Politiques IAM
Pour que les utilisateurs et groupes puissent accéder aux ressources AWS, vous devez leur attribuer des permissions. Ces permissions sont définies par des politiques IAM, qui sont des documents en format JSON décrivant ce qu’un utilisateur ou un groupe peut faire dans AWS.
Voici un exemple de politique IAM :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"elasticloadbalancing:DescribeLoadBalancers",
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
}
]
}
Cette politique permet à un utilisateur de décrire les instances EC2, les équilibrages de charge et de visualiser les alarmes CloudWatch. Les politiques IAM ne sont pas de la programmation, mais plutôt une description des actions autorisées pour un utilisateur ou un groupe dans AWS.
Gestion des politiques dans IAM
Lorsqu’on attribue des politiques IAM à un groupe, elles s’appliquent à tous les membres du groupe. Par exemple, si un groupe Développeurs contient Alice Bob et Charles, la même politique sera appliquée à chacun d’eux, leur permettant d’accéder aux mêmes ressources en fonction des autorisations définies dans cette politique.
Dans un autre cas, si vous avez un groupe Opérations où David et Éric sont membres, une politique différente s’appliquera à eux par rapport à celle des Développeurs. Il est aussi possible d’avoir un utilisateur, comme Fred, qui ne fait partie d’aucun groupe.
Dans ce cas, on peut lui appliquer une politique en ligne, attachée directement à son profil, sans passer par un groupe. Si plusieurs utilisateurs appartiennent à plusieurs groupes, comme Charles et David, ils hériteront de toutes les politiques attachées à leurs groupes respectifs. Par exemple, Charles aura la politique des Développeurs et celle de l’Audit, tandis que David aura les politiques des Opérations et de l’Audit.
