Les autorisations vous permettent de spécifier et de contrôler l'accès aux services et aux ressources AWS. Pour accorder des autorisations aux rôles IAM, vous pouvez associer une stratégie qui définit le type d'accès, les actions pouvant être effectuées et les ressources sur lesquelles les actions peuvent être réalisées.
À l'aide des stratégies IAM, vous accordez l'accès à des ressources et des API de service AWS spécifiques. Vous pouvez également définir des conditions spécifiques dans lesquelles l'accès est accordé, telles que l'octroi de l'accès aux identités d'une organisation AWS précis ou l'accès via un service AWS précis.
Avec les rôles IAM, vous déléguez l'accès aux utilisateurs ou aux services AWS pour qu'ils fonctionnent au sein de votre compte AWS. Les utilisateurs de votre fournisseur d'identité ou des services AWS peuvent assumer un rôle pour obtenir des informations d'identification de sécurité temporaires qui peuvent être utilisées pour effectuer une demande AWS dans le compte du rôle IAM. Par conséquent, les rôles IAM offrent un moyen de s'appuyer sur des informations d'identification à court terme pour les utilisateurs, les charges de travail et les services AWS qui doivent effectuer des actions dans vos comptes AWS.
En savoir plus sur la délégation d'accès à l'aide des rôles IAM
Utilisez les rôles Anywhere IAM pour permettre aux charges de travail qui s'exécutent en dehors d'AWS, telles que les environnements sur site, hybrides et multicloud, d'accéder aux ressources AWS en utilisant des certificats numériques X.509 émis par vos autorités de certification enregistrées. Avec les rôles Anywhere IAM, vous pouvez obtenir des informations d'identification AWS temporaires et utiliser les mêmes politiques et rôles IAM que vous avez configurés pour vos charges de travail AWS pour accéder aux ressources AWS.
L'obtention du moindre privilège est un cycle continu qui consiste à accorder les autorisations précises et appropriées au fur et à mesure de l'évolution de vos besoins. IAM Access Analyzer vous aide à rationaliser la gestion des autorisations lorsque vous définissez, vérifiez et affinez les autorisations.
Avec AWS Organizations, vous pouvez utiliser des politiques de contrôle des services (SCP) pour établir des barrières de protection des autorisations auxquelles adhèrent tous les utilisateurs IAM et rôles des comptes d'une organisation. Que vous débutiez avec les SCP ou que vous disposiez de SCP existantes, vous pouvez utiliser l’analyse d’accès IAM pour vous aider à restreindre en toute confiance les autorisations dans votre organisation AWS.
En savoir plus sur les barrières de protection des autorisations
Le contrôle d'accès reposant sur les attributs (ABAC) est une stratégie d'autorisation que vous pouvez utiliser pour créer des autorisations précises en fonction des attributs utilisateur, tels que le département, la fonction et le nom de l'équipe. À l'aide d'ABAC, vous pouvez réduire le nombre d'autorisations distinctes dont vous avez besoin pour créer des contrôles précis dans votre compte AWS.