Cette page liste les différents éléments que vous pouvez utiliser dans les documents de politiques EIM.

Les politiques EIM sont sensibles à la casse. Tous les éléments doivent commencer par une lettre majuscule.

ElémentRequisDescriptionExemples
StatementOui

L'élément Statement est l'élément principal et est requis dans tout attribut policy-document.

Il y a un élément Statement par document de politique qui contient une collection d'une ou plusieurs déclarations individuelles, correspondant à des blocs JSON encadrés par des accolades { } et qui contiennent au moins les éléments Action ou NotAction, Effect et Resource ou NotResource.

L'ordre de ces éléments au sein de la déclaration individuelle n'est pas important.

"Statement":[
             {
              "Action":["..."],
              "Effect":"...",
              "Resource":["..."]
             },
             {
              "Action":["..."],
              "Effect":"...",
              "Resource":["..."],
			  "Sid":"...",
			 }
            ]
SidNonL'élément Sid (statement ID) est un ID optionnel que vous pouvez ajouter à des déclarations individuelles. Il vous permet de leur donner un nom suivant vos besoins, mais n'est pas utilisé par EIM pour les identifier.
"Sid":"Admin1"
ActionNon

L'élément Action spécifie une ou plusieurs actions autorisées ou interdites. Chaque déclaration individuelle requiert soit l'élément Action, soit l'élément NotAction. 

Pour spécifier une action, vous devez spécifier le service suivi de deux-points, et utiliser le nom de la méthode API (par exemple DescribeInstances). Pour en savoir plus, voir http://docs.outscale.com/.

Vous devez utiliser un des codes suivants :

  • Pour l'API OUTSCALE : api
  • Pour Flexible Compute Unit (FCU) : ec2
  • Pour Load Balancing Unit (LBU) : elasticloadbalancing
  • Pour Elastic Identity Management (EIM) : iam
  • Pour DirectLink : directconnect
  • Pour l'ensemble des services ci-dessus : *

Les noms d'actions sont sensibles à la casse.

 L'élément Action est une collection qui contient une ou plusieurs actions, encadrées par des guillemets et séparées par des virgules.

Vous pouvez utiliser le caractère de remplacement * pour remplacer une partie des noms d'actions et ainsi spécifier plusieurs actions en même temps. Vous pouvez par exemple spécifier toutes les actions dans tous les services ou toutes les actions dans un service spécifique. Vous pouvez également utiliser ce caractère de remplacement pour spécifier toutes les actions en lien avec un même type d'objet.


  • Elément Action spécifiant deux actions :

    "Action":["ec2:DescribeInstances","ec2:RunInstances"]
  • Elément Action spécifiant toutes les actions dans tous les services :

    "Action":["*"]
  • Elément Action spécifiant toutes les actions dans EIM :

    "Action":["iam:*"]
  • Elément Action spécifiant toutes les actions en lien avec les volumes, c'est-à-dire les actions contenant la chaine de caractères Volume (AttachVolumeCreateVolumeDeleteVolumesDescribeVolumes, DeleteVolume):

    "Action":["ec2:*Volume*"]
NotActionNon

L'élément NotAction spécifie une ou plusieurs exceptions à une liste d'actions. Chaque déclaration individuelle requiert soit l'élément Action, soit l'élément NotAction.

Le format de l'élément NotAction est le même que celui de l'élément Action.

Vous pouvez utiliser l'élément NotAction pour créer des déclarations plus courtes plutôt que de spécifier une longue liste d'actions dans l'élément Action. Vous pouvez par exemple autoriser toutes les actions à l'aide l'élément Action, à l'exception d'une ou plusieurs actions que vous spécifiez dans l'élément NotAction. Etant donné que vous devez explicitement autoriser des actions, spécifier uniquement des actions dans l'élément NotAction avec un élément Effect en allow n'autorise pas l'ensemble des autres actions.



Element NotAction excluant l'action DescribeInstances des autorisations :

"NotAction":["ec2:DescribeInstances"]
  • Si cet élément est associé à un "Effect"="Deny" et un "Action"=["*"], toutes les autres actions que DescribeInstances sont explicitement interdites.
  • Si cet élément est associé à un "Effect"="Allow" et un "Action"=["*"], toutes les actions sont autorisées sauf DescribeInstances.
EffectOui

L'élément Effect spécifie si la déclaration autorise ou interdit des actions.

Les valeurs valides pour l'élément Effect sont soit Allow, soit Deny.

Par défaut, l'accès aux ressources est interdit jusqu'à ce qu'il soit explicitement autorisé dans une déclaration d'une politique. Pour autoriser les utilisateurs à accéder à vos ressources, vous devez paramétrer l'élément Effect sur Allow. Paramétrer l'élément Effect sur Deny outrepasse tout autorisation qui peut être donnée dans une autre déclaration.*

"Effect":"Allow"
ResourceNon

L'élément Resource spécifie les ressources concernées par la déclaration. Chaque déclaration individuelle requiert soit l'élément Resource, soit l'élément NotResource.

L'élément Resource contient une collection d'une ou plusieurs spécifications de ressources, encadrées par des guillemets et séparées par des virgules. 

Vous devez utiliser le format OUTSCALE Resource Name pour spécifier les ressources. Vous pouvez spécifier des ressources individuelles, ou utiliser le caractère de remplacement * pour spécifier un type de ressource, les ressources d'un service ou l'ensemble des ressources. Pour en savoir plus, voir Identifiants de ressources.




  • Elément Resource spécifiant un security group et une instance individuels :

    "Resource":["arn:aws:ec2:eu-west-2:123456789000:security-group/sg-abcd1234","arn:aws:ec2:eu-west-2:123456789000:instance/i-abcd1234"]
  • Elément Resource spécifiant toutes les ressources de tous les services :

    "Resource":["*"]
  • Elément Resource spécifiant toutes les instances FCU dans la Région eu-west-2 :

    "Resource":["arn:aws:ec2:eu-west-2:123456789000:instance/*"]
  • Elément Resource spécifiant toutes les ressources de FCU et LBU :

    "Resource":["arn:aws:ec2:*","arn:aws:elasticloadbalancing:*"]
NotResourceNon

L'élément NotResource spécifie une ou plusieurs exceptions à une liste de ressources. Chaque déclaration individuelle requiert soit l'élément Resource, soit l'élément NotResource.

Le format de l'élément NotResource est le même que celui de l'élément Resource.

Vous pouvez utiliser l'élément NotResource pour créer des déclarations plus courtes plutôt que de spécifier une longue liste de ressources dans l'élément Resource. Vous pouvez par exemple autoriser des actions sur toutes les ressources à l'aide de l'élément Resource, à l'exception d'une ou plusieurs ressources que vous spécifiez dans l'élément NotResource.

Elément NotResource excluant un security group d'une liste de ressources :

"NotResource":["arn:aws:ec2:eu-west-2:123456789000:security-group/sg-abcd1234"]

Si cet élément est associé à un "Effect:Allow" et "Resources"="arn:aws:ec2:eu-west-2:123456789000:security-group/*", toutes les actions listées dans l'élément Action sont autorisées sur tous vos security group à l'exception de celui spécifié ci-dessus.

*Logique d'évaluation des politiques EIM et la différence entre interdiction par défaut et interdiction explicite :

Lorsqu'un utilisateur envoie une requête, EIM évalue cette requête en fonction des politiques incluses ou gérées applicables.

Si vous n'avez pas explicitement autorisé l'action  contenue dans la requête à cet utilisateur dans une déclaration de politique, l'action est interdite. Il s'agit de l'interdiction par défaut (default deny). Cependant, si vous avez explicitement interdit l'action à cet utilisateur dans une déclaration de politique, cette action est interdite même si une autre déclaration de politique l'autorise. Il s'agit de l'interdiction explicite (explicit deny).

En d'autres termes, une autorisation outrepasse une interdiction par défaut, alors qu'une interdiction explicite outrepasse toute autorisation et ne peut être outrepassée.

Le schéma suivant montre le processus pour déterminer si l'action contenue dans la requête est autorisée ou interdite :

Logique d'évaluation des politiques EIM









AWS™ et Amazon Web Services™ sont des marques de commerce d'Amazon Technologies, Inc. ou de ses affiliées aux États-Unis et/ou dans les autres pays.