Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS Health exemples de politiques basées sur l'identité
Par défaut, les utilisateurs et les rôles IAM ne sont pas autorisés à créer ou modifier les ressources AWS Health . Ils ne peuvent pas non plus effectuer de tâches à l'aide de l' AWS API AWS Management Console AWS CLI, ou. Un administrateur IAM doit créer des politiques IAM autorisant les utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils ont besoin. Il doit ensuite attacher ces politiques aux utilisateurs ou aux groupes IAM ayant besoin de ces autorisations.
Pour savoir comment créer une stratégie IAM basée sur l'identité à l'aide de ces exemples de documents de stratégie JSON, veuillez consulter [Création de stratégies dans l'onglet JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) dans le *Guide de l'utilisateur IAM*.
**Topics**
+ [Bonnes pratiques en matière de politiques](#security_iam_service-with-iam-policy-best-practices)
+ [Utilisation de la AWS Health console](#security_iam_id-based-policy-examples-console)
+ [Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Accès au AWS Health tableau de bord et à l' AWS Health API](#security_iam_id-based-policy-examples-access-dashboard)
+ [Conditions basées sur des ressources et des actions](#resource-action-based-conditions)
## Bonnes pratiques en matière de politiques
Identity-based les politiques déterminent si quelqu'un peut créer, accéder ou supprimer AWS Health des ressources dans votre compte. Ces actions peuvent entraîner des frais pour votre Compte AWS. Lorsque vous créez ou modifiez des politiques basées sur l’identité, suivez ces instructions et recommandations :
+ **Commencez AWS par les politiques gérées et passez aux autorisations du moindre privilège : pour commencer à accorder des autorisations** à vos utilisateurs et à vos charges de travail, utilisez les *politiques AWS gérées* qui accordent des autorisations pour de nombreux cas d'utilisation courants. Ils sont disponibles dans votre Compte AWS. Nous vous recommandons de réduire davantage les autorisations en définissant des politiques gérées par les AWS clients spécifiques à vos cas d'utilisation. Pour plus d’informations, consultez [politiques gérées par AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) ou [politiques gérées par AWS pour les activités professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *Guide de l’utilisateur IAM*.
+ **Accordez les autorisations de moindre privilège** : lorsque vous définissez des autorisations avec des politiques IAM, accordez uniquement les autorisations nécessaires à l’exécution d’une seule tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées *autorisations de moindre privilège*. Pour plus d’informations sur l’utilisation d’IAM pour appliquer des autorisations, consultez [politiques et autorisations dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez des conditions dans les politiques IAM pour restreindre davantage l’accès** : vous pouvez ajouter une condition à vos politiques afin de limiter l’accès aux actions et aux ressources. Par exemple, vous pouvez écrire une condition de politique pour spécifier que toutes les demandes doivent être envoyées via SSL. Vous pouvez également utiliser des conditions pour accorder l'accès aux actions de service si elles sont utilisées par le biais d'un service spécifique Service AWS, tel que CloudFormation. Pour plus d’informations, consultez [Conditions pour éléments de politique JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l’utilisateur IAM*.
+ **Utilisez l’Analyseur d’accès IAM pour valider vos politiques IAM afin de garantir des autorisations sécurisées et fonctionnelles** : l’Analyseur d’accès IAM valide les politiques nouvelles et existantes de manière à ce que les politiques IAM respectent le langage de politique IAM (JSON) et les bonnes pratiques IAM. IAM Access Analyzer fournit plus de 100 vérifications de politiques et des recommandations exploitables pour vous aider à créer des politiques sécurisées et fonctionnelles. Pour plus d’informations, consultez [Validation de politiques avec IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) dans le *Guide de l’utilisateur IAM*.
+ **Exiger l'authentification multifactorielle (MFA**) : si vous avez un scénario qui nécessite des utilisateurs IAM ou un utilisateur root, activez l'authentification MFA pour une sécurité accrue. Compte AWS Pour exiger la MFA lorsque des opérations d’API sont appelées, ajoutez des conditions MFA à vos politiques. Pour plus d’informations, consultez [Sécurisation de l’accès aux API avec MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) dans le *Guide de l’utilisateur IAM*.
Pour plus d’informations sur les bonnes pratiques dans IAM, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.
## Utilisation de la AWS Health console
Pour accéder à la AWS Health console, vous devez disposer d'un ensemble minimal d'autorisations. Ces autorisations doivent vous permettre de répertorier et d'afficher les informations relatives AWS Health aux ressources de votre AWS compte. Si vous créez une politique basée sur l'identité qui est plus restrictive que les autorisations minimales requises, la console ne fonctionnera pas comme prévu pour les entités (utilisateurs et rôles IAM) tributaires de cette politique.
Pour garantir que ces entités peuvent toujours utiliser la AWS Health console, vous pouvez joindre la politique AWS gérée suivante, [https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess](https://console.aws.amazon.com//iam/home?#/policies/arn:aws:iam::aws:policy/AWSHealthFullAccess).
La `AWSHealthFullAccess` politique accorde à une entité un accès complet aux éléments suivants :
+ Activer ou désactiver la fonctionnalité AWS Health d'affichage organisationnel pour tous les comptes d'une AWS organisation
+ Le AWS Health tableau de bord dans la AWS Health console
+ AWS Health Opérations et notifications de l'API
+ Afficher les informations relatives aux comptes qui font partie de votre AWS organisation
+ Afficher les unités organisationnelles (UO) du compte de gestion
**Example : AWSHealthFullAccess**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "health.amazonaws.com"
}
}
}
]
}
```
**Note**
Vous pouvez également utiliser la politique `Health_OrganizationsServiceRolePolicy` AWS gérée afin de consulter les AWS Health événements relatifs aux autres comptes de votre organisation. Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour AWS Health](using-service-linked-roles.md).
Il n'est pas nécessaire d'accorder des autorisations de console minimales aux utilisateurs qui appellent uniquement l'API AWS CLI ou l' AWS API. Autorisez plutôt l’accès à uniquement aux actions qui correspondent à l’opération d’API que vous tentez d’effectuer.
Pour plus d’informations, consultez [Ajout d’autorisations à un utilisateur](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console) dans le *Guide de l’utilisateur IAM*.
## Autorisation accordée aux utilisateurs pour afficher leurs propres autorisations
Cet exemple montre comment créer une politique qui permet aux utilisateurs IAM d’afficher les politiques en ligne et gérées attachées à leur identité d’utilisateur. Cette politique inclut les autorisations permettant d'effectuer cette action sur la console ou par programmation à l'aide de l'API AWS CLI or AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Accès au AWS Health tableau de bord et à l' AWS Health API
Le AWS Health tableau de bord est disponible pour tous les AWS comptes. L' AWS Health API n'est disponible que pour les comptes disposant d'un plan AWS Business Support\+, AWS Enterprise Support ou AWS Unified Operations. Pour de plus amples informations, veuillez consulter [Support](https://aws.amazon.com/premiumsupport/).
Vous pouvez utiliser IAM pour créer des entités (utilisateurs, groupes ou rôles), puis autoriser ces entités à accéder au tableau de AWS Health bord et à l' AWS Health API.
Par défaut, les utilisateurs IAM n'ont pas accès au tableau de AWS Health bord ou à l' AWS Health API. Vous permettez aux utilisateurs d'accéder aux AWS Health informations de votre compte en associant des politiques IAM à un seul utilisateur, à un groupe d'utilisateurs ou à un rôle. Pour plus d'informations, consultez [Identités (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) et [Présentation des stratégies IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html).
Après avoir créé les utilisateurs IAM, vous pouvez leur attribuer des mots de passe individuels. Ils peuvent ensuite se connecter à votre compte et consulter les AWS Health informations en utilisant une page de connexion spécifique au compte. Pour plus d'informations, consultez [Comment les utilisateurs se connectent à votre compte](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).
**Note**
Un utilisateur IAM autorisé à consulter le tableau de AWS Health bord dispose d'un accès en lecture seule aux informations de santé de tous les AWS services du compte, qui peuvent inclure, mais sans s'y limiter, les identifiants de AWS ressources tels que les identifiants d'instance Amazon EC2, les adresses IP d'instance EC2 et les notifications de sécurité générales.
Par exemple, si une politique IAM accorde l'accès uniquement au AWS Health tableau de bord et à l' AWS Health API, l'utilisateur ou le rôle auquel la politique s'applique peut accéder à toutes les informations publiées sur les AWS services et les ressources associées, même si d'autres politiques IAM n'autorisent pas cet accès.
Vous pouvez utiliser deux groupes d'API pour AWS Health.
+ Comptes individuels — Vous pouvez utiliser des opérations telles que [DescribeEvents](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEvents.html)et [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)pour obtenir des informations sur les AWS Health événements de votre compte.
+ Compte d'organisation : vous pouvez utiliser des opérations telles que [DescribeEventsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventsForOrganization.html)et [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html)pour obtenir des informations sur les AWS Health événements relatifs aux comptes qui font partie de votre organisation.
Pour plus d'informations sur les opérations d'API disponibles, consultez la [référence des AWS Health API](https://docs.aws.amazon.com/health/latest/APIReference/).
### Actions individuelles
Vous pouvez définir l'`Action`élément d'une politique IAM sur. `health:Describe*` Cela permet d'accéder au AWS Health tableau de bord et AWS Health. AWS Health prend en charge le contrôle d'accès aux événements basés sur le service `eventTypeCode` and.
#### Décrire l'accès
Cette déclaration de politique donne accès au AWS Health tableau de bord et à toutes les opérations de l'`Describe*` AWS Health API. Par exemple, un utilisateur IAM doté de cette politique peut accéder au AWS Health tableau de bord depuis AWS Management Console et appeler l'opération AWS Health `DescribeEvents` API.
**Example : Décrire l'accès**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
}]
}
```
#### Refuser l'accès
Cette déclaration de politique interdit l'accès au AWS Health tableau de bord et à l' AWS Health API. Un utilisateur IAM soumis à cette politique ne peut pas afficher le AWS Health tableau de bord dans les opérations d' AWS Health API AWS Management Console et ne peut appeler aucune de ces opérations.
**Example : Refuser l'accès**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"health:*"
],
"Resource": "*"
}]
}
```
### Vue organisationnelle
Si vous souhaitez activer l'affichage organisationnel pour AWS Health, vous devez autoriser l'accès aux AWS Organizations actions AWS Health et.
L'`Action`élément d'une politique IAM doit inclure les autorisations suivantes :
+ `iam:CreateServiceLinkedRole`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:DescribeAccount`
+ `organizations:DisableAWSServiceAccess`
+ `organizations:ListAccounts`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListParents`
Pour connaître les autorisations exactes requises pour chaque API, consultez la section [Actions définies par les AWS Health API et les notifications](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthapisandnotifications.html#awshealthapisandnotifications-actions-as-permissions) dans le *guide de l'utilisateur IAM*.
**Note**
Vous devez utiliser les informations d'identification du compte de gestion pour qu'une organisation puisse accéder aux AWS Health API pour AWS Organizations. Pour de plus amples informations, veuillez consulter [Agrégation des AWS Health événements entre les comptes](aggregate-events.md).
#### Autoriser l'accès à la vue AWS Health organisationnelle
Cette déclaration de politique donne accès à toutes AWS Health les AWS Organizations actions dont vous avez besoin pour accéder à la fonctionnalité d'affichage organisationnel.
**Example : Autoriser l'accès à la vue AWS Health organisationnelle**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"health:*",
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
#### Refuser l'accès à la vue AWS Health organisationnelle
Cette déclaration de politique refuse l'accès aux AWS Organizations actions mais autorise l'accès aux AWS Health actions pour un compte individuel.
**Example : Refuser l'accès à la vue AWS Health organisationnelle**
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"organizations:EnableAWSServiceAccess",
"organizations:DisableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": "health.amazonaws.com"
}
}
},
{
"Effect": "Deny",
"Action": [
"organizations:DescribeAccount",
"organizations:ListAccounts",
"organizations:ListDelegatedAdministrators",
"organizations:ListParents"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/health.amazonaws.com/AWSServiceRoleForHealth*"
}
]
}
```
**Note**
Si l'utilisateur ou le groupe auquel vous souhaitez accorder des autorisations possède déjà une politique IAM, vous pouvez ajouter la déclaration de politique AWS Health spécifique à cette stratégie.
## Conditions basées sur des ressources et des actions
AWS Health prend en charge [les conditions IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) pour les opérations [ DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)et [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API. Vous pouvez utiliser des conditions basées sur les ressources et les actions pour limiter les événements que l' AWS Health API envoie à un utilisateur, un groupe ou un rôle.
Pour ce faire, mettez à jour le `Condition` bloc de la politique IAM ou définissez l'`Resource`élément. Vous pouvez utiliser [les conditions de chaîne](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html#Conditions_String) pour restreindre l'accès en fonction de certains champs AWS Health d'événements.
Vous pouvez utiliser les champs suivants lorsque vous spécifiez un AWS Health événement dans votre politique :
+ `eventTypeCode`
+ `service`
**Remarques**
Les opérations [ DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)et [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)API prennent en charge les autorisations au niveau des ressources. Par exemple, vous pouvez créer une politique pour autoriser ou refuser des AWS Health événements spécifiques.
Les opérations [ DescribeAffectedEntitiesForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntitiesForOrganization.html)et [DescribeEventDetailsForOrganization](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetailsForOrganization.html)API ne prennent pas en charge les autorisations au niveau des ressources.
Pour plus d'informations, consultez la section [Actions, ressources et clés de condition pour les AWS Health API et les notifications](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awshealthapisandnotifications.html) dans la *référence d'autorisation de service*.
**Example : Action-based état**
Cette déclaration de politique donne accès au AWS Health tableau de bord et aux opérations de l' AWS Health `Describe*`API, mais refuse l'accès à tout AWS Health événement lié à Amazon EC2.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"health:service": "EC2"
}
}
}
]
}
```
**Example : Resource-based état**
La stratégie suivante a le même effet, mais utilise l'élément `Resource`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"health:Describe*"
],
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeEventDetails",
"health:DescribeAffectedEntities"
],
"Resource": "arn:aws:health:*::event/EC2/*/*"
}]
}
```
**Example : TypeCode état de l'événement**
Cette déclaration de politique accorde l'accès au AWS Health tableau de bord et aux opérations de l' AWS Health `Describe*`API, mais refuse l'accès à tout AWS Health événement `eventTypeCode` correspondant`AWS_EC2_*`.
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "health:Describe*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"health:DescribeAffectedEntities",
"health:DescribeEventDetails"
],
"Resource": "*",
"Condition": {
"StringLike": {
"health:eventTypeCode": "AWS_EC2_*"
}
}
}
]
}
```
**Important**
Si vous appelez les [DescribeEventDetails](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeEventDetails.html)opérations [DescribeAffectedEntities](https://docs.aws.amazon.com/health/latest/APIReference/API_DescribeAffectedEntities.html)et que vous n'êtes pas autorisé à accéder à l' AWS Health événement, l'`AccessDeniedException`erreur apparaît. Pour de plus amples informations, veuillez consulter [Résolution des problèmes AWS Health d'identité et d'accès](security_iam_troubleshoot.md).