Logique d'évaluation de politiques
Lorsqu'un principal essaie d'utiliser AWS Management Console, l'API AWS ou l'AWS CLI, il envoie une demande à AWS. Lorsqu'un service AWS reçoit la demande, AWS exécute plusieurs étapes pour déterminer s'il autorise ou refuse la demande.
-
Authentication (Authentification) : AWS authentifie d'abord le principal à l'origine de la demande, si nécessaire. Cette étape n'est pas nécessaire pour quelques services, tels qu'Amazon S3, qui autorisent certaines demandes provenant d'utilisateurs anonymes.
-
Traitement du contexte de la demande – AWS traite les informations recueillies dans la demande pour déterminer les politiques qui s'y appliquent.
-
Comment la logique du code d’application AWS évalue les demandes d’autorisation ou de refus d’accès : AWS évalue tous les types de politiques, et l’ordre dans lequel elles sont classées influe sur leur évaluation. AWS traite ensuite les politiques par rapport au contexte de la demande afin de déterminer si celle-ci est autorisée ou refusée.
Évaluation des politiques basées sur l'identité avec des politiques basées sur des ressources
Les politiques basées sur l'identité et sur les ressources accordent des autorisations aux identités ou ressources auxquelles elles sont associées. Lorsqu'une entité IAM (utilisateur ou rôle) demande l'accès à une ressource dans le même compte, AWS évalue toutes les autorisations accordées par les politiques basées sur l'identité et les politiques basées sur les ressources. Les autorisations résultantes sont l’union des autorisations des deux types. Si une action est autorisée par une politique basée sur une identité, une politique basée sur les ressources, ou les deux, AWS autorise l'action. Un refus explicite dans l'une ou l'autre de ces stratégies remplace l'autorisation.
Évaluation des politiques basées sur l'identité avec des limites d'autorisations
Lorsqu'AWS évalue les politiques basées sur l'identité et les limites d'autorisations pour un utilisateur, les autorisations obtenues constituent l'intersection des deux catégories. En d'autres termes, lorsque vous ajoutez une limite d'autorisations à un utilisateur avec les politiques basées sur l'identité existantes, vous pouvez réduire les actions exécutées par l'utilisateur. Sinon, lorsque vous supprimez une limite d'autorisations à partir d'un utilisateur, vous pouvez augmenter les actions qu'il peut exécuter. Un refus explicite dans l'une ou l'autre de ces stratégies remplace l'autorisation. Pour afficher des informations sur la façon dont les autres types de politique sont évalués avec des limites d'autorisations, consultez Évaluation des autorisations effectives avec limites.
Évaluation des politiques fondées sur l’identité à l’aide des SCP ou des RCP AWS Organizations
Lorsqu’un utilisateur appartient à un compte membre d’une organisation et accède à une ressource pour laquelle aucune politique basée sur les ressources n’a été configurée, les autorisations résultantes sont l’intersection des politiques de l’utilisateur, des politiques de contrôle des services (SCP) et de la politique de contrôle des ressources (RCP). Cela signifie qu’une action doit être autorisée par les trois types de politique. Un refus explicite dans la politique basée sur l’identité, une SCP ou une RCP annule l’autorisation.
Vous pouvez savoir si votre compte est membre d'une organisation dans AWS Organizations. Les membres de l’organisation pourraient être affectés par une SCP ou une RCP. Pour afficher ces données à l'aide de la commande d'AWS CLI ou l'opération d'API AWS, vous devez avoir les autorisations permettant d'effectuer l'action organizations:DescribeOrganization pour votre entité AWS Organizations. Vous devez disposer des autorisations supplémentaires pour effectuer l'opération dans la console AWS Organizations. Pour savoir si une SCP ou RCP refuse l’accès à une demande spécifique ou pour modifier vos autorisations effectives, contactez votre administrateur AWS Organizations.
