Création de stratégies gérées par le client dans AWS - dummies

Lorsque vous créez initialement votre compte AWS (Amazon Web Services), une seule stratégie gérée par AWS est en place: AdministratorAccess. Toutefois, après avoir créé le premier utilisateur et vous êtes connecté à AWS à l'aide de votre nouveau compte administrateur, vous pouvez accéder à un grand nombre de stratégies gérées par AWS.

Dans la mesure du possible, vous devez utiliser les stratégies gérées par AWS pour vous assurer que la stratégie reçoit des mises à jour automatiques reflétant les modifications apportées aux fonctionnalités AWS. Lorsque vous utilisez une stratégie gérée par le client, vous devez effectuer toutes les mises à jour requises manuellement. Les étapes suivantes vous permettent de commencer à utiliser des stratégies gérées par le client.

1. Connectez-vous à AWS à l'aide de votre compte administrateur.
2. Accédez à IAM Management Console .
3. Sélectionnez Stratégies dans le volet de navigation. La page Bienvenue dans les règles gérées s'affiche.

   

   La page Bienvenue dans les stratégies gérées explique les utilisations des stratégies et vous permet de démarrer.
4. Cliquez sur Commencer. Vous voyez une liste des stratégies gérées par AWS disponibles, comme indiqué. Chaque nom de stratégie commence par le mot Amazon (pour indiquer qu'il s'agit d'une stratégie gérée par AWS), suivi du nom du service (EC2 dans la figure), éventuellement suivi de la cible de l'autorisation (par exemple ContainerRegistry) et de la fin avec le type d'autorisation accordé (tel que FullAccess). Lorsque vous créez vos propres stratégies gérées par le client, il est bon de suivre la même procédure pour rendre les noms plus faciles à utiliser et cohérents avec leurs homologues gérés par AWS.

   

   La liste des stratégies gérées par AWS est relativement longue.

   Notez que la liste de stratégies vous indique le nombre d'entités attachées à une stratégie afin que vous sachiez si une stratégie est réellement utilisée. Vous pouvez également voir l'heure de création de la politique et l'heure à laquelle quelqu'un l'a modifié pour la dernière fois. Le symbole sur le côté gauche de la stratégie affiche le type de stratégie, qui est un cube stylisé pour les stratégies gérées par AWS.

   Avant de créer une stratégie gérée par le client, assurez-vous qu'aucune stratégie gérée par AWS n'existe dans le même but. L'utilisation de la stratégie gérée par AWS est plus simple, moins sujette aux erreurs et fournit des mises à jour automatiques si nécessaire.

5. Cliquez sur Créer une stratégie.

   

   AWS propose trois options pour créer des stratégies gérées par le client.

   La page Créer une stratégie s'affiche. AWS fournit trois options pour créer une nouvelle stratégie (par ordre de complexité):

   • Copier une stratégie gérée AWS: Une stratégie gérée par AWS agit comme point de départ. Vous effectuez ensuite les modifications requises pour personnaliser la stratégie en fonction de vos besoins.Étant donné que cette option permet de garantir que vous créez une stratégie utilisable et nécessite le moins de travail, vous devez l'utiliser autant que possible. Cet exemple suppose que vous copiez une stratégie gérée AWS existante, car vous suivez cette route le plus souvent.
   • Générateur de règles: Utilise une interface semblable à un assistant pour autoriser ou refuser des actions sur un service AWS. Vous pouvez attribuer l'autorisation à des ressources spécifiques (dans certains cas) en utilisant un nom de ressource Amazon, un ARN ou à toutes les ressources (en utilisant un *, un astérisque). (La discussion décrit comment créer et utiliser des ARN.) Une stratégie peut contenir plusieurs autorisations, dont chacune apparaît sous la forme d'une instruction dans la stratégie. Après avoir défini les stratégies, l'assistant affiche le document de stratégie que vous pouvez modifier manuellement si vous le souhaitez. L'assistant utilise le document de politique pour générer la politique. C'est la meilleure option à utiliser lorsque vous avez besoin d'une seule politique pour couvrir plusieurs services.
   • Créez votre propre stratégie: Définit une politique complètement à la main. Tout ce que vous voyez est la page du document de politique, que vous devez remplir manuellement en utilisant la syntaxe et la grammaire appropriées. La discussion vous en dit plus sur la façon de créer une politique complètement manuellement. Vous n'utilisez cette option que lorsque cela est nécessaire car le temps nécessaire à la création du document est important et le risque d'erreur est élevé.
6. Cliquez sur Copier une stratégie gérée AWS.

   Vous voyez une liste des stratégies gérées par AWS.

   

   Choisissez la politique que vous voulez modifier.
7. Cliquez sur Sélectionner en regard de la stratégie AWS-Managed que vous souhaitez utiliser comme base pour votre stratégie gérée par le client. L'exemple utilise la règle AmazonEC2FullAccess comme point de départ, mais les mêmes étapes s'appliquent à la modification d'autres stratégies. Vous voyez la page Politique de révision affichée.

   

   La page Politique de révision affiche les détails de la stratégie que vous modifiez.

   Commencer avec une stratégie qui a trop de droits et supprimer les droits que vous ne voulez pas est beaucoup plus facile que de commencer avec une politique qui a trop peu de droits et qui ajoute les droits dont vous avez besoin. L'ajout de droits implique la saisie de nouvelles entrées dans le document de politique, ce qui nécessite une connaissance détaillée des politiques. Supprimer des droits signifie mettre en évidence les bonnes déclarations que vous ne voulez pas et les supprimer.

8. Saisissez un nouveau nom dans le champ Nom de la politique.

   L'exemple utilise MyCompanyEC2FullAccessNoCloudWatch comme nom de la stratégie.

9. Modifiez le champ Description au besoin pour définir les modifications apportées. L'exemple ajoute que la stratégie n'autorise pas l'accès à CloudWatch.
10. Modifiez le champ Document de politique selon les besoins pour refléter les changements de politique. L'exemple supprime la section de stratégie suivante du document:

    {

    "Effet": "Autoriser",

    "Action": "cloudwatch: *",

    "Ressource": " * "

    },

    Assurez-vous d'ajouter et de supprimer des virgules entre les stratégies si nécessaire, sinon la stratégie ne fonctionnera pas comme prévu.

11. Cliquez sur Valider la stratégie. Si les modifications que vous avez apportées fonctionnent comme prévu, vous voyez un message de réussite Cette stratégie est valide en haut de la page. Toujours valider votre politique avant de le créer.
12. Cliquez sur Créer une stratégie. Vous voyez un message de réussite sur la page Stratégies, plus une nouvelle entrée pour votre stratégie, comme indiqué. Notez que votre stratégie n'inclut pas d'icône de type de stratégie. L'absence d'icône rend la politique plus facile à trouver dans la liste.

    

    AWS vous indique quand vous avez ajouté une nouvelle stratégie.