB pour le cluster Amazon EKS
Lorsque vous créez des ressources Amazon EKS dans votre NSD, vous fournissez l'`cluster_role`attribut permettant de spécifier le rôle qui sera utilisé pour créer votre cluster Amazon EKS.
L'exemple suivant montre un AWS CloudFormation modèle qui crée un rôle de service AWS TNB pour la politique de cluster Amazon EKS.
```
AWSTemplateFormatVersion: "2010-09-09"
Resources:
TNBEKSClusterRole:
Type: "AWS::IAM::Role"
Properties:
RoleName: "TNBEKSClusterRole"
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
Service:
- eks.amazonaws.com
Action:
- "sts:AssumeRole"
Path: /
ManagedPolicyArns:
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AmazonEKSClusterPolicy"
```
Pour plus d'informations sur les rôles IAM utilisant AWS CloudFormation un modèle, consultez les sections suivantes du *guide de l'AWS CloudFormation utilisateur* :
+ [AWS::IAM::Role](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html)
+ [Sélection d'un modèle de pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-console-create-stack-template.html)
### AWS Rôle de service TNB pour le groupe de nœuds Amazon EKS
Lorsque vous créez des ressources de groupe de nœuds Amazon EKS dans votre NSD, vous fournissez l'`node_role`attribut permettant de spécifier le rôle qui sera utilisé pour créer votre groupe de nœuds Amazon EKS.
L'exemple suivant montre un CloudFormation modèle qui crée un rôle de service AWS TNB pour la politique de groupe de nœuds Amazon EKS.
```
AWSTemplateFormatVersion: "2010-09-09"
Resources:
TNBEKSNodeRole:
Type: "AWS::IAM::Role"
Properties:
RoleName: "TNBEKSNodeRole"
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
Service:
- ec2.amazonaws.com
Action:
- "sts:AssumeRole"
Path: /
ManagedPolicyArns:
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AmazonEKSWorkerNodePolicy"
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AmazonEKS_CNI_Policy"
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AmazonEC2ContainerRegistryReadOnly"
- !Sub "arn:${AWS::Partition}:iam::aws:policy/service-role/AmazonEBSCSIDriverPolicy"
Policies:
- PolicyName: EKSNodeRoleInlinePolicy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- "logs:DescribeLogStreams"
- "logs:PutLogEvents"
- "logs:CreateLogGroup"
- "logs:CreateLogStream"
Resource: "arn:aws:logs:*:*:log-group:/aws/tnb/tnb*"
- PolicyName: EKSNodeRoleIpv6CNIPolicy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- "ec2:AssignIpv6Addresses"
Resource: "arn:aws:ec2:*:*:network-interface/*"
```
Pour plus d'informations sur les rôles IAM utilisant AWS CloudFormation un modèle, consultez les sections suivantes du *guide de l'AWS CloudFormation utilisateur* :
+ [AWS::IAM::Role](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html)
+ [Sélection d'un modèle de pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-console-create-stack-template.html)
### AWS Rôle de service TNB pour Multus
Lorsque vous créez une ressource Amazon EKS dans votre NSD et que vous souhaitez gérer Multus dans le cadre de votre modèle de déploiement, vous devez fournir l'`multus_role`attribut pour spécifier le rôle qui sera utilisé pour gérer Multus.
L'exemple suivant montre un CloudFormation modèle qui crée un rôle de service AWS TNB pour une politique Multus.
```
AWSTemplateFormatVersion: "2010-09-09"
Resources:
TNBMultusRole:
Type: "AWS::IAM::Role"
Properties:
RoleName: "TNBMultusRole"
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
Service:
- events.amazonaws.com
Action:
- "sts:AssumeRole"
- Effect: Allow
Principal:
Service:
- codebuild.amazonaws.com
Action:
- "sts:AssumeRole"
Path: /
Policies:
- PolicyName: MultusRoleInlinePolicy
PolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Action:
- "codebuild:StartBuild"
- "logs:DescribeLogStreams"
- "logs:PutLogEvents"
- "logs:CreateLogGroup"
- "logs:CreateLogStream"
Resource:
- "arn:aws:codebuild:*:*:project/tnb*"
- "arn:aws:logs:*:*:log-group:/aws/tnb/*"
- Effect: Allow
Action:
- "ec2:CreateNetworkInterface"
- "ec2:ModifyNetworkInterfaceAttribute"
- "ec2:AttachNetworkInterface"
- "ec2:DeleteNetworkInterface"
- "ec2:CreateTags"
- "ec2:DetachNetworkInterface"
Resource: "*"
```
Pour plus d'informations sur les rôles IAM utilisant AWS CloudFormation un modèle, consultez les sections suivantes du *guide de l'AWS CloudFormation utilisateur* :
+ [AWS::IAM::Role](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html)
+ [Sélection d'un modèle de pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-console-create-stack-template.html)
### AWS Rôle du service TNB dans le cadre d'une politique d'accrochage du cycle de vie
Lorsque votre NSD ou votre package de fonctions réseau utilise un hook de cycle de vie, vous avez besoin d'un rôle de service vous permettant de créer un environnement pour l'exécution de vos hooks de cycle de vie.
**Note**
Votre politique d'accrochage du cycle de vie doit être basée sur ce que tente de faire votre crochet du cycle de vie.
L'exemple suivant montre un CloudFormation modèle qui crée un rôle de service AWS TNB pour une politique d'accrochage du cycle de vie.
```
AWSTemplateFormatVersion: "2010-09-09"
Resources:
TNBHookRole:
Type: "AWS::IAM::Role"
Properties:
RoleName: "TNBHookRole"
AssumeRolePolicyDocument:
Version: "2012-10-17"
Statement:
- Effect: Allow
Principal:
Service:
- codebuild.amazonaws.com
Action:
- "sts:AssumeRole"
Path: /
ManagedPolicyArns:
- !Sub "arn:${AWS::Partition}:iam::aws:policy/AdministratorAccess"
```
Pour plus d'informations sur les rôles IAM utilisant AWS CloudFormation un modèle, consultez les sections suivantes du *guide de l'AWS CloudFormation utilisateur* :
+ [AWS::IAM::Role](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-iam-role.html)
+ [Sélection d'un modèle de pile](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-using-console-create-stack-template.html)
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```