Autorisations

Pour comprendre la relation entre les autorisations et les verbes, prenons un exemple. Un énoncé qui permet à un groupe d'inspecter les volumes (inspect volumes) permet en fait à ce groupe d'accéder à une autorisation nommée VOLUME_INSPECT (les autorisations sont toujours écrites en lettres majuscules avec des traits de soulignement). En général, cette autorisation permet à l'utilisateur d'obtenir des informations sur les volumes par blocs.

Lorsque vous passez de inspect > read > use > manage, le niveau d'accès augmente généralement et les autorisations accordées sont cumulatives. Le tableau suivant présente les autorisations incluses avec chaque verbe pour le type de ressource volumes. Notez qu'aucune autorisation supplémentaire n'est accordée lors du passage de inspect à read.

La rubrique Informations de référence sur les politiques répertorie les autorisations couvertes par chaque verbe pour chaque type de ressource indiqué. Par exemple, pour les volumes par blocs et les autres ressources couvertes par les services de base, voir les tableaux sous Informations détaillées sur les combinaisons Verbe + Type de ressource. La colonne de gauche de chaque tableau répertorie les autorisations couvertes par chaque verbe. Les autres sections de la rubrique Informations de référence sur les politiques présentent le même type d'informations pour les autres services.

Chaque opération d'API nécessite que le programme d'appel ait accès à une ou plusieurs autorisations. Par exemple, pour utiliser ListVolumes ou GetVolume, vous devez avoir accès à une seule autorisation : VOLUME_INSPECT. Pour attacher un volume à une instance, vous devez avoir accès à plusieurs autorisations, dont certaines sont liées au type de ressource volumes, d'autres au type de ressource volume-attachments et d'autres au type de ressource instances :

• VOLUME_WRITE
• VOLUME_ATTACHMENT_CREATE
• INSTANCE_ATTACH_VOLUME

La rubrique Informations de référence sur les politiques répertorie les autorisations requises pour chaque opération d'API. Par exemple, pour les opérations d'API des services de base, voir le tableau sous Autorisations requises pour chaque opération d'API.

Le langage de politique permet d'écrire des énoncés simples impliquant uniquement des verbes et des types de ressource, sans avoir à indiquer les autorisations souhaitées dans l'énoncé. Cela dit, il arrive parfois qu'un membre ou un vérificateur de l'équipe de sécurité souhaite en savoir plus sur les autorisations spécifiques dont dispose un utilisateur. Les tableaux figurant sous Informations de référence sur les politiques présentent chaque verbe et les autorisations associées. Vous pouvez consulter les groupes dans lesquels figure l'utilisateur et les politiques qui s'appliquent à ces groupes, et compiler à partir de là une liste des autorisations accordées. En revanche, il ne suffit pas de disposer d'une liste des autorisations pour avoir une vision complète. Les conditions incluses dans un énoncé de politique peuvent cibler l'accès d'un utilisateur au-delà des autorisations individuelles (voir la section suivante). En outre, chaque énoncé de politique spécifie un compartiment particulier et peut comporter des conditions qui limitent encore l'accès à certaines ressources de ce compartiment.