Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des identités et des accès pour Amazon VPC Lattice
Les sections suivantes décrivent comment vous pouvez utiliser Gestion des identités et des accès AWS (IAM) pour sécuriser vos ressources VPC Lattice, en contrôlant qui peut effectuer les actions de l'API VPC Lattice.
**Topics**
+ [Comment Amazon VPC Lattice fonctionne avec IAM](security_iam_service-with-iam.md)
+ [Autorisations relatives à l'API Amazon VPC Lattice](additional-api-permissions.md)
+ [Politiques basées sur l'identité pour Amazon VPC Lattice](security_iam_id-based-policies.md)
+ [Utilisation de rôles liés à un service pour Amazon VPC Lattice](using-service-linked-roles.md)
+ [AWS politiques gérées pour Amazon VPC Lattice](managed-policies.md)
# Comment Amazon VPC Lattice fonctionne avec IAM
Avant d'utiliser IAM pour gérer l'accès à VPC Lattice, découvrez quelles fonctionnalités IAM peuvent être utilisées avec VPC Lattice.
| Fonctionnalité IAM | Support en VPC Lattice |
| --- | --- |
| [Politiques basées sur l’identité](#security_iam_service-with-iam-id-based-policies) | Oui |
| [Politiques basées sur les ressources](#security_iam_service-with-iam-resource-based-policies) | Oui |
| [Actions de politique](#security_iam_service-with-iam-id-based-policies-actions) | Oui |
| [Ressources de politique](#security_iam_service-with-iam-id-based-policies-resources) | Oui |
| [Clés de condition de politique](#security_iam_service-with-iam-id-based-policies-conditionkeys) | Oui |
| [ACLs](#security_iam_service-with-iam-acls) | Non |
| [ABAC (étiquettes dans les politiques)](#security_iam_service-with-iam-tags) | Oui |
| [Informations d’identification temporaires](#security_iam_service-with-iam-roles-tempcreds) | Oui |
| [Rôles du service](#security_iam_service-with-iam-roles-service) | Non |
| [Rôles liés à un service](#security_iam_service-with-iam-roles-service-linked) | Oui |
*Pour obtenir une vue d'ensemble de la façon dont VPC Lattice et les autres AWS services fonctionnent avec la plupart des fonctionnalités IAM, consultez la section [AWS Services compatibles avec IAM dans le guide de l'utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).*
## Politiques basées sur l'identité pour VPC Lattice
**Prend en charge les politiques basées sur l’identité :** oui
Les politiques basées sur l’identité sont des documents de politique d’autorisations JSON que vous pouvez attacher à une identité telle qu’un utilisateur, un groupe d’utilisateurs ou un rôle IAM. Ces politiques contrôlent quel type d’actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) dans le *Guide de l’utilisateur IAM*.
Avec les politiques IAM basées sur l’identité, vous pouvez spécifier des actions et ressources autorisées ou refusées, ainsi que les conditions dans lesquelles les actions sont autorisées ou refusées. Pour découvrir tous les éléments que vous utilisez dans une politique JSON, consultez [Références des éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) dans le *Guide de l’utilisateur IAM*.
## Politiques basées sur les ressources au sein de VPC Lattice
**Prend en charge les politiques basées sur les ressources** : oui
Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource dans lesquels vous les associez. AWS Dans les AWS services qui prennent en charge les politiques basées sur les ressources, les administrateurs de services peuvent les utiliser pour contrôler l'accès à une ressource spécifique de ce AWS service. Pour la ressource dans laquelle se trouve la politique, cette dernière définit quel type d’actions un principal spécifié peut effectuer sur cette ressource et dans quelles conditions. Vous devez spécifier un principal dans une politique basée sur les ressources.
VPC Lattice prend en charge les *politiques d'authentification*, une politique basée sur les ressources qui vous permet de contrôler l'accès aux services de votre réseau de services. Pour de plus amples informations, veuillez consulter [Contrôlez l'accès aux services VPC Lattice à l'aide de politiques d'authentification](auth-policies.md).
VPC Lattice prend également en charge les politiques d'autorisation basées sur les ressources pour l'intégration avec. AWS Resource Access Manager Vous pouvez utiliser ces politiques basées sur les ressources pour autoriser la gestion de la connectivité à d'autres AWS comptes ou organisations pour les services, les configurations de ressources et les réseaux de services. Pour de plus amples informations, veuillez consulter [Partage de vos entités VPC Lattice](sharing.md).
## Actions politiques pour VPC Lattice
**Prend en charge les actions de politique :** oui
Dans une déclaration de politique IAM, vous pouvez spécifier une action d’API à partir de n’importe quel service prenant en charge IAM. Pour VPC Lattice, utilisez le préfixe suivant avec le nom de l'action d'API : `vpc-lattice:` Par exemple : `vpc-lattice:CreateService`, `vpc-lattice:CreateTargetGroup` et `vpc-lattice:PutAuthPolicy`.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules, comme suit :
```
"Action": [ "vpc-lattice:action1", "vpc-lattice:action2" ]
```
Vous pouvez aussi spécifier plusieurs actions à l’aide de caractères génériques. Par exemple, vous pouvez spécifier toutes les actions dont le nom commence par `Get`, comme suit :
```
"Action": "vpc-lattice:Get*"
```
*Pour obtenir la liste complète des actions de l'API VPC Lattice, consultez la section Actions définies [par Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-actions-as-permissions) dans le Service Authorization Reference.*
## Ressources relatives aux politiques pour VPC Lattice
**Prend en charge les ressources de politique :** oui
Dans une instruction de politiqe IAM, l'élément `Resource` spécifie l'objet ou les objets couverts par l'instruction. Pour VPC Lattice, chaque déclaration de politique IAM s'applique aux ressources que vous spécifiez à l'aide de leur. ARNs
Le format Amazon Resource Name (ARN) spécifique dépend de la ressource. Lorsque vous fournissez un ARN, remplacez le *italicized* texte par les informations spécifiques à votre ressource.
+ **Abonnements aux journaux d'accès :**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:accesslogsubscription/access-log-subscription-id"
```
+ **Auditeurs :**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id"
```
+ **Passerelles de ressources**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourcegateway/resource-gateway-id"
```
+ **Configuration des ressources**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:resourceconfiguration/resource-configuration-id"
```
+ **Règles :**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id/listener/listener-id/rule/rule-id"
```
+ **Services :**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:service/service-id"
```
+ **Réseaux de services :**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetwork/service-network-id"
```
+ **Associations de services du réseau de services :**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkserviceassociation/service-network-service-association-id"
```
+ **Associations de configuration des ressources du réseau de services**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkresourceassociation/service-network-resource-association-id"
```
+ **Associations VPC du réseau de services :**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:servicenetworkvpcassociation/service-network-vpc-association-id"
```
+ **Groupes cibles :**
```
"Resource": "arn:aws:vpc-lattice:region:account-id:targetgroup/target-group-id"
```
## Clés de condition de politique pour VPC Lattice
**Prend en charge les clés de condition de politique spécifiques au service :** oui
Les administrateurs peuvent utiliser les politiques AWS JSON pour spécifier qui a accès à quoi. C’est-à-dire, quel **principal** peut effectuer **des actions** sur quelles **ressources** et dans quelles **conditions**.
L’élément `Condition` indique à quel moment les instructions s’exécutent en fonction de critères définis. Vous pouvez créer des expressions conditionnelles qui utilisent des [opérateurs de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html), tels que les signes égal ou inférieur à, pour faire correspondre la condition de la politique aux valeurs de la demande. Pour voir toutes les clés de condition AWS globales, voir les clés de [contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
*Pour consulter la liste des clés de condition VPC Lattice, consultez la section Clés de [condition pour Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html#amazonvpclattice-policy-keys) dans la référence d'autorisation de service.*
AWS prend en charge les clés de condition globales et les clés de condition spécifiques au service. Pour plus d'informations sur les clés de condition AWS globales, voir les [clés de contexte de condition AWS globales](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) dans le *guide de l'utilisateur IAM*.
## Listes de contrôle d'accès (ACLs) dans VPC Lattice
**Supports ACLs :** Non
Les listes de contrôle d'accès (ACLs) contrôlent les principaux (membres du compte, utilisateurs ou rôles) autorisés à accéder à une ressource. ACLs sont similaires aux politiques basées sur les ressources, bien qu'elles n'utilisent pas le format de document de politique JSON.
## Contrôle d'accès basé sur les attributs (ABAC) avec VPC Lattice
**Prise en charge d’ABAC (balises dans les politiques) :** Oui
Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit les autorisations en fonction des attributs appelés balises. Vous pouvez associer des balises aux entités et aux AWS ressources IAM, puis concevoir des politiques ABAC pour autoriser les opérations lorsque la balise du principal correspond à la balise de la ressource.
Pour contrôler l’accès basé sur des étiquettes, vous devez fournir les informations d’étiquette dans l’[élément de condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) d’une politique utilisant les clés de condition `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` ou `aws:TagKeys`.
Si un service prend en charge les trois clés de condition pour tous les types de ressources, alors la valeur pour ce service est **Oui**. Si un service prend en charge les trois clés de condition pour certains types de ressources uniquement, la valeur est **Partielle**.
Pour plus d’informations sur ABAC, consultez [Définition d’autorisations avec l’autorisation ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*. Pour accéder à un didacticiel décrivant les étapes de configuration de l’ABAC, consultez [Utilisation du contrôle d’accès par attributs (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation d'informations d'identification temporaires avec VPC Lattice
**Prend en charge les informations d’identification temporaires :** oui
Les informations d'identification temporaires fournissent un accès à court terme aux AWS ressources et sont automatiquement créées lorsque vous utilisez la fédération ou que vous changez de rôle. AWS recommande de générer dynamiquement des informations d'identification temporaires au lieu d'utiliser des clés d'accès à long terme. Pour plus d’informations, consultez [Informations d’identification de sécurité temporaires dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) et [Services AWS compatibles avec IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) dans le *Guide de l’utilisateur IAM*.
## Rôles de service pour VPC Lattice
**Prend en charge les rôles de service :** Non
Un rôle de service est un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d’informations, consultez [Création d’un rôle pour la délégation d’autorisations à un Service AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l’utilisateur IAM*.
**Avertissement**
La modification des autorisations pour un rôle de service peut interrompre les fonctionnalités de VPC Lattice. Modifiez les rôles de service uniquement lorsque VPC Lattice fournit des instructions à cet effet.
## Rôles liés à un service pour VPC Lattice
**Prend en charge les rôles liés à un service :** oui
Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
Pour plus d'informations sur la création ou la gestion de rôles liés à un service VPC Lattice, consultez. [Utilisation de rôles liés à un service pour Amazon VPC Lattice](using-service-linked-roles.md)
# Autorisations relatives à l'API Amazon VPC Lattice
Vous devez accorder aux identités IAM (telles que les utilisateurs ou les rôles) l'autorisation d'appeler les actions d'API VPC Lattice dont elles ont besoin, comme décrit dans. [Actions politiques pour VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-actions) En outre, pour certaines actions VPC Lattice, vous devez autoriser les identités IAM à appeler des actions spécifiques depuis d'autres. AWS APIs
## Autorisations requises pour l'API
Lorsque vous appelez les actions suivantes depuis l'API, vous devez autoriser les utilisateurs IAM à appeler les actions spécifiées.
`CreateResourceConfiguration`
+ `vpc-lattice:CreateResourceConfiguration`
+ `ec2:DescribeSubnets`
+ `rds:DescribeDBInstances`
+ `rds:DescribeDBClusters`
`CreateResourceGateway`
+ `vpc-lattice:CreateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
`DeleteResourceGateway`
+ `vpc-lattice:DeleteResourceGateway`
+ `ec2:DeleteNetworkInterface`
`UpdateResourceGateway`
+ `vpc-lattice:UpdateResourceGateway`
+ `ec2:AssignPrivateIpAddresses`
+ `ec2:AssignIpv6Addresses`
+ `ec2:UnassignPrivateIpAddresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DeleteNetworkInterface`
+ `ec2:DescribeNetworkInterfaces`
+ `ec2:DescribeSecurityGroups`
+ `ec2:DescribeSubnets`
+ `ec2:ModifyNetworkInterfaceAttribute`
`CreateServiceNetworkResourceAssociation`
+ `vpc-lattice:CreateServiceNetworkResourceAssociation`
+ `ec2:AssignIpv6Addresses`
+ `ec2:CreateNetworkInterface`
+ `ec2:CreateNetworkInterfacePermission`
+ `ec2:DescribeNetworkInterfaces`
`CreateServiceNetworkVpcAssociation`
+ `vpc-lattice:CreateServiceNetworkVpcAssociation`
+ `ec2:DescribeVpcs`
+ `ec2:DescribeSecurityGroups`(Nécessaire uniquement lorsque des groupes de sécurité sont fournis)
`UpdateServiceNetworkVpcAssociation`
+ `vpc-lattice:UpdateServiceNetworkVpcAssociation`
+ `ec2:DescribeSecurityGroups`(Nécessaire uniquement lorsque des groupes de sécurité sont fournis)
`CreateTargetGroup`
+ `vpc-lattice:CreateTargetGroup`
+ `ec2:DescribeVpcs`
`RegisterTargets`
+ `vpc-lattice:RegisterTargets`
+ `ec2:DescribeInstances`(Nécessaire uniquement lorsqu'il `INSTANCE` s'agit du type de groupe cible)
+ `ec2:DescribeVpcs`(Nécessaire uniquement lorsque `INSTANCE` ou `IP` selon le type de groupe cible)
+ `ec2:DescribeSubnets`(Nécessaire uniquement lorsque `INSTANCE` ou `IP` selon le type de groupe cible)
+ `lambda:GetFunction`(Nécessaire uniquement lorsqu'il `LAMBDA` s'agit du type de groupe cible)
+ `lambda:AddPermission`(Nécessaire uniquement si le groupe cible n'est pas déjà autorisé à invoquer la fonction Lambda spécifiée)
`DeregisterTargets`
+ `vpc-lattice:DeregisterTargets`
`CreateAccessLogSubscription`
+ `vpc-lattice:CreateAccessLogSubscription`
+ `logs:GetLogDelivery`
+ `logs:CreateLogDelivery`
`DeleteAccessLogSubscription`
+ `vpc-lattice:DeleteAccessLogSubscription`
+ `logs:DeleteLogDelivery`
`UpdateAccessLogSubscription`
+ `vpc-lattice:UpdateAccessLogSubscription`
+ `logs:UpdateLogDelivery`
# Politiques basées sur l'identité pour Amazon VPC Lattice
Par défaut, les utilisateurs et les rôles ne sont pas autorisés à créer ou à modifier des ressources VPC Lattice. Pour octroyer aux utilisateurs des autorisations d’effectuer des actions sur les ressources dont ils ont besoin, un administrateur IAM peut créer des politiques IAM.
Pour apprendre à créer une politique basée sur l’identité IAM à l’aide de ces exemples de documents de politique JSON, consultez [Création de politiques IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) dans le *Guide de l’utilisateur IAM*.
*Pour plus de détails sur les actions et les types de ressources définis par VPC Lattice, y compris le format du ARNs pour chacun des types de ressources, consultez la section [Actions, ressources et clés de condition pour Amazon VPC Lattice](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonvpclattice.html) dans la référence d'autorisation de service.*
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Autorisations supplémentaires requises pour un accès complet](#security_iam_id-based-policy-additional-permissions)
+ [Exemples de politiques basées sur l'identité pour VPC Lattice](#security_iam_id-based-policy-examples)
## Bonnes pratiques en matière de politiques
Les politiques basées sur l'identité déterminent si quelqu'un peut créer, accéder ou supprimer des ressources VPC Lattice dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Autorisations supplémentaires requises pour un accès complet
Pour utiliser les autres AWS services auxquels VPC Lattice est intégré et l'ensemble des fonctionnalités de VPC Lattice, vous devez disposer d'autorisations supplémentaires spécifiques. Ces autorisations ne sont pas incluses dans la politique `VPCLatticeFullAccess` gérée en raison du risque d'augmentation [confuse des privilèges des adjoints](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html).
Vous devez associer la politique suivante à votre rôle et l'utiliser avec la stratégie `VPCLatticeFullAccess` gérée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"firehose:TagDeliveryStream",
"lambda:AddPermission",
"s3:PutBucketPolicy"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:PutResourcePolicy"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"aws:CalledVia": [
"vpc-lattice.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice"
},
{
"Effect": "Allow",
"Action": [
"iam:AttachRolePolicy",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*"
}
]
}
```
------
Cette politique fournit les autorisations supplémentaires suivantes :
+ `iam:AttachRolePolicy`: vous permet d'associer la politique gérée spécifiée au rôle IAM spécifié.
+ `iam:PutRolePolicy`: vous permet d'ajouter ou de mettre à jour un document de politique intégré au rôle IAM spécifié.
+ `s3:PutBucketPolicy`: vous permet d'appliquer une politique de compartiment à un compartiment Amazon S3.
+ `firehose:TagDeliveryStream`: vous permet d'ajouter ou de mettre à jour des balises pour les flux de diffusion Firehose.
## Exemples de politiques basées sur l'identité pour VPC Lattice
**Topics**
+ [Exemple de politique : gestion des associations de VPC avec un réseau de services](#security_iam_id-based-policy-examples-vpc-to-service-network-association)
+ [Exemple de politique : créer des associations de services avec un réseau de services](#security_iam_id-based-policy-examples-service-to-service-network-association)
+ [Exemple de politique : ajout de balises aux ressources](#security_iam_id-based-policy-examples-tag-resources)
+ [Exemple de politique : créer un rôle lié à un service](#security_iam_id-based-policy-examples-service-linked-role)
### Exemple de politique : gestion des associations de VPC avec un réseau de services
L'exemple suivant illustre une stratégie qui donne aux utilisateurs dotés de cette stratégie l'autorisation de créer, de mettre à jour et de supprimer les associations de VPC à un réseau de service, mais uniquement pour le VPC et le réseau de service spécifiés dans la condition. Pour plus d'informations sur la spécification des clés de condition, consultez [Clés de condition de politique pour VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-conditionkeys).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkVpcAssociation",
"vpc-lattice:UpdateServiceNetworkVpcAssociation",
"vpc-lattice:DeleteServiceNetworkVpcAssociation"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"vpc-lattice:ServiceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example",
"vpc-lattice:VpcId": "vpc-1a2b3c4d"
}
}
}
]
}
```
------
### Exemple de politique : créer des associations de services avec un réseau de services
Si vous n'utilisez pas de clés de condition pour contrôler l'accès aux ressources VPC Lattice, vous pouvez plutôt spécifier les ressources ARNs de l'`Resource`élément pour contrôler l'accès.
L'exemple suivant illustre une politique qui limite les associations de services à un réseau de services que les utilisateurs utilisant cette stratégie peuvent créer en spécifiant le service et le réseau ARNs de services qui peuvent être utilisés avec l'action d'`CreateServiceNetworkServiceAssociation`API. Pour plus d'informations sur la spécification des valeurs ARN, consultez[Ressources relatives aux politiques pour VPC Lattice](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies-resources).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:CreateServiceNetworkServiceAssociation"
],
"Resource": [
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetworkserviceassociation/*",
"arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-04d5cc9b88example",
"arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example"
]
}
]
}
```
------
### Exemple de politique : ajout de balises aux ressources
L'exemple suivant illustre une politique qui autorise les utilisateurs dotés de cette politique à créer des balises sur les ressources VPC Lattice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc-lattice:TagResource"
],
"Resource": "arn:aws:vpc-lattice:us-west-2:123456789012:*/*"
}
]
}
```
------
### Exemple de politique : créer un rôle lié à un service
VPC Lattice a besoin d'autorisations pour créer un rôle lié à un service la première fois qu'un de vos utilisateurs crée Compte AWS des ressources VPC Lattice. Si le rôle lié au service n'existe pas déjà, VPC Lattice le crée dans votre compte. Le rôle lié au service donne des autorisations à VPC Lattice afin qu'il puisse appeler d'autres personnes en votre nom. Services AWS Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Amazon VPC Lattice](using-service-linked-roles.md).
Pour que cette création de rôle automatique aboutisse, les utilisateurs doivent disposer des autorisations nécessaires pour l'action `iam:CreateServiceLinkedRole`.
```
"Action": "iam:CreateServiceLinkedRole"
```
L'exemple suivant illustre une politique qui autorise les utilisateurs dotés de cette politique à créer un rôle lié à un service pour VPC Lattice.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice",
"Condition": {
"StringLike": {
"iam:AWSServiceName":"vpc-lattice.amazonaws.com"
}
}
}
]
}
```
------
Pour plus d’informations, consultez [Autorisations de rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) dans le *Guide de l’utilisateur IAM*.
# Utilisation de rôles liés à un service pour Amazon VPC Lattice
Amazon VPC Lattice utilise un rôle lié à un service pour les autorisations dont il a besoin pour appeler d'autres personnes en votre nom. Services AWS Pour plus d’informations, consultez la section [Rôles liés à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html) dans le *Guide de l’utilisateur IAM*.
VPC Lattice utilise le rôle lié au service nommé. AWSServiceRoleForVpcLattice
## Autorisations de rôle liées à un service pour VPC Lattice
Le rôle lié à un service **AWSServiceRoleForVpcLattice** approuve le fait que le service suivant endosse le rôle :
+ `vpc-lattice.amazonaws.com`
La politique d'autorisation de rôle nommée AWSVpcLatticeServiceRolePolicy permet à VPC Lattice de publier des CloudWatch métriques dans l'espace de noms. `AWS/VpcLattice` Pour plus d'informations, reportez-vous [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html)à la section *AWS Managed Policy Reference*.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour de plus amples informations, veuillez consulter [Exemple de politique : créer un rôle lié à un service](security_iam_id-based-policies.md#security_iam_id-based-policy-examples-service-linked-role).
## Création d'un rôle lié à un service pour VPC Lattice
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez des ressources VPC Lattice dans l'API AWS Management Console, le ou l'API AWS CLI AWS , VPC Lattice crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez des ressources VPC Lattice, VPC Lattice crée à nouveau le rôle lié au service pour vous.
## Modifier un rôle lié à un service pour VPC Lattice
Vous pouvez modifier la description de l'**AWSServiceRoleForVpcLattice**utilisation d'IAM. Pour plus d’informations, consultez la section [Modification d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console) dans le *Guide de l’utilisateur IAM*.
## Supprimer un rôle lié à un service pour VPC Lattice
Si vous n'avez plus besoin d'utiliser Amazon VPC Lattice, nous vous recommandons de le supprimer. **AWSServiceRoleForVpcLattice**
Vous ne pouvez supprimer ce rôle lié à un service qu'après avoir supprimé toutes les ressources VPC Lattice de votre. Compte AWS
Utilisez la console IAM AWS CLI, le ou l' AWS API pour supprimer le rôle lié au **AWSServiceRoleForVpcLattice**service. Pour plus d’informations, consultez la section [Suppression d’un rôle lié à un service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr) dans le *Guide de l’utilisateur IAM*.
Après avoir supprimé un rôle lié à un service, VPC Lattice le crée à nouveau lorsque vous créez des ressources VPC Lattice dans votre. Compte AWS
## Régions prises en charge pour les rôles liés au service VPC Lattice
VPC Lattice prend en charge l'utilisation de rôles liés au service dans toutes les régions où le service est disponible.
# AWS politiques gérées pour Amazon VPC Lattice
Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.
N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont propres à vos cas d’utilisation.
Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.
Pour plus d’informations, consultez [Politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de l’utilisateur IAM*.
## AWS politique gérée : VPCLattice FullAccess
Cette politique fournit un accès complet à Amazon VPC Lattice et un accès limité aux autres services dépendants. Il inclut les autorisations permettant d'effectuer les opérations suivantes :
+ ACM — Récupérez l'ARN du SSL/TLS certificat pour les noms de domaine personnalisés.
+ CloudWatch — Afficher les journaux d'accès et les données de surveillance.
+ CloudWatch Journaux — Configurez et envoyez des journaux d'accès à CloudWatch Logs.
+ Amazon EC2 — Configurez les interfaces réseau et récupérez des informations sur les instances EC2 et. VPCs Ceci est utilisé pour créer des configurations de ressources, des passerelles de ressources et des groupes cibles, configurer des associations d'entités VPC Lattice et enregistrer des cibles.
+ Elastic Load Balancing : récupérez des informations sur un Application Load Balancer pour l'enregistrer en tant que cible.
+ Firehose — Récupérez des informations sur les flux de diffusion utilisés pour stocker les journaux d'accès.
+ Lambda — Récupérez des informations sur une fonction Lambda pour l'enregistrer en tant que cible.
+ Amazon RDS — Récupérez des informations sur les clusters et les instances RDS.
+ Amazon S3 — Récupérez des informations sur les compartiments S3 utilisés pour stocker les journaux d'accès.
Pour voir les autorisations de cette stratégie, consultez [VPCLatticeFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeFullAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
Pour utiliser les autres AWS services auxquels VPC Lattice est intégré et l'ensemble des fonctionnalités de VPC Lattice, vous devez disposer d'autorisations supplémentaires spécifiques. Ces autorisations ne sont pas incluses dans la politique `VPCLatticeFullAccess` gérée en raison du risque d'augmentation [confuse des privilèges des adjoints](https://docs.aws.amazon.com//IAM/latest/UserGuide/confused-deputy.html). Pour de plus amples informations, veuillez consulter [Autorisations supplémentaires requises pour un accès complet](security_iam_id-based-policies.md#security_iam_id-based-policy-additional-permissions).
## AWS politique gérée : VPCLattice ReadOnlyAccess
Cette politique fournit un accès en lecture seule à Amazon VPC Lattice et un accès limité aux autres services dépendants. Il inclut les autorisations permettant d'effectuer les opérations suivantes :
+ ACM — Récupérez l'ARN du SSL/TLS certificat pour les noms de domaine personnalisés.
+ CloudWatch — Afficher les journaux d'accès et les données de surveillance.
+ CloudWatch Journaux : affichez les informations de livraison des journaux pour les abonnements aux journaux d'accès.
+ Amazon EC2 — Récupérez des informations sur les instances EC2, créez des groupes cibles et VPCs enregistrez des cibles.
+ Elastic Load Balancing — Récupérez des informations sur un Application Load Balancer.
+ Firehose — Récupérez des informations sur les flux de diffusion pour la livraison des journaux d'accès.
+ Lambda : affiche les informations relatives à une fonction Lambda.
+ Amazon RDS — Récupérez des informations sur les clusters et les instances RDS.
+ Amazon S3 — Récupérez des informations sur les compartiments S3 pour la livraison des journaux d'accès.
Pour voir les autorisations de cette stratégie, consultez [VPCLatticeReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeReadOnlyAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## AWS politique gérée : VPCLattice ServicesInvokeAccess
Cette politique permet d'invoquer les services Amazon VPC Lattice.
Pour voir les autorisations de cette stratégie, consultez [VPCLatticeServicesInvokeAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/VPCLatticeServicesInvokeAccess.html) dans le *AWS Guide de référence des stratégies gérées par*.
## AWS politique gérée : AWSVpc LatticeServiceRolePolicy
Cette politique est associée à un rôle lié à un service nommé **AWSServiceRoleForVpcLattice**pour permettre à VPC Lattice d'effectuer des actions en votre nom. Vous ne pouvez pas attacher cette politique à vos entités IAM. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Amazon VPC Lattice](using-service-linked-roles.md).
Pour voir les autorisations de cette stratégie, consultez [AWSVpcLatticeServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVpcLatticeServiceRolePolicy.html) dans le *AWS Guide de référence des stratégies gérées par*.
## Mises à jour des politiques gérées par VPC Lattice AWS
Consultez les détails des mises à jour des politiques AWS gérées pour VPC Lattice depuis que ce service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au flux RSS du guide de l'utilisateur du VPC Lattice.
| Modifier | Description | Date |
| --- | --- | --- |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice ajoute des autorisations en lecture seule pour décrire les clusters et les instances Amazon RDS. | 1er décembre 2024 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice ajoute des autorisations en lecture seule pour décrire les clusters et les instances Amazon RDS. | 1er décembre 2024 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice ajoute des autorisations pour permettre à VPC Lattice de créer une interface réseau gérée par le demandeur. | 1er décembre 2024 |
| [VPCLatticeFullAccess](#vpc-lattice-fullaccess-policy) | VPC Lattice ajoute une nouvelle politique visant à accorder des autorisations pour un accès complet à Amazon VPC Lattice et un accès limité à d'autres services dépendants. | 31 mars 2023 |
| [VPCLatticeReadOnlyAccess](#vpc-lattice-read-onlyaccess-policy) | VPC Lattice ajoute une nouvelle politique pour accorder des autorisations d'accès en lecture seule à Amazon VPC Lattice et un accès limité à d'autres services dépendants. | 31 mars 2023 |
| [VPCLatticeServicesInvokeAccess](#vpc-lattice-services-invoke-access-policy) | VPC Lattice ajoute une nouvelle politique permettant d'autoriser l'accès aux services Amazon VPC Lattice pour invoquer les services Amazon VPC Lattice. | 31 mars 2023 |
| [AWSVpcLatticeServiceRolePolicy](#service-linked-role-policy) | VPC Lattice ajoute des autorisations à son rôle lié au service pour permettre à VPC Lattice de publier des métriques dans l'espace de noms. CloudWatch AWS/VpcLattice La AWSVpcLatticeServiceRolePolicy politique inclut l'autorisation d'appeler l'action d' CloudWatch [PutMetricData](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_PutMetricData.html)API. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour Amazon VPC Lattice](using-service-linked-roles.md). | 5 décembre 2022 |
| VPC Lattice a commencé à suivre les modifications | VPC Lattice a commencé à suivre les modifications apportées à ses AWS politiques gérées. | 5 décembre 2022 |