Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Logique d'évaluation de politiques Lorsqu'un principal essaie d'utiliser l' AWS Management Console AWS API, ou le AWS CLI, ce principal envoie une *demande* à AWS. Lorsqu'un AWS service reçoit la demande, AWS effectue plusieurs étapes pour déterminer s'il convient d'autoriser ou de refuser la demande. 1. **Authentification** : authentifie d' AWS abord le principal qui fait la demande, si nécessaire. Cette étape n'est pas nécessaire pour quelques services, tels qu'Amazon S3, qui autorisent certaines demandes provenant d'utilisateurs anonymes. 1. **[Traitement du contexte de la demande](reference_policies_evaluation-logic_policy-eval-reqcontext.md)**— AWS traite les informations recueillies dans la demande afin de déterminer quelles politiques s'appliquent à la demande. 1. **[Comment la logique du code d' AWS application évalue les demandes d'autorisation ou de refus d'accès](reference_policies_evaluation-logic_policy-eval-denyallow.md)**— AWS évalue tous les types de politiques et l'ordre des politiques influe sur la façon dont elles sont évaluées. AWS traite ensuite les politiques en fonction du contexte de la demande pour déterminer si la demande est autorisée ou refusée. ## Évaluation des politiques basées sur l'identité avec des politiques basées sur des ressources Identity-based les politiques et les politiques basées sur les ressources accordent des autorisations aux identités ou aux ressources auxquelles elles sont associées. Lorsqu'une entité IAM (utilisateur ou rôle) demande l'accès à une ressource au sein du même compte, AWS elle évalue toutes les autorisations accordées par les politiques basées sur l'identité et les ressources. Les autorisations résultantes sont l’union des autorisations des deux types. Si une action est autorisée par une stratégie basée sur l'identité, une politique basée sur les ressources, ou les deux, l'action est autorisée. AWS Un refus explicite dans l'une ou l'autre de ces stratégies remplace l'autorisation. ![Évaluation des politiques basées sur l'identité et des politiques basées sur les ressources.](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/permissions_policies_effective.png) ## Évaluation des politiques basées sur l'identité avec des limites d'autorisations Lors de l' AWS évaluation des politiques basées sur l'identité et des limites d'autorisations pour un utilisateur, les autorisations qui en résultent sont à l'intersection des deux catégories. En d'autres termes, lorsque vous ajoutez une limite d'autorisations à un utilisateur avec les politiques basées sur l'identité existantes, vous pouvez réduire les actions exécutées par l'utilisateur. Sinon, lorsque vous supprimez une limite d'autorisations à partir d'un utilisateur, vous pouvez augmenter les actions qu'il peut exécuter. Un refus explicite dans l'une ou l'autre de ces stratégies remplace l'autorisation. Pour afficher des informations sur la façon dont les autres types de politique sont évalués avec des limites d'autorisations, consultez [Évaluation des autorisations effectives avec limites](access_policies_boundaries.md#access_policies_boundaries-eval-logic). ![Évaluation des politiques basées sur l'identité et des limites d'autorisation.](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/permissions_boundary.png) ## Évaluer les politiques basées sur l'identité avec AWS Organizations SCP ou RCP Lorsqu’un utilisateur appartient à un compte membre d’une organisation et accède à une ressource pour laquelle aucune politique basée sur les ressources n’a été configurée, les autorisations résultantes sont l’intersection des politiques de l’utilisateur, des politiques de contrôle des services (SCP) et de la politique de contrôle des ressources (RCP). Cela signifie qu’une action doit être autorisée par les trois types de politique. Un refus explicite dans la politique basée sur l’identité, une SCP ou une RCP annule l’autorisation. ![Évaluation des politiques basées sur l'identité et des SCP ou RCP.](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/permissions_scp-idp.png) Vous pouvez savoir [si votre compte est membre d'une organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_details.html#orgs_view_account) dans AWS Organizations. Les membres de l’organisation pourraient être affectés par une SCP ou une RCP. Pour afficher ces données à l'aide de la AWS CLI commande ou de l'opération AWS API, vous devez disposer des autorisations nécessaires à l'`organizations:DescribeOrganization`action pour votre AWS Organizations entité. Vous devez disposer d'autorisations supplémentaires pour effectuer l'opération dans la AWS Organizations console. Pour savoir si un SCP ou un RCP refuse l'accès à une demande spécifique, ou pour modifier vos autorisations effectives, contactez votre AWS Organizations administrateur.