Exemples de stratégies AWS IAM

Utilisez ces modèles de stratégie IAM complets pour les types workflow courants. Chacune applique le principe du moindre privilège en limitant l'accès à des ressources spécifiques.

workflowde messagerie SQS

Restreindre l'accès à une file d'attente spécifique :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sqs:SendMessage",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    },
    {
      "Effect": "Allow",
      "Action": "sqs:GetQueueAttributes",
      "Resource": "arn:aws:sqs:us-west-2:123456789012:my-workflow-queue"
    }
  ]
}

Remplacez us-west-2 par votre région, 123456789012 par l'ID de votre compte AWS et my-workflow-queue par le nom de votre file d'attente.

workflowde gestion EC2

Restreindre l'accès à une instance spécifique par tag:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ec2:DescribeInstances", "ec2:DescribeTags"],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StopInstances",
        "ec2:StartInstances",
        "ec2:ModifyInstanceAttribute"
      ],
      "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Environment": "production"
        }
      }
    }
  ]
}

Cette politique permet au flux de travail d' arrêter/démarrer/modifier uniquement les instances EC2 étiquetées avec Environment=production.

workflowDynamoDB

Restreindre l'accès à une table spécifique :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["dynamodb:Query", "dynamodb:GetItem", "dynamodb:PutItem"],
      "Resource": "arn:aws:dynamodb:us-east-1:123456789012:table/WorkflowData"
    }
  ]
}

Remplacez WorkflowData par le nom de votre table.

workflowdu gestionnaire de système

Limiter l'accès à certains documents d'automatisation :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["ssm:CreateDocument", "ssm:DeleteDocument"],
      "Resource": "arn:aws:ssm:us-east-1:123456789012:document/WorkflowAutomation-*"
    },
    {
      "Effect": "Allow",
      "Action": ["ssm:StartAutomationExecution", "ssm:GetAutomationExecution"],
      "Resource": [
        "arn:aws:ssm:us-east-1:123456789012:automation-definition/WorkflowAutomation-*:*",
        "arn:aws:ssm:us-east-1:123456789012:automation-execution/*"
      ]
    }
  ]
}

Cela limite les documents d'automatisation à ceux préfixés par WorkflowAutomation-.

Workflow du Gateway API

Restreindre l'accès à une API spécifique :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["apigateway:GET", "apigateway:PUT"],
      "Resource": "arn:aws:apigateway:us-west-2::/restapis/abc123xyz/*"
    }
  ]
}

Remplacez abc123xyz par votre ID de Gateway API.

Ressources supplémentaires

Pour une documentation complète sur les autorisations AWS :

Politiques d'intégration AWS gérées: liste complète des autorisations AWS par service, ainsi que des modèles CloudFormation adaptables.
Configurer l'interrogation d'API AWS: Modèles de configuration supplémentaires

Important

Ces ressources utilisent l'ID de compte 754728514883 pour l'intégration cloud (monitoring). Pour l'automatisation workflow, utilisez toujours 253490767857.

Vue d'ensemble des identifiants AWS

Comparer les méthodes d'authentification et choisir la plus adaptée

Configuration du rôle IAM

Configurer un rôle IAM pour les workflows de production (recommandé)

Configuration de l'utilisateur IAM

Configurer un utilisateur IAM avec des clés d'accès pour les tests

Actions AWS

Parcourir EC2, Lambda, S3, SQS et d'autres actions AWS

Cette traduction automatique est fournie pour votre commodité.

workflowde messagerie SQS .css-21sua1{background:none;border:none;width:0;padding:0;}