Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Syntaxe d’une RCP
Les politiques de contrôle des ressources (RCPs) utilisent une syntaxe similaire à celle utilisée par les politiques [basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based). Pour plus d'informations sur les politiques IAM et leur syntaxe, consultez [Présentation des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) dans le *Guide de l'utilisateur IAM*.
Un RCP est structuré selon les règles du [JSON](http://json.org). Elle utilise les éléments qui sont décrits dans cette rubrique.
**Note**
Tous les caractères de votre RCP sont pris en compte dans sa [taille maximale](orgs_reference_limits.md#min-max-values). Les exemples présentés dans ce guide montrent les RCPs fichiers formatés avec des espaces blancs supplémentaires pour améliorer leur lisibilité. Toutefois, pour économiser de l'espace si la taille de votre politique approche de la taille maximale, vous pouvez supprimer les espaces, comme les espacements et les sauts de ligne qui ne figurent pas entre guillemets.
Pour des informations générales sur RCPs, voir[Politiques de contrôle des ressources (RCPs)](orgs_manage_policies_rcps.md).
## Récapitulatif des éléments
Le tableau suivant récapitule les éléments de stratégie que vous pouvez utiliser dans RCPs.
**Note**
**L'effet de n'`Allow`est pris en charge que pour la `RCPFullAWSAccess` politique**
L'effet de n'`Allow`est pris en charge que pour la `RCPFullAWSAccess` politique. Cette politique est automatiquement attachée à la racine de l'organisation, à chaque unité d'organisation et à chaque compte de votre organisation lorsque vous activez les politiques de contrôle des ressources (RCPs). Vous ne pouvez pas dissocier cette politique. Ce RCP par défaut permet à tous les principaux et à toutes les actions de passer par une évaluation RCP, ce qui signifie que jusqu'à ce que vous commenciez à créer et à joindre RCPs, toutes vos autorisations IAM existantes continuent de fonctionner comme elles le faisaient. Cela n'autorise pas l'accès.
| Element | Objectif |
| --- | --- |
| [Version](#rcp-syntax-version) | Spécifie les règles de syntaxe du langage à utiliser pour le traitement de la politique. |
| [Instruction](#rcp-syntax-statement) | Sert de conteneur pour les éléments de politique. Vous pouvez avoir plusieurs instructions dans RCPs. |
| [ID d’instruction (Sid)](#rcp-syntax-sid) | (Facultatif) Fournit un nom simple pour l'instruction. |
| [Effet](#rcp-syntax-effect) | Définit si l'instruction RCP refuse l'accès aux ressources d'un compte. |
| [Principal](#rcp-syntax-principal) | Spécifie le principal auquel l'accès aux ressources d'un compte est autorisé ou refusé. |
| [Action](#rcp-syntax-action) | Spécifie le AWS service et les actions que le RCP autorise ou refuse. |
| [Ressource](#rcp-syntax-resource) | Spécifie les AWS ressources auxquelles le RCP s'applique. |
| [NotResource](#rcp-syntax-resource) | Spécifie les AWS ressources exemptées du RCP. Utilisé au lieu de l'élément `Resource`. |
| [Condition](#rcp-syntax-condition) | Spécifie les conditions lorsque l’instruction est vigueur. |
**Topics**
+ [Récapitulatif des éléments](#rcp-elements-table)
+ [Élément `Version`](#rcp-syntax-version)
+ [Élément `Statement`](#rcp-syntax-statement)
+ [Élément ID d'instruction (`Sid`)](#rcp-syntax-sid)
+ [Élément `Effect`](#rcp-syntax-effect)
+ [Élément `Principal`](#rcp-syntax-principal)
+ [Élément `Action`](#rcp-syntax-action)
+ [Éléments `Resource` et `NotResource`](#rcp-syntax-resource)
+ [Élément `Condition`](#rcp-syntax-condition)
+ [Élément non pris en charge](#rcp-syntax-unsupported)
## Élément `Version`
Chaque RCP doit inclure un `Version` élément avec la valeur**"2012-10-17"**. Il s'agit de la même valeur de version que la version la plus récente des politiques d'autorisation IAM.
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Version](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_version.html) dans le *Guide de l'utilisateur IAM*.
## Élément `Statement`
Un RCP est composé d'un ou de plusieurs `Statement` éléments. Vous ne pouvez avoir qu'un mot clé `Statement` dans une politique, mais la valeur peut être un tableau d'instructions JSON (encadré par des caractères [ ]).
L'exemple suivant montre une instruction unique composée d'`Resource`éléments simples `Effect` `Principal``Action`,, et.
```
{
"Statement": {
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Instruction](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_statement.html) dans le *Guide de l'utilisateur IAM*.
## Élément ID d'instruction (`Sid`)
L'élément `Sid` est un identifiant facultatif que vous pouvez fournir pour l'instruction de politique. Vous pouvez affecter une valeur `Sid` à chaque instruction d'un tableau d'instructions. L'exemple de RCP suivant montre un exemple d'`Sid`instruction.
```
{
"Statement": {
"Sid": "DenyBPAConfigurations",
"Effect": "Deny",
"Principal": "*",
"Action": "s3:PutBucketPublicAccessBlock",
"Resource": "*"
}
}
```
Pour plus d'informations, consultez [IAM JSON Policy Elements : Sid](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_sid.html) dans le guide de l'*utilisateur IAM*.
## Élément `Effect`
Chaque instruction doit contenir un élément `Effect`. En utilisant la valeur de `Deny` dans l'`Effect`élément, vous pouvez restreindre l'accès à des ressources spécifiques ou définir les conditions d'entrée en vigueur. RCPs Pour RCPs que vous puissiez créer cela, la valeur doit être`Deny`. Pour plus d'informations, consultez [Évaluation du RCP](orgs_manage_policies_rcps_evaluation.md) la section [Eléments de politique JSON IAM : effet](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_effect.html) dans le guide de l'*utilisateur IAM*.
## Élément `Principal`
Chaque déclaration doit contenir l'`Principal`élément. Vous ne pouvez spécifier « `*` » que dans l'`Principal`élément d'un RCP. Utilisez l'`Conditions`élément pour restreindre des principes spécifiques.
Pour plus d'informations, voir [IAM JSON Policy Elements : Principal](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html) dans le guide de l'*utilisateur IAM*.
## Élément `Action`
Chaque déclaration doit contenir l'`Action`élément.
La valeur de l'`Action`élément est une chaîne ou une liste (un tableau JSON) de chaînes identifiant les AWS services et les actions autorisés ou refusés par l'instruction.
Chaque chaîne est composée de l'abréviation du service (telle que « s3 », « sqs » ou « sts »), en minuscules, suivie de deux points, puis d'une action de ce service. En général, ils sont tous saisis avec chaque mot commençant par une lettre majuscule et le reste par une minuscule. Par exemple : `"s3:ListAllMyBuckets"`.
Vous pouvez également utiliser des caractères génériques tels que l'astérisque (\*) ou le point d'interrogation (?) dans un RCP :
+ Utilisez un astérisque (\*) en tant que caractère générique pour faire correspondre plusieurs actions partageant une partie d'un nom. La valeur `"s3:*"` signifie toutes les actions dans le service Amazon S3. La valeur `"sts:Get*"` correspond uniquement aux AWS STS actions qui commencent par « Obtenir ».
+ Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
**Note**
Caractères **génériques (\*) et points d'interrogation (?) peut être utilisé n'importe où dans le nom de l'action**
Vous ne pouvez pas utiliser « \* » dans l'élément Action d'un RCP géré par le client et vous devez spécifier l'abréviation du service (tel que « s3 », « sqs » ou « sts ») auquel vous souhaitez restreindre l'accès.
Pour obtenir la liste des services pris en charge RCPs, consultez[Liste de Services AWS ce support RCPs](orgs_manage_policies_rcps.md#rcp-supported-services). Pour obtenir la liste des actions prises en Service AWS charge, consultez la section [Actions, ressources et clés de condition pour les AWS services](https://docs.aws.amazon.com/service-authorization/latest/reference/reference_policies_actions-resources-contextkeys.html.html) dans la *référence d'autorisation des services*.
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Action](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html) dans le *Guide de l'utilisateur IAM*.
## Éléments `Resource` et `NotResource`
Chaque instruction doit contenir l'`NotResource`élément `Resource` or.
Vous pouvez utiliser des caractères génériques tels que l'astérisque (\*) ou le point d'interrogation (?) dans l'élément ressource :
+ Utilisez un astérisque (\*) comme caractère générique pour faire correspondre plusieurs ressources qui partagent une partie du même nom.
+ Utilisez le caractère générique point d'interrogation (?) pour faire correspondre un seul caractère.
Pour plus d'informations, consultez [IAM JSON Policy Elements : Resource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_resource.html) et [IAM JSON Policy Elements : NotResource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notresource.html) dans le guide de l'utilisateur *IAM*.
## Élément `Condition`
Vous pouvez spécifier un `Condition` élément dans les instructions de refus d'un RCP.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "s3:*",
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:SecureTransport": "false"
}
}
}
]
}
```
------
Ce RCP refuse l'accès aux opérations et aux ressources d'Amazon S3 sauf si la demande est envoyée via un transport sécurisé (la demande a été envoyée via TLS).
Pour plus d'informations, consultez [Éléments de politique JSON IAM : Condition](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) dans le *Guide de l'utilisateur IAM*.
## Élément non pris en charge
Les éléments suivants ne sont pas pris en charge dans RCPs :
+ `NotPrincipal`
+ `NotAction`