Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Gestion des rôles d'usurpation d'identité
Avec les rôles d'usurpation d'identité, les administrateurs configurent l'accès par programmation aux boîtes aux lettres des utilisateurs sans saisir les informations d'identification de l'utilisateur. Les services et outils peuvent assumer un rôle d'usurpation d'identité pour effectuer des actions dans les boîtes aux lettres des utilisateurs. L'usurpation d'identité n'est prise en charge qu'avec le protocole EWS.
## Présentation des rôles d'usurpation d'identité
Pour autoriser l'emprunt d'identité, les administrateurs doivent créer un rôle d'usurpation d'identité doté des propriétés suivantes :
+ **Type de rôle** : choisissez **Accès complet** ou **Lecture seule**. Le type de rôle limite le type d'opérations qu'un rôle peut effectuer.
+ **Règles** : liste de règles qui définissent les utilisateurs que le rôle d'usurpation d'identité peut emprunter.
Amazon WorkMail évalue les règles selon les conditions suivantes :
+ Si une règle **DENY** correspond, la politique refuse l'usurpation d'identité. Les règles **DENY** ont priorité sur les règles **ALLOW**.
+ Si au moins une règle **ALLOW** correspond et qu'aucune règle **DENY** ne correspond, la politique autorise l'usurpation d'identité.
+ Si aucune règle ne s'applique, l'usurpation d'identité est refusée.
**Note**
Pour autoriser l'usurpation d'identité à tous les utilisateurs d'une WorkMail organisation Amazon, créez une règle avec l'effet **ALLOW** et sans conditions.
**Avertissement**
Vous devez créer des règles pour permettre à un rôle d'usurpation d'identité de se faire passer pour un utilisateur. Si vous ne spécifiez pas de règles, un rôle d'usurpation d'identité ne peut pas assumer les droits d'accès d'un utilisateur.
Une fois le rôle d'usurpation d'identité créé, vous pouvez l'utiliser pour accéder aux boîtes aux lettres des utilisateurs. Pour de plus amples informations, veuillez consulter [Utilisation de rôles d'usurpation d'identité](using-impersonation-roles.md).
## Considérations sur la sécurité
L'utilisation de rôles d'usurpation d'identité peut entraîner des problèmes de sécurité au sein de votre WorkMail organisation Amazon et. Compte AWS Voici certains des problèmes potentiels à prendre en compte lors de la création d'un rôle d'usurpation d'identité :
+ **Autorisations transitives** : si l'utilisateur A a accès à la boîte aux lettres de l'utilisateur B et qu'un rôle d'emprunt d'identité est autorisé à se faire passer pour l'utilisateur A, ce rôle d'usurpation d'identité peut se faire passer pour les autorisations d'accès de l'utilisateur A et accéder à la boîte aux lettres B de l'utilisateur.
+ **Contrôle d'accès** : vous pouvez utiliser des règles de contrôle d'accès pour limiter l'accès aux rôles d'usurpation d'identité. Pour de plus amples informations, veuillez consulter [Utilisation des règles de contrôle d'accès](access-rules.md).
+ **Politique IAM** — Vous pouvez attribuer une `AssumeImpersonationRole` action à une WorkMail organisation Amazon et un rôle d'usurpation d'identité spécifiques en utilisant cette condition. `workmail:ImpersonationRoleId` Pour voir un exemple de politique IAM, consultez[Comment Amazon WorkMail travaille avec IAM](security_iam_service-with-iam.md).
## Création de rôles d'usurpation d'identité
Vous pouvez créer des rôles d'usurpation d'identité depuis la console Amazon WorkMail .
**Pour créer un rôle d'usurpation d'identité**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région. Dans la barre de navigation, choisissez la région qui répond à vos besoins. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis choisissez le nom de l'organisation.
1. Choisissez **Rôles d'usurpation d'identité**, puis choisissez **Créer un** rôle.
1. La boîte de dialogue **Créer un rôle d'usurpation d'identité** s'affiche. Sous **Rôle**, entrez les informations suivantes :
+ **Nom** — Entrez un nom unique pour le rôle d'usurpation d'identité.
+ **Description** (Facultatif) — Entrez une description pour le rôle d'usurpation d'identité.
+ **Type de rôle** : choisissez **Lecture seule** ou **Accès complet**.
1. Sous **Règles**, sélectionnez **Ajouter une règle**.
1. La boîte de dialogue **Ajouter une règle** apparaît. Entrez les informations suivantes :
+ **Nom** — Entrez un nom unique pour la règle.
+ **Description** (Facultatif) — Entrez une description pour la règle.
+ Sous **Effet**, choisissez **Autoriser** ou **Refuser**. Cela autorise ou refuse l'accès en fonction des conditions que vous sélectionnez à l'étape suivante.
+ (Facultatif) Sous **cette règle :**, choisissez **Correspond aux demandes qui se font passer pour les utilisateurs sélectionnés pour inclure des utilisateurs** spécifiques. Choisissez **Correspond aux demandes qui se font passer pour des utilisateurs autres que les utilisateurs sélectionnés** pour ajouter des utilisateurs autres que les utilisateurs sélectionnés.
1. Choisissez **Ajouter une règle**.
**Note**
Les règles ne sont enregistrées que lorsque vous enregistrez le rôle correspondant.
1. Choisissez **Créer un rôle**.
## Modification des rôles d'usurpation d'identité
Vous pouvez modifier les rôles d'usurpation d'identité depuis la console Amazon WorkMail .
**Pour modifier un rôle d'usurpation d'identité**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région. Dans la barre de navigation, choisissez la région qui répond à vos besoins. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis choisissez le nom de l'organisation.
1. Choisissez les rôles **d'usurpation d'identité.**
1. **Sélectionnez le nom du rôle d'usurpation d'identité que vous souhaitez modifier, puis choisissez Modifier.**
1. La boîte de dialogue **Modifier le rôle d'usurpation d'identité** s'affiche. Sous **Rôle**, entrez les informations suivantes :
+ **Nom** — Entrez un nom unique pour le rôle d'usurpation d'identité.
+ **Description** (Facultatif) — Entrez une description pour le rôle d'usurpation d'identité.
+ **Type de rôle** : pour accorder au rôle d'usurpation d'identité un accès en lecture seule à la boîte aux lettres d'un utilisateur, choisissez **Lecture** seule. Pour donner au rôle d'usurpation d'identité le droit de lire et de modifier des éléments dans la boîte aux lettres d'un utilisateur, choisissez Accès **complet**.
1. Sous **Règles**, sélectionnez la règle que vous souhaitez modifier, puis cliquez sur **Modifier**.
1. La boîte de dialogue **Modifier la règle** apparaît. Entrez les informations suivantes :
+ **Nom** — Modifiez le nom de la règle.
+ **Description** (Facultatif) — Mettez à jour ou entrez une description pour la règle.
+ Sous **Effet**, choisissez **Autoriser** pour autoriser l'accès lorsque les conditions définies dans les règles sont remplies. Pour refuser l'accès, choisissez **Refuser**.
+ (Facultatif) Sous **cette règle :**, choisissez **Correspond aux demandes qui se font passer pour les utilisateurs sélectionnés pour inclure des utilisateurs** spécifiques. Choisissez **Correspond aux demandes qui se font passer pour des utilisateurs autres que les utilisateurs sélectionnés** pour ajouter des utilisateurs autres que les utilisateurs sélectionnés.
1. Choisissez **Enregistrer**.
1. Sélectionnez **Enregistrer les modifications**.
**Important**
Lorsque vous modifiez une règle d'usurpation d'identité, la mise à jour des boîtes aux lettres concernées peut prendre jusqu'à cinq minutes. Au cours du processus de mise à jour des règles, il est possible que vous observiez un comportement incohérent dans votre boîte aux lettres. Toutefois, si vous testez un rôle, Amazon WorkMail répond comme prévu en fonction de la règle mise à jour. Pour de plus amples informations, veuillez consulter [Tester les rôles d'usurpation d'identité](#testing-impersonation-roles).
## Tester les rôles d'usurpation d'identité
Vous pouvez tester un rôle d'usurpation d'identité depuis la console Amazon WorkMail .
**Pour tester un rôle d'usurpation d'identité**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région. Dans la barre de navigation, choisissez la région qui répond à vos besoins. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis choisissez le nom de l'organisation.
1. Choisissez les rôles **d'usurpation d'identité.**
1. Sélectionnez le rôle d'usurpation d'identité que vous souhaitez tester.
1. Choisissez le **rôle de test**.
1. La boîte de dialogue **Tester le rôle d'usurpation d'identité** s'affiche. Sous **Utilisateur cible**, sélectionnez l'utilisateur pour lequel vous souhaitez tester l'accès par emprunt d'identité.
1. Sélectionnez **Tester)**.
## Supprimer des rôles d'usurpation d'identité
Vous pouvez supprimer un rôle d'usurpation d'identité depuis la console Amazon WorkMail .
**Pour supprimer un rôle d'usurpation d'identité**
1. Ouvrez la WorkMail console Amazon à l'adresse [https://console.aws.amazon.com/workmail/](https://console.aws.amazon.com/workmail/).
Si nécessaire, changez la région. Dans la barre de navigation, choisissez la région qui répond à vos besoins. Pour plus d'informations, consultez [Régions et points de terminaison ](https://docs.aws.amazon.com/general/latest/gr/index.html?rande.html) dans le *Référence générale d'Amazon Web Services*.
1. Dans le volet de navigation, choisissez **Organizations**, puis choisissez le nom de l'organisation.
1. Choisissez les rôles **d'usurpation d'identité.**
1. Sélectionnez le nom du rôle d'usurpation d'identité que vous souhaitez supprimer.
1. Sélectionnez **Delete (Supprimer)**.
1. La boîte de dialogue **Supprimer le rôle** apparaît. Pour confirmer la suppression, entrez le nom du rôle dans la boîte de dialogue et choisissez **Supprimer**.