web-dev-qa-db-fra.com

Dans AWS IAM, quel est le but / l'utilisation de la variable "Path"?

Dans IAM, quel est le but/l'utilisation de la variable "Path" lors de la création d'un utilisateur IAM via la CLI ou l'API?

amazon-web-servicesamazon-iam
15
Plane Wryter

La variable de chemin d'accès dans IAM est utilisée pour regrouper les utilisateurs et les groupes associés dans un espace de noms unique, généralement à des fins d'organisation.

De Noms et chemins conviviaux :

Si vous utilisez l'API IAM ou l'interface de ligne de commande AWS (AWS CLI) pour créer des entités IAM, vous pouvez également donner à l'entité un chemin facultatif. Vous pouvez utiliser un seul chemin ou imbriquer plusieurs chemins comme s'il s'agissait d'une structure de dossiers. Par exemple, vous pouvez utiliser le chemin imbriqué/division_abc/subdivision_xyz/product_1234/engineering/pour correspondre à la structure organisationnelle de votre entreprise. Vous pouvez ensuite créer une stratégie pour permettre à tous les utilisateurs de ce chemin d'accéder à l'API du simulateur de stratégie. Pour afficher cette stratégie, voir IAM: accéder à l'API Policy Simulator en fonction du chemin utilisateur. Pour des exemples supplémentaires sur la façon dont vous pouvez utiliser les chemins, consultez ARN IAM.

Par exemple, une grande organisation peut avoir des utilisateurs dans les chemins/WestRegion/AZ et/EastRegion/NY. Cela correspondrait aux divisions internes de l'organisation.

Voici quelques exemples du document ci-dessus:

Un utilisateur IAM appelé Bob dans un compte donné:

arn:aws:iam::123456789012:user/Bob

Un autre utilisateur différent Bob avec un chemin reflétant un organigramme:

arn:aws:iam::123456789012:user/division_abc/subdivision_xyz/Bob

Un groupe IAM:

arn:aws:iam::123456789012:group/Developers

Un groupe IAM avec un chemin:

arn:aws:iam::123456789012:group/division_abc/subdivision_xyz/product_A/Developer

Notez que ces métadonnées ne sont pas exposées dans la console. Je suppose que l'utilisation d'un utilisateur path est plus adaptée aux grandes organisations ou aux utilisateurs avancés qui s'appuient normalement sur CloudFormation et/ou l'AWS CLI pour gérer leurs ressources AWS. Par exemple, le --path-prefix est un paramètre pour aws iam list-users.

Voir http://docs.aws.Amazon.com/cli/latest/reference/iam/list-users.html

12
Rodrigo M