Contrôler AWS l’accès et les autorisations à l’aide de politiques

  • Rversion finale: Australia
  • Mis à jour 12 mars 2026
  • 4 minutes de lecture

    • Configurez les politiques avec le niveau d’autorisations nécessaire pour fournir l’accès AWS aux ressources pour Découverte dans le cloud et Mise en service et gouvernance du cloud.

    Avant de commencer

    Familiarisez-vous avec la création d’utilisateurs et de politiques utilisateur IAM. Consultez la documentation AWS.

    Identifiez le niveau d’autorisations requis pour détecter les ressources, utiliser Découverte dans le cloud et gérer les ressources avec Mise en service et gouvernance du cloud. Par exemple :
    • Des autorisations S3 supplémentaires sont nécessaires car il AWS utilise une catégorie S3 pour stocker et exécuter les modèles Cloud Formation afin de déployer des piles à l’aide de CloudFormation. Ces autorisations sont nécessaires même si vous exécutez le même modèle CloudFormation à partir de la AWS console.
    • Un accès en lecture seule est requis pour effectuer la détection de modèle avec la politique personnalisée.
    AWS CloudFormation provisionne et configure les ressources en effectuant des appels aux AWS services décrits dans votre modèle. Pour plus d’informations, consultez Comment fonctionne CloudFormation ?

    Télécharger le Découverte dans le cloud Feuille de calcul Schémas afin que vous puissiez accorder aux utilisateurs les autorisations requises pour l’exécution des Découverte schémas. Outre les autorisations, la feuille de calcul comprend également des informations utiles telles que les noms de modèles, les types, les classes CI et les liens vers la documentation du fournisseur. De nouveaux modèles sont disponibles tous les trimestres. Vérifiez régulièrement pour vous assurer que vous disposez de la dernière version de la feuille de calcul.

    Rôles requis :
    • Administrateur AWS Management Console
    • Pour Découverte dans le cloud: discovery_admin
    • Pour Mise en service et gouvernance du cloud: administrateur ou sn_cmp.cloud_admin

    Pourquoi et quand exécuter cette tâche

    La politique que vous configurez définit les AWS autorisations que vous pouvez affecter à un utilisateur, un groupe ou un rôle. En fonction des AWS services que vous utilisez, spécifiez les actions permettant au service d’effectuer la détection et la mise en service, ainsi que les actions de cycle de vie à l’aide Mise en service et gouvernance du cloud de .

    Procédure

    1. Connectez-vous à la console de gestion à l’aide AWS des informations d’identification du compte de service pertinent.
      Si vous avez utilisé un utilisateur IAM ou un rôle IAM pour fournir l’accès à l’aide d’informations d’identification temporaires, connectez-vous à l’aide du même utilisateur IAM ou du même rôle IAM.
    2. Ouvrez l’enregistrement utilisateur dans l’instance de l’utilisateur concerné.
    3. Définissez une stratégie utilisateur dans AWS la console de gestion à l’aide de l’une des méthodes suivantes :
      • Accorder l’accès administrateur à l’instance. Cette méthode offre le même niveau d’accès que l’utilisation de l’ID de clé d’accès et de la clé d’accès secrète. Associez la politique AdministratorAccess au profil d’utilisateur.
        Remarque :
        Pour créer une stratégie utilisateur qui prend uniquement Découverte dans le cloud en charge plutôt que la mise en service des ressources dans le cloud, attachez plutôt la stratégie ReadOnlyAccess .
      • Créez une politique personnalisée avec un nom descriptif. Dans le champ Document de politique, écrivez le code qui inclut les API dont cette politique autorise l’exécution.
        Remarque :
        L’exemple JSON suivant est un exemple partiel d’affichage des autorisations pour Découverte dans le cloud. Il ne s’agit pas d’une liste complète de toutes les autorisations requises.
        {
   "Version":"2012-10-17",
   "Statement":[
      {
         "Sid":"PermissionsNeededForDiscovery",
         "Effect":"Allow",
         "Action":[
            "account:ListRegions",
            "apigateway:GET",
            "application-autoscaling:Describe*",
            "autoscaling-plans:Describe*",
            "autoscaling:Describe*",
            "autoscaling:DescribeAutoScalingGroups",
            "autoscaling:DescribeLaunchConfigurations",
            "cloudformation:Describe*",
            "cloudformation:DescribeStack*",
            "cloudformation:List*",
            "cloudwatch:Get*",
            "cloudwatch:List*",
            "config:ListDiscoveredResources",
            "dynamodb:Describe*",
            "dynamodb:DescribeTable",
            "dynamodb:ListGlobalTables",
            "dynamodb:ListTables",
            "ec2:Describe*",
            "ec2:ReportInstanceStatus",
            "ecs:Describe*",
            "ecs:List*",
            "eks:Describe*",
            "eks:List*",
            "elasticache:Describe*",
            "elasticache:List*",
            "elasticfilesystem:Describe*",
            "elasticloadbalancing:Describe*",
            "lambda:Get*",
            "lambda:List*",
            "organizations:Describe*",
            "organizations:DescribeOrganization",
            "organizations:List*",
            "rds:Describe*",
            "redshift:Describe*",
            "route53:GetHostedZone",
            "route53:List*",
            "s3:GetAccountPublicAccessBlock",
            "s3:GetBucket*",
            "s3:GetBucketLocation",
            "s3:List*",
            "sdb:GetAttributes",
            "sns:GetEndpointAttributes",
            "sns:GetSubscriptionAttributes",
            "sns:List*",
            "sns:ListPlatformApplications",
            "sns:ListSubscriptions",
            "sns:ListSubscriptionsByTopic",
            "sns:ListTopics"
         ],
         "Resource":"*"
      }
   ]
}
      • L’exemple JSON suivant est un exemple partiel d’affichage des autorisations pour Découverte dans le cloud et Mise en service et gouvernance du cloud. Il ne s’agit pas d’une liste complète de toutes les autorisations requises.
        {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PermissionsNeededForCPG",
            "Effect": "Allow",
            "Action": [
                "account:ListRegions",
                "apigateway:GET",
                "application-autoscaling:Describe*",
                "autoscaling-plans:Describe*",
                "autoscaling:Describe*",
                "autoscaling:DescribeAutoScalingGroups",
                "autoscaling:DescribeLaunchConfigurations",
                "cloudformation:Describe*",
                "cloudformation:DescribeStack*",
                "cloudwatch:Get*",
                "cloudwatch:List*",
                "config:ListDiscoveredResources"
                "dynamodb:Describe*",
                "dynamodb:DescribeTable",
                "dynamodb:ListGlobalTables",
                "dynamodb:ListTables",
                "ec2:Describe*",
                "ec2:ReportInstanceStatus",
                "ecs:Describe*",
                "ecs:List*",
                "eks:Describe*",
                "eks:List*",
                "elasticache:Describe*",
                "elasticache:List*",
                "elasticfilesystem:Describe*",
                "elasticloadbalancing:Describe*",
                "lambda:Get*",
                "lambda:List*",
                "organizations:Describe*",
                "organizations:DescribeOrganization",
                "organizations:List*",
                "rds:Describe*",
                "redshift:Describe*",
                "route53:GetHostedZone",
                "route53:List*",
                "s3:GetAccountPublicAccessBlock",
                "s3:GetBucket*",
                "s3:GetBucketLocation",
                "s3:List*",
                "sdb:GetAttributes",
                "sns:GetEndpointAttributes",
                "sns:GetSubscriptionAttributes",
                "sns:List*",
                "sns:ListPlatformApplications",
                "sns:ListSubscriptions",
                "sns:ListSubscriptionsByTopic",
                "sns:ListTopics"
            ],
            "Resource": "*"
        },
        {
            "Sid": "MinimalPermissionsNeededForEc2ProvisioningThroughCloudFormation",
            "Effect": "Allow",
            "Action": [
                "cloudformation:CreateStack",
                "cloudformation:CreateUploadBucket",
                "cloudformation:DeleteStack",
                "cloudformation:DescribeStackEvents",
                "cloudformation:DescribeStackResources",
                "cloudformation:DescribeStacks",
                "cloudformation:GetTemplate",
                "cloudformation:GetTemplateSummary",
                "cloudformation:List*",
                "cloudformation:UpdateStack",
                "cloudformation:ValidateTemplate"
                "ec2:*",
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:DeleteObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:PutObject"
            ],
            "Resource": "*"
        }
    ]
}