Termes et concepts relatifs aux rôles - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Termes et concepts relatifs aux rôles

Voici quelques termes de base pour vous aider à vous familiariser avec les rôles.

Rôle

Une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM présente des similitudes avec un utilisateur IAM. Les rôles et les utilisateurs sont tous deux des identités AWS avec des politiques d'autorisations qui déterminent ce que l'identité peut ou ne peut pas faire dans AWS. En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle.

Les rôles peuvent être utilisés par :

  • Un utilisateur IAM ayant le même Compte AWS rôle

  • Un utilisateur IAM dont le rôle Compte AWS est différent

  • Un service Web proposé par AWS Amazon Elastic Compute Cloud (Amazon EC2)

  • Un utilisateur externe authentifié par un service de fournisseur d'identité (IdP) externe, compatible avec SAML 2.0 ou OpenID Connect, ou un broker d'identité personnalisé.

AWS rôle de service

Une fonction du service est un rôle IAM qu’un service endosse pour accomplir des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer une fonction du service à partir d’IAM. Pour plus d’informations, consultez Création d’un rôle pour la délégation d’autorisations à un Service AWS dans le Guide de l’utilisateur IAM.

AWS rôle de service pour une instance EC2

Un genre particulier de rôle de service qu'une application s'exécutant sur une instance Amazon EC2 peut endosser pour effectuer des actions dans votre compte. Ce rôle est attribué à l'instance EC2 lorsque vous la lancez. Des applications exécutées sur cette instance peuvent récupérer des informations d'identification de sécurité temporaires et effectuer des actions permises par le rôle. Pour plus d'informations sur l'utilisation d'un rôle de service pour une instance EC2, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2.

AWS rôle lié au service

Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.

Note

Si vous utilisez déjà un service lorsqu'il commence à prendre en charge des rôles liés à un service, vous pouvez recevoir un e-mail vous informant de l'existence d'un nouveau rôle sur votre compte. Dans ce cas, le service crée automatiquement le rôle lié à un service sur votre compte. Aucune action de votre part n'est requise pour prendre ce rôle en charge et il est préférable de ne pas le supprimer manuellement. Pour plus d’informations, veuillez consulter Un nouveau rôle est apparu dans mon compte AWS.

Pour plus d'informations concernant la prise en charge par les services des rôles liés à un service, consultez AWS services qui fonctionnent avec IAM et recherchez les services affichant Oui dans la colonne Rôle lié à un service. Choisissez un Yes (Oui) ayant un lien permettant de consulter les détails du rôle pour ce service. Pour plus d’informations, consultez Utilisation des rôles liés à un service.

Création de chaînes de rôles

Le chaînage de rôles consiste à utiliser un rôle pour assumer un second rôle via l'API AWS CLI or. Par exemple, RoleA dispose de l'autorisation d'assumer RoleB. Vous pouvez autoriser User1 à assumer RoleA en utilisant ses informations d'identification utilisateur à long terme dans le cadre du fonctionnement de l' AssumeRole API. Cette opération renvoie les informations d'identification à court terme de RoleA. Avec le chaînage de rôles, vous pouvez utiliser les informations d'identification à court terme de RoleA pour permettre à User1 d'assumer RoleB.

Lorsque vous endossez un rôle, vous pouvez passer une balise de session et la définir comme transitive. Les balises de session transitives sont transmises à toutes les sessions suivantes d'une chaîne de rôles. Pour en savoir plus sur les balises de session, veuillez consulter Transmission des balises de session AWS STS.

Le chaînage des rôles limite votre session de rôle AWS CLI ou celle de l' AWS API à une heure maximum. Lorsque vous utilisez l'opération AssumeRoled'API pour assumer un rôle, vous pouvez spécifier la durée de votre session de rôle à l'aide du DurationSeconds paramètre. Vous pouvez spécifier une valeur de paramètre jusqu'à 43200 secondes (12 heures), en fonction du paramètre de durée de session maximale de votre rôle. Toutefois, si vous endossez un rôle à l'aide de la création de chaînes de rôles et que vous définissez une valeur de paramètre DurationSeconds supérieure à une heure, l'opération échoue.

AWS ne considère pas l'utilisation de rôles pour accorder des autorisations à des applications qui s'exécutent sur des instances EC2 comme un chaînage de rôles.

Délégation

L'octroi à une personne d'autorisations lui permettant d'accéder aux ressources que vous contrôlez. La délégation implique la mise en place d'une confiance entre deux comptes. Le premier est le compte propriétaire de la ressource (le compte de confiance). Le second est le compte qui contient les utilisateurs qui doivent accéder à la ressource (le compte approuvé). Les comptes d'approbation et approuvés peuvent être :

  • Un même compte.

  • Comptes distincts se trouvant tous deux sous le contrôle de votre organisation.

  • Deux comptes appartenant à des organisations différentes.

Pour déléguer l'autorisation d'accès à une ressource, vous créez un rôle IAM dans le compte d'approbation auquel sont attachées deux politiques. La politique d'autorisation accorde à l'utilisateur du rôle les autorisations nécessaires pour exécuter les tâches prévues sur la ressource. La politique d'approbation détermine les membres du compte autorisés à endosser le rôle.

Lorsque vous créez une politique d'approbation, vous ne pouvez pas spécifier de caractère générique (*) comme ARN dans l'élément de principal. La politique d'approbation est attachée au rôle dans le compte d'approbation, et représente la moitié des autorisations. L'autre moitié est une politique d'autorisation attachée à l'utilisateur dans le compte approuvé qui autorise cet utilisateur à prendre ou endosser le rôle. Un utilisateur qui endosse un rôle temporairement abandonne ses propres autorisations, de manière à adopter celles du rôle. Lorsque l'utilisateur quitte le rôle ou cesse de l'utiliser, ses autorisations d'origine sont restaurées. Un paramètre supplémentaire appelé ID externe permet de sécuriser l'utilisation de rôles entre des comptes qui ne sont pas contrôlés par la même organisation.

Fédération

Création d'une relation de confiance entre un fournisseur d'identité externe et AWS. Les utilisateurs peuvent se connecter à un fournisseur OIDC, tel que Login with Amazon, Facebook, Google ou tout autre IdP compatible avec OpenID Connect (OIDC). Ils peuvent également se connecter à un système d'identité d'entreprise compatible avec SAML (Security Assertion Markup Language) 2.0 tel que les services ADFS (Active Directory Federation Services) de Microsoft. Lorsque vous utilisez OIDC et SAML 2.0 pour configurer une relation de confiance entre ces fournisseurs d'identité externes AWS, un rôle IAM est attribué à l'utilisateur. L'utilisateur reçoit également des informations d'identification temporaires qui lui permettent d'accéder à vos AWS ressources.

Utilisateur fédéré

Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités existantes provenant du AWS Directory Service répertoire des utilisateurs de votre entreprise ou d'un fournisseur OIDC. Ils sont appelés utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé par le biais d'un fournisseur d'identité. Pour de plus amples informations sur les utilisateurs fédérés, veuillez consulter Utilisateurs fédérés et rôles.

Politique d'approbation

Document de politique JSON dans lequel vous définissez les principaux en lesquels vous avez confiance pour endosser le rôle. Une politique d'approbation de rôle est une politique basée sur les ressources requise qui est attachée à un rôle dans IAM. Les principaux que vous pouvez spécifier dans la politique d'approbation comprennent les utilisateurs, les rôles, les comptes et les services.

Politique d'autorisations

Un document d'autorisations au format JSON dans lequel vous définissez les actions et ressources que le rôle peut utiliser. Le document est écrit conformément aux règles du langage de politique IAM.

Limite d'autorisations

Une fonction avancée dans laquelle vous utilisez des politiques pour limiter les autorisations maximales qu'une politique basée sur les identités peut accorder à un rôle. Vous ne pouvez pas appliquer une limite d'autorisations à un rôle lié à un service. Pour plus d’informations, veuillez consulter Limites d'autorisations pour les entités IAM.

Principal

Entité AWS capable d'effectuer des actions et d'accéder aux ressources. Un principal peut être un Utilisateur racine d'un compte AWS utilisateur IAM ou un rôle. Vous pouvez accorder des autorisations d'accès à une ressource de l'une des façons suivantes :

  • Vous pouvez attacher une politique d'autorisation à un utilisateur (directement, ou indirectement via un groupe) ou à un rôle.

  • Pour les services qui prennent en charge les politiques basées sur les ressources, vous pouvez identifier le principal dans l'élément Principal d'une politique attachée à la ressource.

Si vous faites référence à un Compte AWS comme principal, cela signifie généralement tout principal défini dans ce compte.

Note

Vous ne pouvez pas utiliser un caractère générique (*) pour faire correspondre une partie d'un nom de principal ou d'un ARN dans une politique d'approbation d'un rôle. Pour plus de détails, consultez AWS Éléments de politique JSON : Principal.

Rôle pour l'accès entre comptes

Un rôle qui octroie l'accès aux ressources d'un compte à un principal approuvé d'un autre compte. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, certains services AWS vous permettent d'attacher une politique directement à une ressource (au lieu d'utiliser un rôle en tant que proxy). Ces politiques sont appelées politiques basées sur les ressources, et vous pouvez les utiliser pour accorder aux principaux un autre Compte AWS accès à la ressource. Ces ressources incluent notamment les compartiments Amazon Simple Storage Service (S3), les coffres S3 Glacier, les rubriques Amazon Simple Notification Service (SNS) et les files d'attente Amazon Simple Queue Service (SQS). Pour connaître les services qui prennent en charge les politiques basées sur les ressources, veuillez consulter AWS services qui fonctionnent avec IAM. Pour plus d'informations sur les politiques basées sur les ressources, consultez Accès intercompte aux ressources dans IAM.