Skip To Content

Stratégies IAM pour ArcGIS Enterprise on Amazon Web Services

Amazon Identity and Access Management (IAM) contrôle l’accès aux ressources Amazon Web Services (AWS). Les exemples de snippets JSON suivants illustrent les stratégies IAM requises pour l’accès à des ressources spécifiques utilisées par ArcGIS Enterprise.

Exécutez ArcGIS Enterprise Cloud Builder for AWS.

Si vous exécutez l’application ArcGIS Enterprise Cloud Builder for AWS ou ArcGIS Enterprise Cloud Builder Command Line Interface for Amazon Web Services pour créer un déploiement, créez une stratégie IAM comme décrit ci-dessous et affectez-la à un utilisateur IAM. Vous utiliserez les identifiants de connexion de cet utilisateur, comme l’ID de la clé d’accès et la clé d’accès secrète, pour vous connecter à Cloud Builder.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "<statement-id1>",
            "Effect": "Allow",
            "Action": [
                "rds:*",
                "events:PutRule",
                "logs:*",
                "dynamodb:*",
                "autoscaling:*",
                "acm:RequestCertificate",
                "acm:GetCertificate",
                "acm:ListCertificates",
                "acm:ImportCertificate",
                "events:PutEvents",
                "s3:*",
                "acm:AddTagsToCertificate",
                "cloudformation:*",
                "elasticloadbalancing:*",
                "acm:ListTagsForCertificate",
                "events:TestEventPattern",
                "events:PutPermission",
                "events:DescribeEventBus",
                "iam:*",
                "events:PutTargets",
                "acm:DescribeCertificate",
                "acm:RemoveTagsFromCertificate",
                "cloudwatch:*",
                "ssm:*",
                "lambda:*",
                "route53:*",
                "ec2:*",
                "events:RemovePermission"
            ],
            "Resource": "*"
        },
        {
            "Sid": "<statement-id2>",
            "Effect": "Allow",
            "Action": "events:*",
            "Resource": "arn:aws:events:*:*:rule/*"
        }
    ]
}

Remplacez les valeurs <statement-id> par les ID souhaités pour votre déploiement.

Exécuter les modèles CloudFormation depuis Esri

Pour exécuter les modèles AWS CloudFormation fournis par Esri, créez une stratégie IAM comme décrit ci-dessous et affectez-la à un utilisateur IAM.

{
    "Version": "2012-10-17",    "Statement": [        {
            "Sid": "<statement-id1>",            "Effect": "Allow",            "Action": [                "rds:*",                "events:PutRule",                "logs:*",                "dynamodb:*",                "autoscaling:*",                "acm:RequestCertificate",                "acm:GetCertificate",                "acm:ListCertificates",                "acm:ImportCertificate",                "events:PutEvents",                "s3:*",                "acm:AddTagsToCertificate",                "cloudformation:*",                "elasticloadbalancing:*",                "acm:ListTagsForCertificate",                "events:TestEventPattern",                "events:PutPermission",                "events:DescribeEventBus",                "iam:*",                "events:PutTargets",                "acm:DescribeCertificate",                "acm:RemoveTagsFromCertificate",                "cloudwatch:*",                "ssm:*",                "lambda:*",                "ec2:*",                "events:RemovePermission"
            ],            "Resource": "*"
        },        {
            "Sid": "<statement-id2>",            "Effect": "Allow",            "Action": "events:*",            "Resource": "arn:aws:events:*:*:rule/*"
        }
    ]
}

Remplacez les valeurs <statement-id> par les ID souhaités pour votre déploiement.

Stocker le répertoire de contenu Portal for ArcGIS dans un paquet S3

Pour stocker le répertoire de contenu Portal for ArcGIS dans un paquet Amazon Simple Storage Service (S3), vous avez besoin d’un utilisateur ou d’un rôle IAM doté de la stratégie IAM suivante :

{
    "Version": "2012-10-17",    "Statement": [        {
            "Sid": "<statement-id>",            "Effect": "Allow",            "Action": [                "s3:Get*",                "s3:PutObject",                "s3:ListBucket",                "s3:CreateBucket",                "s3:DeleteObject"
            ],            "Resource": [                "arn:aws:s3:::<cache-bucket-name>/*",                "arn:aws:s3:::<cache-bucket-name>"
            ]        }
    ]
}

Remplacez les valeurs entre chevrons (<>) par des valeurs spécifiques à votre déploiement.

2012-10-17 est la version du format de document de stratégie qui s’affiche ici. Si vous modifiez la date de version, le format de document devra peut-être être changé.

Stocker le répertoire du magasin de configuration ArcGIS Server dans S3 et DynamoDB

Pour stocker votre répertoire d’emplacement de la configuration ArcGIS Server à l’aide des services de stockage AWS, vous avez besoin d’un utilisateur ou d’un rôle IAM doté de la stratégie IAM suivante :

{     "Version":"2012-10-17",
   "Statement":[        {  
         "Sid":"<statement-id1>",         "Action":[              "s3:*"
         ],         "Effect":"Allow",         "Resource":[              "arn:aws:s3:::arcgis-config-store-*",
            "arn:aws:s3:::arcgis-config-store-*/*"
         ]      },      {           "Sid":"<statement-id2>",
         "Action":[              "dynamodb:*"
         ],         "Effect":"Allow",         "Resource":[              "arn:aws:dynamodb:*:*:table/ArcGISConfigStores",
            "arn:aws:dynamodb:*:*:table/ArcGISConfigStore.*"
         ]      }
   ]
}

Remplacez les valeurs entre chevrons (<>) par des valeurs spécifiques à votre déploiement.

2012-10-17 est la version du format de document de stratégie qui s’affiche ici. Si vous modifiez la date de version, le format de document devra peut-être être changé.

Caches de stockage dans un paquet S3

Pour inscrire un paquet S3 en tant que répertoire cloud en vue du stockage et de l’accès aux caches de carte et d’imagerie, votre utilisateur ou rôle IAM requiert au minimum la stratégie IAM suivante :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "<statement-id>",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketAcl",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::<cache-bucket-name>/*",
                "arn:aws:s3:::<cache-bucket-name>"
            ]
        }
    ]
}

Remplacez les valeurs entre chevrons (<>) par des valeurs spécifiques à votre déploiement.

2012-10-17 est la version du format de document de stratégie qui s’affiche ici. Si vous modifiez la date de version, le format de document devra peut-être être changé.

Utilisation d’un paquet S3 en tant que partage de fichiers Big Data

Pour inscrire un paquet S3 en tant que partage de fichier Big Data, votre utilisateur ou rôle IAM requiert au minimum la stratégie IAM suivante :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "<statement-id>",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:CreateBucket",
                "s3:DeleteBucket",
                "s3:AbortMultipartUpload"
            ],
            "Resource": [
                "arn:aws:s3:::<bdfs-bucket-name>/*",
                "arn:aws:s3:::<bdfs-bucket-name>"
            ]
        }
    ]
}

Remplacez les valeurs entre chevrons (<>) par des valeurs spécifiques à votre déploiement.

2012-10-17 est la version du format de document de stratégie qui s’affiche ici. Si vous modifiez la date de version, le format de document devra peut-être être changé.

Utilisation d’un paquet S3 en tant que répertoire raster

Pour inscrire un paquet S3 en tant que répertoire raster, votre utilisateur ou rôle IAM requiert au minimum la stratégie IAM suivante :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "<statement-id>",
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetObject",
                "s3:ListBucket",
                "s3:GetBucketAcl",
                "s3:GetObjectVersion"
            ],
            "Resource": [
                "arn:aws:s3:::<cache-bucket-name>/*",
                "arn:aws:s3:::<cache-bucket-name>"
            ]
        }
    ]
}

Remplacez les valeurs entre chevrons (<>) par des valeurs spécifiques à votre déploiement.

2012-10-17 est la version du format de document de stratégie qui s’affiche ici. Si vous modifiez la date de version, le format de document devra peut-être être changé.