Amazon WorkDocs Guide d'administration - Guide d'administration
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Amazon WorkDocs Guide d'administration
Amazon WorkDocs Guide d'administration Amazon WorkDocs: Guide d'administration Copyright © Amazon Web Services, Inc. and/or its affiliates. All rights reserved. Les marques commerciales et la présentation commerciale d'Amazon ne peuvent pas être utilisées en relation avec un produit ou un service extérieur à Amazon, d'une manière susceptible d'entraîner une confusion chez les clients, ou d'une manière qui dénigre ou discrédite Amazon. Toutes les autres marques commerciales qui ne sont pas la propriété d'Amazon sont la propriété de leurs propriétaires respectifs, qui peuvent ou non être affiliés ou connectés à Amazon, ou sponsorisés par Amazon.
Amazon WorkDocs Guide d'administration
Table of Contents
Qu'est-ce qu'Amazon WorkDocs ? ......................................................................................................... 1
Accès Amazon WorkDocs ............................................................................................................ 1
Pricing ...................................................................................................................................... 1
Comment démarrer ..................................................................................................................... 1
Prérequis ........................................................................................................................................... 3
Inscrivez-vous à AWS ................................................................................................................. 3
Création d'utilisateurs et de groupes IAM (recommandé) ................................................................... 3
Sécurité ............................................................................................................................................. 4
Identity and Access Management .................................................................................................. 4
Audience ........................................................................................................................... 5
Authentification avec des identités ......................................................................................... 5
Gestion de l'accès à l'aide de stratégies ................................................................................ 7
Fonctionnement d'Amazon WorkDocs avec IAM ...................................................................... 9
Exemples de stratégies basées sur l'identité ......................................................................... 11
Dépannage ...................................................................................................................... 14
Journalisation et surveillance ...................................................................................................... 16
Flux d'activités à l'échelle du site ........................................................................................ 16
Journalisation CloudTrail .................................................................................................... 17
Validation de la conformité ......................................................................................................... 19
Résilience ................................................................................................................................ 20
Sécurité de l'infrastructure .......................................................................................................... 20
Mise en route ................................................................................................................................... 21
Mise en route avec Quick Start ................................................................................................... 21
Avant de commencer ........................................................................................................ 22
Étape 1 : Lancer le site Amazon WorkDocs .......................................................................... 22
Étape 2 : Création d'un point d'accès et définition d'un administrateur ........................................ 22
Étape 3 : Configuration complète dans le panneau de configuration d'administration ..................... 23
Mise en route avec Standard Setup (Configuration standard) ........................................................... 24
Avant de commencer ........................................................................................................ 24
Étape 1 : Lancer le site Amazon WorkDocs .......................................................................... 24
Étape 2 : Créer un annuaire et définir un administrateur .......................................................... 24
Étape 3 : Configuration complète dans le panneau de configuration d'administration ..................... 26
Mise en route avec un annuaire existant ...................................................................................... 26
Avant de commencer ........................................................................................................ 26
Étape 1 : Lancer le site Amazon WorkDocs .......................................................................... 26
Étape 2 : Activer un annuaire et définir un administrateur ........................................................ 27
Étape 3 : Configuration complète dans le panneau de configuration d'administration ..................... 27
Mise en route avec AD Connector ............................................................................................... 27
Avant de commencer ........................................................................................................ 28
Étape 1 : Lancer le site Amazon WorkDocs .......................................................................... 28
Étape 2 : Connect un annuaire ............................................................................................ 28
Étape 3 : Configuration complète dans le panneau de configuration d'administration ..................... 29
Mise en route avec AWS Managed Microsoft AD ........................................................................... 30
Avant de commencer ........................................................................................................ 30
Étape 1 : Lancer le site Amazon WorkDocs .......................................................................... 30
Étape 2 : ActiverAWS Managed Microsoft ADet définissez l'administrateur ................................. 31
Étape 3 : Configuration complète dans le panneau de configuration d'administration ..................... 31
Activation de l'authentification unique ........................................................................................... 32
Activation de l'authentification multi-facteurs .................................................................................. 32
Promotion d'un utilisateur en tant qu'administrateur ........................................................................ 33
Gestion des paramètres de site .......................................................................................................... 34
Déploiement d'Amazon WorkDocs Drive sur plusieurs ordinateurs ............................................................ 39
Invitation et gestion des utilisateurs ..................................................................................................... 40
Rôles utilisateur ........................................................................................................................ 40
iiiAmazon WorkDocs Guide d'administration
Démarrage du panneau de configuration administrateur .................................................................. 41
Désactivation de l'activation automatique ...................................................................................... 42
Contrôle des invitations utilisateur avec l'activation automatique activée ............................................. 42
Invitation de nouveaux utilisateurs ............................................................................................... 43
Modification d'utilisateurs ............................................................................................................ 43
Désactivation d’utilisateurs ......................................................................................................... 44
Suppression d’utilisateurs en attente (annuaire simple AD uniquement) ..................................... 44
Transfert de la propriété d'un document ....................................................................................... 44
Téléchargement des listes d'utilisateurs ........................................................................................ 45
Partage et collaboration ..................................................................................................................... 46
Sharing .................................................................................................................................... 46
Partage de lien ................................................................................................................. 46
Partager par invitation ....................................................................................................... 46
Partage externe ................................................................................................................ 47
Permissions ............................................................................................................................. 47
Roles .............................................................................................................................. 47
Autorisations pour un dossier partagé .................................................................................. 48
Autorisations de fichiers ..................................................................................................... 49
Autorisations pour les fichiers partagés ................................................................................ 50
Activation de l'édition collaborative .............................................................................................. 51
Activation de Hancom ThinkFree ......................................................................................... 51
Activation d'Ouvrir avec Office Online .................................................................................. 52
Migration de fichiers .......................................................................................................................... 53
Étape 1 : Préparation à la migration ............................................................................................. 54
Étape 2 : Chargement de fichiers sur Amazon S3 .......................................................................... 54
Étape 3 : Programmer une migration ............................................................................................ 54
Étape 4 : Suivi d'une migration .................................................................................................... 56
Étape 5 : Nettoyage des ressources ............................................................................................. 56
Dépannage ...................................................................................................................................... 58
Impossible de configurer mon site Amazon WorkDocs dans une instance spécifiqueAWSRégion ............ 58
Je souhaite configurer mon site Amazon WorkDocs dans un Amazon VPC existant ............................. 58
Les utilisateurs doivent réinitialiser leur mot de passe ..................................................................... 58
Un utilisateur a partagé par erreur un document sensible ................................................................ 59
L'utilisateur a quitté l'organisation et n'a pas transféré la propriété du document .................................. 59
Nécessité de déployer Amazon WorkDocs Drive ou Amazon WorkDocs Companion pour plusieurs
utilisateurs ............................................................................................................................... 59
La modification en ligne est inopérante ........................................................................................ 34
Gestion Amazon WorkDocs pour Amazon Business ............................................................................... 60
Historique du document ..................................................................................................................... 62
Glossaire AWS ................................................................................................................................. 64
...................................................................................................................................................... lxv
ivAmazon WorkDocs Guide d'administration
Accès Amazon WorkDocs
Qu'est-ce qu'Amazon WorkDocs ?
Amazon WorkDocs est un service de stockage et de partage d'entreprise sécurisé et entièrement géré
qui offre de puissantes options de contrôle administratif et de commentaire afin d'accroître la productivité
des utilisateurs. Vos fichiers sont stockés dans le cloud en toute sécurité. Les fichiers de vos utilisateurs
ne sont visibles que d'eux et de leurs collaborateurs et utilisateurs désignés. Les autres membres de
votre organisation n'ont pas accès aux fichiers des autres utilisateurs, sauf si un accès spécifique leur est
accordé.
Les utilisateurs peuvent partager leurs fichiers avec d'autres membres de votre organisation à des fins de
collaboration ou de vérification. Les applications clientes Amazon WorkDocs peuvent être utilisées pour
afficher de nombreux types de fichier différents, en fonction du type de média Internet du fichier. Amazon
WorkDocs prend en charge tous les formats de document et d'image courants, et la prise en charge de
types de média supplémentaires est constamment ajoutée.
Pour de plus amples informations, veuillez consulterAmazon WorkDocs.
Accès Amazon WorkDocs
Les administrateurs utilisent leConsole Amazon WorkDocsPour créer et désactiver les sites Amazon
WorkDocs. Avec le Panneau de configuration d'administration, ils peuvent gérer les utilisateurs, le stockage
et les paramètres de sécurité. Pour plus d'informations, veuillez consulter Gestion des paramètres de
site (p. 34) et Invitation et gestion des utilisateurs Amazon WorkDocs (p. 40).
Les utilisateurs non administratifs utilisent les applications clientes pour accéder à leurs fichiers. Ils
n'utilisent jamais la console Amazon WorkDocs ou le tableau de bord d'administration. Amazon WorkDocs
offre plusieurs applications et utilitaires clients :
• Une application web utilisée pour la gestion et la consultation de documents.
• Des applications natives pour appareils mobiles, utilisées pour la consultation des documents.
• Amazon WorkDocs Drive, une application qui synchronise un dossier sur votre ordinateur de bureau
macOS ou Windows avec vos fichiers Amazon WorkDocs.
Pour plus d'informations sur la façon dont les utilisateurs peuvent télécharger les clients Amazon WorkDocs
et modifier leurs fichiers, et les types de fichiers pris en charge, consultez :
• Démarrage avec Amazon WorkDocs
• Modification de fichiers
• Types de fichier pris en charge
Pricing
Amazon WorkDocs n'entraîne pas de frais ou d'engagement initiaux. Vous payez uniquement pour
les comptes d'utilisateurs actifs et pour le stockage utilisé. Pour de plus amples informations, veuillez
consulterTarification.
Comment démarrer
Pour démarrer avec Amazon WorkDocs, utilisez l'un des didacticiels suivants :
1Amazon WorkDocs Guide d'administration
Comment démarrer
• Mise en route avec Quick Start (p. 21)
• Mise en route avec Simple AD : Configuration standard (p. 24)
• Mise en route avec un annuaire existant (p. 26)
• Mise en route avec AD Connector (p. 27)
• Mise en route avec AWS Managed Microsoft AD (p. 30)
Si vous avez un compte d'administrateur WorkSpaces avec un annuaire activé pour Amazon WorkDocs,
vous pouvez vous connecter à votre site Amazon WorkDocs et terminer la configuration depuis Amazon
WorkDocsPanneau de configuration d'administration. Pour de plus amples informations, veuillez consulter
Étape 3 : Configuration complète dans le panneau de configuration d'administration (p. 26).
Pour plus d'informations sur l'utilisation de WorkSpaces pour démarrer avec Amazon WorkDocs,
consultezDémarrer avec WorkSpaces Quick Setupdans leGuide d'administration Amazon WorkSpaces.
Pour plus d'informations sur l'utilisation d'un client Amazon WorkDocs dans WorkSpaces ou une instance
Amazon EC2, consultezPoints de terminaison pour Amazon S3dans leAmazon VPC User Guide.
2Amazon WorkDocs Guide d'administration
Inscrivez-vous à AWS
Prérequis pour Amazon WorkDocs
Pour configurer de nouveaux sites Amazon WorkDocs ou gérer les sites existants, vous devez exécuter les
tâches suivantes.
Tâches
• Inscrivez-vous à AWS (p. 3)
• Création d'utilisateurs et de groupes IAM (recommandé) (p. 3)
Inscrivez-vous à AWS
Votre compte AWS vous donne accès à tous les services, mais seules les ressources que vous utilisez
vous sont facturées.
Si vous n'avez pas de compte Compte AWS , procédez comme suit pour en créer un.
Pour s'inscrire à un Compte AWS
1. Ouvrez https://portal.aws.amazon.com/billing/signup.
2. Suivez les instructions en ligne.
Dans le cadre de la procédure d'inscription, vous recevrez un appel téléphonique et vous saisirez un
code de vérification en utilisant le clavier numérique du téléphone.
Vos dépensesAWSles informations d'identification du compte racine vous identifient aux services
dansAWSet vous accorder une utilisation illimitée de votreAWS, telles que vos sites Amazon WorkDocs.
Création d'utilisateurs et de groupes IAM
(recommandé)
Pour permettre aux autres utilisateurs de configurer de nouveaux sites Amazon WorkDocs ou de gérer les
sites existants sans partager vos informations d'identification de sécurité, utilisezAWS Identity and Access
Management(IAM). Nous recommandons que tout le monde travaille en tant qu'utilisateur IAM, même le
propriétaire du compte. Vous devez créer un utilisateur IAM pour vous-même, accorder à cet utilisateur IAM
des privilèges d'administrateur et l'utiliser pour toutes vos tâches.
Pour de plus amples informations, veuillez consulter Identity and Access Management pour Amazon
WorkDocs (p. 4).
3Amazon WorkDocs Guide d'administration
Identity and Access Management
Sécurité dans Amazon WorkDocs
Chez AWS, la sécurité dans le cloud est notre priorité numéro 1. En tant que client AWS, vous
bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des
organisations les plus pointilleuses en termes de sécurité.
La sécurité est une responsabilité partagée entre AWS et vous-même. Le modèle de responsabilité
partagée décrit cette notion par les termes sécurité du cloud et sécurité dans le cloud :
• Sécurité du cloud – AWS est responsable de la protection de l'infrastructure qui exécute des services
AWS dans le cloud AWS. AWS vous fournit également les services que vous pouvez utiliser en toute
sécurité. Des auditeurs tiers testent et vérifient régulièrement l'efficacité de notre sécurité dans le cadre
des programmes de conformité AWS. Pour en savoir plus sur tous les programmes de conformité qui
s'appliquent à Amazon WorkDocs, consultezAWSServices visés par le programme de conformité.
• Sécurité dans le cloud : votre responsabilité est déterminée par le service AWS que vous utilisez. Vous
êtes également responsable d'autres facteurs, y compris la sensibilité de vos données, les exigences de
votre entreprise, la législation et la réglementation applicables.
Cette documentation vous aide à comprendre comment appliquer le modèle de responsabilité partagée
lorsque vous utilisez Amazon WorkDocs. Les rubriques suivantes vous montrent comment configurer
Amazon WorkDocs pour répondre à vos objectifs de sécurité et de conformité. Vous pouvez également
apprendre à utiliser d'autres services AWS capables de vous aider à surveiller et à sécuriser vos
ressources Amazon WorkDocs.
Rubriques
• Identity and Access Management pour Amazon WorkDocs (p. 4)
• Journalisation et surveillance dans Amazon WorkDocs (p. 16)
• Validation de la conformité pour Amazon WorkDocs (p. 19)
• Résilience dans Amazon WorkDocs (p. 20)
• Sécurité de l'infrastructure dans Amazon WorkDocs (p. 20)
Identity and Access Management pour Amazon
WorkDocs
AWS Identity and Access Management (IAM) est un service AWS qui aide un administrateur à
contrôler en toute sécurité l'accès aux ressources AWS. Les administrateurs IAM contrôlent qui peut
êtreAuthentifié(connecté) etAuthorized(disposent d'autorisations) pour utiliser les ressources Amazon
WorkDocs. IAM est un service AWS que vous pouvez utiliser sans frais supplémentaires.
Rubriques
• Audience (p. 5)
• Authentification avec des identités (p. 5)
• Gestion de l'accès à l'aide de stratégies (p. 7)
• Fonctionnement d'Amazon WorkDocs avec IAM (p. 9)
4Amazon WorkDocs Guide d'administration
Audience
• Exemples de stratégies basées sur l'identité Amazon WorkDocs (p. 11)
• Résolution des problèmes pour identité et accès Amazon WorkDocs (p. 14)
Audience
UtilisationAWS Identity and Access Management(IAM) diffère selon la tâche que vous accomplissez dans
Amazon WorkDocs.
Utilisateur du service— Si vous utilisez le service Amazon WorkDocs pour effectuer votre tâche, votre
administrateur vous fournit les informations d'identification et les autorisations dont vous avez besoin.
Plus vous utiliserez de fonctionnalités Amazon WorkDocs pour effectuer votre travail, plus vous pourrez
avoir besoin d'autorisations supplémentaires. Comprendre la gestion des accès peut vous aider à
demander à votre administrateur les autorisations appropriées. Si vous ne pouvez pas accéder à une
fonctionnalité dans Amazon WorkDocs, consultezRésolution des problèmes pour identité et accès Amazon
WorkDocs (p. 14).
Administrateur de service— Si vous êtes le responsable des ressources Amazon WorkDocs de votre
entreprise, vous bénéficiez probablement d'un accès total à Amazon WorkDocs. C'est à vous de déterminer
les fonctionnalités et les ressources Amazon WorkDocs auxquelles vos employés pourront accéder. Vous
devez ensuite soumettre les demandes à votre administrateur IAM pour modifier les autorisations des
utilisateurs de votre service. Consultez les informations sur cette page pour comprendre les concepts
de base d'IAM. Pour en savoir plus sur la façon dont votre entreprise peut utiliser IAM avec Amazon
WorkDocs, consultezFonctionnement d'Amazon WorkDocs avec IAM (p. 9).
Administrateur IAM— Si vous êtes un administrateur IAM, vous souhaiterez peut-être obtenir des détails
sur la façon dont vous pouvez écrire des stratégies pour gérer l'accès à Amazon WorkDocs. Pour voir
des exemples de stratégies Amazon WorkDocs basées sur l'identité que vous pouvez utiliser dans IAM,
consultezExemples de stratégies basées sur l'identité Amazon WorkDocs (p. 11).
Authentification avec des identités
L'authentification correspond au processus par lequel vous vous connectez à AWS via vos informations
d'identification. Pour de plus amples informations sur la connexion à l’aide de la AWS Management
Console, veuillez consulter Connexion à la AWS Management Console en tant qu'utilisateur IAM ou
utilisateur racine dans le Guide de l’utilisateur IAM.
Vous devez vous authentifier (être connecté à AWS) en tant qu'utilisateur racine du Compte AWS ,
utilisateur IAM ou en endossant un rôle IAM. Vous pouvez également utiliser l'authentification de connexion
unique de votre entreprise ou vous connecter par le biais de Google ou de Facebook. Dans ces cas, votre
administrateur aura précédemment configuré une fédération d’identités avec des rôles IAM. Lorsque vous
accédez à AWS avec des informations d’identification d’une autre entreprise, vous assumez indirectement
un rôle.
Pour vous connecter directement à la AWS Management Console, utilisez votre mot de passe avec
votre adresse e-mail d’utilisateur racine ou votre nom d'utilisateur IAM. Vous pouvez accéder à AWS par
programmation avec vos clés d'accès utilisateur IAM ou racine. AWS fournit un kit SDK et des outils de
ligne de commande pour signer de manière chiffrée votre demande avec vos informations d'identification.
Si vous n'utilisez pas les outils AWS, vous devez signer la requête vous-même. Pour ce faire, utilisez
Signature Version 4, un protocole permettant d’authentifier les demandes d'API entrantes. Pour de plus
amples informations sur l'authentification des demandes, veuillez consulter Processus de signature
Signature Version 4 dans les Références générales AWS.
Quelle que soit la méthode d'authentification que vous utilisez, vous devrez peut-être également fournir des
informations de sécurité supplémentaires. Par exemple, AWS vous recommande d'utiliser l'authentification
multi-facteurs (MFA) pour améliorer la sécurité de votre compte. Pour en savoir plus, veuillez consulter
Utilisation de la Multi-Factor Authentication (MFA) dans AWS dans le Guide de l’utilisateur IAM.
5Amazon WorkDocs Guide d'administration
Authentification avec des identités
AWSUtilisateur racine d'un compte
Lorsque vous créez un Compte AWS , vous commencez avec une seule identité de connexion disposant
d'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée
l'utilisateur racine du Compte AWS . Vous pouvs y accéder en vous connectant à l'aide de l'adresse e-
mail et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne
pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives.
Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer
le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine
et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services.
Utilisateurs et groupes IAM
Un utilisateur IAM est une identité dans votre Compte AWS qui dispose d'autorisations spécifiques pour
une seule personne ou application. Un utilisateur IAM peut disposer d'informations d'identification à long
terme, comme un nom d'utilisateur et un mot de passe ou un ensemble de clés d'accès. Pour découvrir
comment générer des clés d'accès, veuillez consulter Gestion des clés d’accès pour les utilisateurs IAM
dans le Guide de l’utilisateur IAM. Lorsque vous générez des clés d'accès pour un utilisateur IAM, veillez à
afficher et enregistrer la paire de clés de manière sécurisée. Vous ne pourrez plus récupérer la clé d'accès
secrète à l'avenir. Au lieu de cela, vous devrez générer une nouvelle paire de clés d'accès.
Un groupe IAM est une identité qui concerne un ensemble d’utilisateurs IAM. Vous ne pouvez pas vous
connecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pour
plusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pour
de grands ensembles d'utilisateurs. Par exemple, vous pouvez avoir un groupe nommé IAMAdmins et
accorder à ce groupe les autorisations d'administrer des ressources IAM.
Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personne
ou une application, alors qu'un rôle est conçu pour être endossé par tout utilisateur qui en a besoin.
Les utilisateurs disposent d'informations d'identification permanentes, mais les rôles fournissent des
informations d'identification temporaires. Pour en savoir plus, consultez Quand créer un utilisateur IAM (au
lieu d'un rôle) dans le Guide de l'utilisateur IAM.
Rôles IAM
Un rôle IAM est une entité au sein de votre Compte AWS qui dispose d'autorisations spécifiques. Le
concept ressemble à celui d'utilisateur IAM, mais le rôle IAM n'est pas associé à une personne en
particulier. Vous pouvez temporairement endosser un rôle IAM dans la AWS Management Console en
changeant de rôle. Vous pouvez obtenir un rôle en appelant une opération d’API AWS CLI ou AWS à
l'aide d'une URL personnalisée. Pour de plus amples informations sur les méthodes d'utilisation des rôles,
veuillez consulter Utilisation des rôles IAM dans le Guide de l’utilisateur IAM.
Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :
• Autorisations utilisateur IAM temporaires : Un utilisateur IAM peut endosser un rôle IAM pour accepter
différentes autorisations temporaires concernant une tâche spécifique.
• Accès par des utilisateurs fédérés – Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités
existantes provenant d'AWS Directory Service, de votre répertoire d'utilisateurs d'entreprise ou d'un
fournisseur d'identité web. On parle alors d'utilisateurs fédérés. AWS attribue un rôle à un utilisateur
fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour de plus amples informations sur
les utilisateurs fédérés, veuillez consulter Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.
• Accès comptes multiples : Vous pouvez utiliser un rôle IAM pour permettre à un utilisateur (mandataire
de confiance) d'un compte différent d'accéder aux ressources de votre compte. Les rôles constituent
le principal moyen d'accorder l'accès entre plusieurs comptes. Toutefois, certains services AWS vous
permettent d'attacher une stratégie directement à une ressource (au lieu d'utiliser un rôle en tant que
6Amazon WorkDocs Guide d'administration
Gestion de l'accès à l'aide de stratégies
proxy). Pour en savoir plus sur la différence entre les rôles et les stratégies basées sur les ressources
pour l'accès comptes multiples, veuillez consulter Différence entre les rôles IAM et les stratégies basées
sur les ressources dans le Guide de l’utilisateur IAM.
• Accès inter-services – Certains services AWS utilisent des fonctionnalités dans d'autres services AWS.
Par exemple, lorsque vous effectuez un appel dans un service, il est courant pour ce service d'exécuter
des applications dans Amazon EC2 ou de stocker des objets dans Amazon S3. Un service peut le faire
en utilisant les autorisations d'appel du mandataire, un rôle de service ou un rôle lié au service.
• Autorisations du mandataire – Lorsque vous utilisez un utilisateur ou un rôle IAM afin d'effectuer
des actions dans AWS, vous êtes considéré comme mandataire. Les stratégies accordent des
autorisations au mandataire. Lorsque vous utilisez certains services, vous pouvez effectuer une
action qui déclenche une autre action dans un autre service. Dans ce cas, vous devez disposer
d'autorisations nécessaires pour effectuer les deux actions. Pour savoir si une action nécessite
d’autres actions supplémentaires dans une stratégie, veuillez consulter Référence de l’autorisation de
service.
• Rôle de service : Il s'agit d'un rôle IAM attribué à un service afin de réaliser des actions en votre nom.
Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d'IAM. Pour de plus
amples informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à un AWS
service dans le Guide de l'utilisateur IAM.
• Rôle lié au service – Un rôle lié au service est un type de rôle de service lié à un service AWS. Le
service peut assumer le rôle afin d'effectuer une action en votre nom. Les rôles liés à un service
s'affichent dans votre compte IAM et sont la propriété du service. Un administrateur IAM peut
consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
• Applications s'exécutant sur Amazon EC2 – Vous pouvez utiliser un rôle IAM pour gérer des informations
d'identification temporaires pour les applications s'exécutant sur une instance EC2 et effectuant AWS
CLI ou des AWS requêtes API. Cette solution est préférable au stockage des clés d'accès au sein de
l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponible à toutes les
applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance
contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations
d'identification temporaires. Pour de plus amples informations, veuillez consulter Utilisation d'un rôle IAM
pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le
Guide de l’utilisateur IAM.
Pour savoir dans quel cas utiliser des rôles ou des utilisateurs IAM, veuillez consulter Quand créer un rôle
IAM (au lieu d’un utilisateur) dans le Guide de l’utilisateur IAM.
Gestion de l'accès à l'aide de stratégies
Vous contrôler les accès dans AWS en créant des stratégies et en les attachant à des identités ou à des
ressources AWS. Une stratégie est un objet dans AWS qui, lorsqu'elle est associée à une identité ou à
une ressource, définit leurs autorisations. Vous pouvez vous connecter en tant qu'utilisateur racine ou
IAM ou vous pouvez endosser un rôle IAM. Lorsque vous effectuez ensuite une demande, AWS évalue
les stratégies relatives basées sur l'identité ou les ressources. Les autorisations dans les stratégies
déterminent si la demande est autorisée ou refusée. La plupart des stratégies sont stockées dans AWS en
tant que documents JSON. Pour plus d'informations sur la structure et le contenu du document de stratégie
JSON, consultez Présentation des stratégies JSON dans le IAM Guide de l'utilisateur.
Les administrateurs peuvent utiliser les stratégies JSON AWS pour spécifier qui a accès à quoi. Cela
indique quel mandataire peut exécuter des actions, sur quel type de ressources et dans quelles conditions.
Chaque entité IAM (utilisateur ou rôle) démarre sans autorisation. En d'autres termes, par défaut, les
utilisateurs ne peuvent rien faire, pas même changer leurs propres mots de passe. Pour autoriser un
utilisateur à effectuer une opération, un administrateur doit associer une stratégie d'autorisations à ce
dernier. Il peut également ajouter l'utilisateur à un groupe disposant des autorisations prévues. Lorsqu'un
administrateur accorde des autorisations à un groupe, tous les utilisateurs de ce groupe se voient octroyer
ces autorisations.
7Amazon WorkDocs Guide d'administration
Gestion de l'accès à l'aide de stratégies
Les stratégies IAM définissent les autorisations d'une action, quelle que soit la méthode que vous utilisez
pour exécuter l'opération. Par exemple, supposons que vous disposiez d'une stratégie qui autorise l'action
iam:GetRole. Un utilisateur avec cette stratégie peut obtenir des informations utilisateur à partir de l'AWS
Management Console, de l'AWS CLI ou de l'API AWS.
Stratégies basées sur l'identité
Les stratégies basées sur l'identité sont des documents de stratégie d'autorisations JSON que vous
pouvez attacher à une identité telle qu'un utilisateur, un groupe d'utilisateurs ou un rôle IAM. Ces stratégies
contrôlent quel type d'actions des utilisateurs et des rôles peuvent exécuter, sur quelles ressources et
dans quelles conditions. Pour découvrir comment créer une stratégie basée sur l’identité, veuillez consulter
Création de stratégies IAM dans le Guide de l’utilisateur IAM.
Les stratégies basées sur l'identité peuvent être classées comme étant des stratégies en ligne ou des
stratégies gérées. Les stratégies en ligne sont intégrées directement à un utilisateur, groupe ou rôle. Les
stratégies gérées sont des stratégies autonomes que vous pouvez lier à plusieurs utilisateurs, groupes
et rôles de votre compte Compte AWS . Les stratégies gérées incluent les stratégies gérées par AWS
et les stratégies gérées par le client. Pour découvrir comment choisir entre une politique gérée ou une
politique en ligne, consultez Choix entre les stratégies gérées et les stratégies en ligne dans le IAM Guide
de l'utilisateur.
Stratégies basées sur les ressources
Les stratégies basées sur les ressources sont des documents de stratégie JSON que vous attachez à
une ressource. Des stratégies basées sur les ressources sont par exemple, les stratégies de confiance
de rôle IAM et des stratégies de compartiment Amazon S3. Dans les services qui sont compatibles
avec les stratégies basées sur les ressources, les administrateurs de service peuvent les utiliser pour
contrôler l'accès à une ressource spécifique. Pour la ressource dans laquelle se trouve la stratégie, cette
dernière définit quel type d'actions un mandataire spécifié peut effectuer sur cette ressource et dans
quelles conditions. Vous devez spécifier un mandataire dans une stratégie basée sur les ressources.
Les mandataires peuvent inclure des comptes, des utilisateurs, des rôles, des utilisateurs fédérés ou des
services AWS.
Les stratégies basées sur les ressources sont des stratégies en ligne situées dans ce service. Vous ne
pouvez pas utiliser les stratégies gérées AWS depuis IAM dans une stratégie basée sur les ressources.
Listes de contrôle d'accès (ACL)
Les listes de contrôle d'accès (ACL) vérifie quels mandataires (membres de compte, utilisateurs ou rôles)
ont l'autorisation d'accéder à une ressource. Les listes de contrôle d’accès sont similaires aux stratégies
basées sur les ressources, bien qu'elles n'utilisent pas le format de document de stratégie JSON.
Amazon S3, AWS WAF et Amazon VPC sont des exemples de services prenant en charge les listes ACL.
Pour en savoir plus sur les listes de contrôle d'accès, veuillez consulter Présentation des listes de contrôle
d’accès (ACL) dans le Guide du développeur Amazon Simple Storage Service.
Autres types de stratégie
AWS prend en charge d'autres types de stratégies moins courantes. Ces types de stratégies peuvent
définir le nombre maximum d'autorisations qui vous sont accordées par des types de stratégies plus
courants.
• Limite d'autorisations – Une limite d'autorisations est une fonctionnalité avancée dans laquelle vous
définissez les autorisations maximales qu'une stratégie basée sur l'identité peut accorder à une
entité IAM (utilisateur ou rôle IAM). Vous pouvez définir une limite d'autorisations pour une entité. Les
autorisations obtenues représentent la combinaison des stratégies basées sur l'identité de l'entité
8Amazon WorkDocs Guide d'administration
Fonctionnement d'Amazon WorkDocs avec IAM
et de ses limites d'autorisations. Les stratégies basées sur les ressources qui spécifient l'utilisateur
ou le rôle dans le champ Principal ne sont pas limitées par les limites d'autorisations. Un refus
explicite dans l'une de ces stratégies remplace l'autorisation. Pour de plus amples informations sur les
limites d'autorisations, veuillez consulter Limites d'autorisations pour des entités IAM dans le Guide de
l'utilisateur IAM.
• Stratégies de contrôle de service (SCP)— Les stratégies de contrôle de service qui spécifient
les autorisations maximales pour une organisation ou une unité d'organisation (OU) dansAWS
Organizations.AWS Organizationsest un service permettant de regrouper et de gérer de façon
centralisée plusieurs Comptes AWS que votre entreprise possède. Si vous activez toutes les fonctions
d'une organisation, vous pouvez appliquer les stratégies de contrôle de service (SCP) à l'un ou à
l'ensemble de vos comptes. La SCP limite les autorisations pour les entités dans les comptes membres,
y compris dans chaque Compte AWS Utilisateur racine. Pour de plus amples informations sur les
organisations et les SCP, veuillez consulter Fonctionnement des SCP dans le Guide de l’utilisateur AWS
Organizations.
• Stratégies de session – Les stratégies de session sont des stratégies avancées que vous transmettez
en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle
ou un utilisateur fédéré. Les autorisations de la session obtenue sont une combinaison des stratégies
basées sur l'identité de l'utilisateur ou du rôle et des stratégies de session. Les autorisations peuvent
également provenir d'une stratégie basée sur les ressources. Un refus explicite dans l'une de ces
stratégies remplace l'autorisation. Pour plus d'informations, consultez Stratégies de session dans le IAM
Guide de l'utilisateur.
Note
Amazon WorkDocs ne prend pas en charge les stratégies de contrôle des services pour les
Organizations Slack.
Plusieurs types de stratégie
Lorsque plusieurs types de stratégies s'appliquent à la requête, les autorisations obtenues sont plus
compliquées à comprendre. Pour découvrir la façon dont AWS détermine s'il convient d'autoriser une
demande en présence de plusieurs types de stratégies, veuillez consulter Logique d'évaluation de
stratégies dans le Guide de l’utilisateur IAM.
Fonctionnement d'Amazon WorkDocs avec IAM
Avant d'utiliser IAM pour gérer l'accès à Amazon WorkDocs, vous devez comprendre les fonctions IAM
disponibles avec Amazon WorkDocs. Pour obtenir un aperçu de haut niveau de la façon dont Amazon
WorkDocs et autresAWSfonctionnent avec IAM, consultezAWSservices qui fonctionnent avec IAMdans
leIAM User Guide.
Rubriques
• Stratégies basées sur l'identité Amazon WorkDocs (p. 9)
• Stratégies basées sur les ressources Amazon WorkDocs (p. 11)
• Autorisation basée sur les balises Amazon WorkDocs (p. 11)
• Amazon WorkDocs Rôles IAM (p. 11)
Stratégies basées sur l'identité Amazon WorkDocs
Vous pouvez préciser les actions autorisées ou refusées grâce aux stratégies basées sur les identités IAM.
Amazon WorkDocs prend en charge des actions spécifiques. Pour en savoir plus sur tous les éléments que
vous utilisez dans une stratégie JSON, consultezInformations de référence des éléments de stratégie IAM
JSONdans leIAM User Guide.
9Amazon WorkDocs Guide d'administration
Fonctionnement d'Amazon WorkDocs avec IAM
Actions
Les administrateurs peuvent utiliser les stratégies JSON AWS pour spécifier qui a accès à quoi. Cela
signifie : quel mandataire peut effectuer des actions sur quel type de ressources et dans quelles conditions.
L'élément Action d'une stratégie JSON décrit les actions que vous pouvez utiliser pour autoriser ou
refuser l'accès à une stratégie. Les actions de stratégie possèdent généralement le même nom que
l'opération d'API AWS associée. Il existe quelques exceptions, telles que les actions avec autorisations
uniquement qui n'ont pas d'opération API correspondante. Certaines opérations nécessitent également
plusieurs actions dans une stratégie. Ces actions supplémentaires sont nommées actions dépendantes.
Intégration d’actions dans une stratégie afin d’accorder l’autorisation d’exécuter les opérations associées.
Les actions de stratégie dans Amazon WorkDocs utilisent le préfixe suivant avant l'action : workdocs:.
Par exemple, pour accorder à une personne l'autorisation d'exécuter Amazon WorkDocsDescribeUsers,
vous incluez l'opérationworkdocs:DescribeUsersaction dans leur politique. Les déclarations de
stratégie doivent inclure un élément Action ou NotAction. Amazon WorkDocs définit son propre
ensemble d'actions qui décrivent les tâches que vous pouvez effectuer avec ce service.
Pour spécifier plusieurs actions dans une seule déclaration, séparez-les par des virgules comme suit :
"Action": [
"workdocs:DescribeUsers",
"workdocs:CreateUser"
Vous pouvez aussi spécifier plusieurs actions à l'aide de caractères génériques (*). Par exemple, pour
spécifier toutes les actions qui commencent par le mot Describe, incluez l'action suivante :
"Action": "workdocs:Describe*"
Note
Pour assurer la rétrocompatibilité, incluez lezocaloaction. Par exemple :
"Action": [
"zocalo:*",
"workdocs:*"
],
Pour afficher la liste des actions Amazon WorkDocs, veuillez consulter.Actions définies par Amazon
WorkDocsdans leIAM User Guide.
Resources
Amazon WorkDocs ne prend pas en charge la spécification des ARN de ressource dans une stratégie.
Clés de condition
Amazon WorkDocs ne fournit pas de clés de condition spécifiques au service, mais prend en charge
l'utilisation de certaines clés de condition globales. Pour afficher toutes les clés de condition globales AWS,
consultez Clés de contexte de condition globale AWS dans le Guide de l’utilisateur IAM.
Examples
Pour voir des exemples de stratégies Amazon WorkDocs basées sur l'identité, veuillez consulterExemples
de stratégies basées sur l'identité Amazon WorkDocs (p. 11).
10Amazon WorkDocs Guide d'administration
Exemples de stratégies basées sur l'identité
Stratégies basées sur les ressources Amazon WorkDocs
Amazon WorkDocs ne prend pas en charge les stratégies basées sur les ressource.
Autorisation basée sur les balises Amazon WorkDocs
Amazon WorkDocs ne prend pas en charge le balisage des ressources ni le contrôle d'accès basé sur des
balises.
Amazon WorkDocs Rôles IAM
Un rôle IAM est une entité au sein de votre compte AWS qui dispose d'autorisations spécifiques.
Utilisation des informations d'identification temporaires avec Amazon WorkDocs
Vous pouvez utiliser des informations d'identification temporaires pour vous connecter à l'aide de la
fédération, endosser un rôle IAM ou encore pour endosser un rôle entre comptes. Vous obtenez des
informations d'identification de sécurité temporaires en appelant des opérations d'API AWS STS comme
AssumeRole ou GetFederationToken.
Amazon WorkDocs prend en charge l'utilisation des informations d'identification temporaires
Rôles liés à un service
Les rôles liés à un service permettent aux services AWS d'accéder à des ressources dans d'autres services
pour effectuer une action en votre nom. Les rôles liés à un service s'affichent dans votre compte IAM
et sont la propriété du service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les
autorisations concernant les rôles liés à un service.
Amazon WorkDocs ne prend pas en charge les rôles liés à un service.
Rôles de service
Cette fonction permet à un service d'endosser un rôle de service en votre nom. Ce rôle autorise le service
à accéder à des ressources d'autres services pour effectuer une action en votre nom. Les rôles de service
s'affichent dans votre compte IAM et sont la propriété du compte. Cela signifie qu'un administrateur
IAM peut modifier les autorisations associées à ce rôle. Toutefois, une telle action peut perturber le bon
fonctionnement du service.
Amazon WorkDocs ne prend pas en charge les rôles de service.
Exemples de stratégies basées sur l'identité Amazon
WorkDocs
Les utilisateurs et les rôles IAM ne sont pas autorisés, par défaut, à créer ou modifier des ressources
Amazon WorkDocs. Ils ne peuvent pas non plus exécuter des tâches à l'aide de AWS Management
Console, AWS CLI ou de l'API AWS. Un administrateur IAM doit créer des stratégies IAM autorisant les
utilisateurs et les rôles à exécuter des opérations d'API spécifiques sur les ressources spécifiées dont ils
ont besoin. Il doit ensuite attacher ces stratégies aux utilisateurs ou aux groupes IAM ayant besoin de ces
autorisations.
Note
Pour assurer la rétrocompatibilité, incluez lezocalodans vos stratégies. Par exemple :
11Vous pouvez aussi lire
