Droits d'accès

Pour comprendre la relation entre les droits d'accès et les verbes, examinons un exemple. Une instruction de stratégie qui autorise un groupe à inspecter des volumes (inspect volumes) lui permet en réalité d'accéder à un droit appelé VOLUME_INSPECT (les droits d'accès sont toujours écrits entièrement en lettres majuscules et avec des traits de soulignement). En général, ce droit d'accès permet à l'utilisateur d'obtenir des informations sur les volumes de blocs.

Chaque fois que vous passez d'un verbe à un autre (inspect > read > use > manage), en général, le niveau d'accès augmente et les droits d'accès accordés sont cumulés. Le tableau suivant indique les droits d'accès inclus avec chaque verbe pour le type de ressource volumes. Aucun droit d'accès supplémentaire n'est accordé pour le passage du verbe inspect au verbe read.

La référence de stratégie répertorie les droits d'accès couverts par chaque verbe pour chaque type de ressource donné. Par exemple, pour les volumes de blocs et les autres ressources couvertes par les services de base, reportez-vous aux tableaux dans Détails des combinaisons de verbe et de type de ressource. La colonne de gauche de chaque tableau répertorie les droits d'accès couverts par chaque verbe. Les autres sections de la référence de stratégie incluent le même type d'informations pour les autres services.

Chaque opération d'API nécessite que l'appelant ait accès à des droits d'accès. Par exemple, pour utiliser ListVolumes ou GetVolume, vous devez avoir accès à un seul droit : VOLUME_INSPECT. Pour attacher un volume à une instance, vous devez avoir accès à plusieurs droits d'accès, dont certains sont liés au type de ressource volumes, d'autres au type de ressource volume-attachments et d'autres encore au type de ressource instances :

• VOLUME_WRITE
• VOLUME_ATTACHMENT_CREATE
• INSTANCE_ATTACH_VOLUME

La référence de stratégie répertorie les droits d'accès requis pour chaque opération d'API. Par exemple, pour les opérations d'API de services de base, reportez-vous au tableau dans Droits d'accès requis pour chaque opération d'API.

Le langage de stratégie est conçu pour vous permettre d'écrire des instructions simples impliquant uniquement des verbes et des types de ressource, sans avoir à indiquer les droits d'accès souhaités. Toutefois, dans certains cas, un membre ou un auditeur de l'équipe de sécurité peut vouloir comprendre les droits d'accès spécifiques dont dispose un utilisateur donné. Les tableaux de la référence de stratégie présentent chaque verbe et les droits d'accès associés. Vous pouvez consulter les groupes auxquels appartient l'utilisateur ainsi que les stratégies applicables à ces groupes, puis compiler la liste des droits d'accès octroyés. Toutefois, le fait de disposer de la liste des droits d'accès ne permet pas d'avoir une vue globale. Les conditions d'une instruction de stratégie peuvent déterminer la portée de l'accès d'un utilisateur au-delà des droits d'accès individuels (reportez-vous à la section suivante). Par ailleurs, chaque instruction de stratégie indique un compartiment particulier et peut disposer de conditions limitant l'accès uniquement à certaines ressources du compartiment en question.