Configuration d'IAM - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration d'IAM

Important

En guise de bonne pratique IAM, nous vous recommandons d'exiger des utilisateurs humains qu'ils se joignent à un fournisseur d'identité en utilisant la fédération pour accéder à AWS en utilisant des informations d'identification temporaires et non pas des utilisateurs IAM aves des informations d’identification à long terme.

AWS Identity and Access Management (IAM) vous permet de contrôler l'accès à Amazon Web Services (AWS) et vos ressources de compte de façon sécurisée. IAM peut également préserver la confidentialité de vos informations d'identification. Vous ne vous inscrivez pas spécifiquement pour utiliser IAM. L'utilisation d'IAM n'induit aucuns frais.

Utilisez IAM pour donner aux identités, telles que les utilisateurs et les rôles, accès aux ressources de votre compte. Par exemple, vous pouvez utiliser IAM avec des utilisateurs existants de votre répertoire d'entreprise que vous gérez en dehors d'AWS ou vous pouvez créer des utilisateurs dans AWS en utilisant AWS IAM Identity Center. Les identités fédérées endossent des rôles IAM définis pour accéder aux ressources dont elles ont besoin. Pour plus d'informations sur IAM Identity Center, consultez Qu'est-ce que IAM Identity Center ? dans le Guide de l'utilisateur AWS IAM Identity Center.

Note

IAM est intégré à plusieurs produits AWS. Pour connaître la liste des services prenant en charge IAM, veuillez consulter AWS services qui fonctionnent avec IAM.

S’inscrire à un Compte AWS

Si vous n’avez pas de compte Compte AWS, procédez comme suit pour en créer un.

Pour s’inscrire à un Compte AWS
  1. Ouvrez https://portal.aws.amazon.com/billing/signup.

  2. Suivez les instructions en ligne.

    Dans le cadre de la procédure d’inscription, vous recevrez un appel téléphonique et vous saisirez un code de vérification en utilisant le clavier numérique du téléphone.

    Lorsque vous souscrivez à un Compte AWS, un Utilisateur racine d'un compte AWS est créé. Par défaut, seul l’utilisateur root a accès à l’ensemble des Services AWS et des ressources de ce compte. La meilleure pratique de sécurité consiste à attribuer un accès administratif à un utilisateur administratif, et à uniquement utiliser l’utilisateur root pour effectuer tâches nécessitant un accès utilisateur root.

AWS vous envoie un e-mail de confirmation lorsque le processus d’inscription est terminé. Vous pouvez afficher l’activité en cours de votre compte et gérer votre compte à tout moment en accédant à https://aws.amazon.com/ et en cliquant sur Mon compte.

Création d’un utilisateur administratif

Après vous être inscrit à un Compte AWS, sécurisez votre Utilisateur racine d'un compte AWS, activez AWS IAM Identity Center, puis créez un utilisateur administratif afin de ne pas utiliser l’utilisateur root pour les tâches quotidiennes.

Sécurisation de votre Utilisateur racine d'un compte AWS
  1. Connectez-vous à la AWS Management Console en tant que propriétaire du compte en sélectionnant Root user (utilisateur root) et en saisissant l’adresse e-mail de Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Pour obtenir de l’aide pour vous connecter en utilisant l’utilisateur root, consultez Connexion en tant qu’utilisateur root dans le Guide de l’utilisateur Connexion à AWS.

  2. Activez l’authentification multifactorielle (MFA) pour votre utilisateur root.

    Pour obtenir des instructions, consultez Activation d’un dispositif MFA virtuel pour l’utilisateur root de votre Compte AWS (console) dans le Guide de l’utilisateur IAM.

Création d’un utilisateur administratif
  1. Activez IAM Identity Center.

    Pour obtenir des instructions, consultez Configuration d’AWS IAM Identity Center dans le guide de l’utilisateur AWS IAM Identity Center.

  2. Dans IAM Identity Center, octroyez un accès administratif à un utilisateur administratif.

    Pour profiter d’un didacticiel sur l’utilisation du Répertoire IAM Identity Center comme source d’identité, consultez Configuration de l’accès utilisateur avec le répertoire Répertoire IAM Identity Center par défaut dans le Guide de l’utilisateur AWS IAM Identity Center.

Connexion en tant qu’utilisateur administratif
  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.

    Pour obtenir de l’aide pour vous connecter à l’aide d’un utilisateur IAM Identity Center, consultez Connexion au portail d’accès AWS dans le Guide de l’utilisateur Connexion à AWS.

Préparation des autorisations de moindre privilège

L'utilisation d'autorisations de moindre privilège est une recommandation de bonne pratique IAM. Le concept des autorisations de moindre privilège consiste à accorder aux utilisateurs les autorisations nécessaires à l'exécution d'une tâche et aucune autorisation supplémentaire. Lors des préparatifs, réfléchissez à la manière dont vous allez prendre en charge les autorisations de moindre privilège. L'utilisateur root et l'utilisateur administrateur disposent tous deux d'autorisations puissantes qui ne sont pas nécessaires pour les tâches quotidiennes. Pendant que vous vous familiarisez avec AWS et que vous testez différents services, nous vous recommandons de créer au moins un utilisateur supplémentaire dans IAM Identity Center, doté d'autorisations moindres, que vous pourrez utiliser dans différents scénarios. Vous pouvez utiliser les politiques IAM pour définir les actions qui peuvent être entreprises sur des ressources données dans des conditions spécifiques, puis vous connecter à ces ressources avec le compte doté de privilèges moindres.

Si vous utilisez IAM Identity Center, pensez à utiliser des jeux d'autorisations IAM Identity Center pour commencer. Pour en savoir plus, veuillez consulter la rubrique Create a permission set dans le Guide de l'utilisateur IAM Identity Center.

Si vous n'utilisez pas IAM Identity Center, utilisez les rôles IAM pour définir les autorisations des différentes entités IAM. Pour en savoir plus, veuillez consulter la section Création de rôles IAM.

Les rôles IAM et les jeux d'autorisations IAM Identity Center peuvent utiliser des politiques gérées par AWS basées sur les fonctions professionnelles. Pour plus de détails sur les autorisations accordées par ces politiques, consultez Politiques gérées par AWS pour les fonctions de tâches.

Important

Gardez à l'esprit que les stratégies gérées AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles peuvent être utilisées par tous les clients AWS. Au terme de la configuration, nous vous recommandons d'utiliser IAM Access Analyzer pour générer des stratégies de moindre privilège basées sur l'activité d'accès consignée dans AWS CloudTrail. Pour plus d'informations sur la génération de politiques, consultez IAM Access Analyzer policy generation.