Utilisateurs IAM

Important

En guise de bonne pratique IAM, nous vous recommandons d'exiger des utilisateurs humains qu'ils se joignent à un fournisseur d'identité en utilisant la fédération pour accéder à AWS en utilisant des informations d'identification temporaires et non pas des utilisateurs IAM aves des informations d’identification à long terme.

Un utilisateur IAM AWS Identity and Access Management est une entité que vous créez dans AWS. L'utilisateur IAM représente l'utilisateur humain ou la charge de travail qui utilise l'utilisateur IAM pour interagir avec AWS. Dans AWS, un utilisateur se compose d'un nom et d'informations d'identification.

Un utilisateur IAM doté d'autorisations d'administrateur n'est pas un Utilisateur racine d'un compte AWS. Pour de plus amples informations sur l'utilisateur racine, veuillez consulter Utilisateur racine d'un compte AWS.

Comment AWS identifie un utilisateur IAM

Lorsque vous créez un utilisateur IAM, IAM implémente les éléments suivants pour l'identifier :

• Un « nom convivial » pour l'utilisateur IAM. Il s'agit du nom que vous avez spécifié lors de la création de l'utilisateur IAM, par exemple Richard ou Anaya. Ce sont les noms que vous voyez dans AWS Management Console.

• Un Amazon Resource Name (ARN) pour l'utilisateur IAM. Vous utilisez l'ARN pour identifier l'utilisateur IAM de manière unique au sein d'AWS. Par exemple, vous pouvez utiliser un ARN pour spécifier l'utilisateur IAM en tant que Principal dans la politique IAM d'un compartiment Amazon S3. L'ARN d'un utilisateur IAM peut se présenter comme suit :

  arn:aws:iam::account-ID-without-hyphens:user/Richard

• Un identifiant unique pour l'utilisateur IAM. Cet ID est renvoyé uniquement lorsque vous utilisez l'API, Tools for Windows PowerShell ou l'AWS CLI pour créer l'utilisateur IAM. Cet ID n'apparaît pas dans la console.

Pour plus d'informations sur ces identifiants, consultez Identifiants IAM.

Utilisateurs IAM et informations d'identification

Vous pouvez accéder à AWS de différentes façons selon les informations d'identification de l'utilisateur IAM :

• Mot de passe de la console : un mot de passe que l'utilisateur IAM peut entrer pour se connecter à des sessions interactives telles que l'AWS Management Console. La désactivation du mot de passe d'un utilisateur IAM (accès à la console) l'empêche de se connecter à l'AWS Management Console à l'aide de ses informations d'identification. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé.

• Clés d'accès : utilisées pour passer des appels programmatiques à AWS. Toutefois, il existe des alternatives plus sécurisées à envisager avant de créer des clés d'accès pour les utilisateurs IAM. Pour plus d'informations, consultez Considérations et alternatives relatives aux clés d'accès à long terme dans Références générales AWS. Si l'utilisateur IAM dispose de clés d'accès actives, celles-ci continuent de fonctionner et permettent l'accès via l'AWS CLI, Tools for Windows PowerShell, l'API AWS ou l'application mobile de la console AWS.

• Clés SSH à utiliser avec CodeCommit : une clé publique SSH au format OpenSSH qui peut être utilisée pour vous authentifier auprès de CodeCommit.

• Certificats de serveur : certificats SSL/TLS que vous pouvez utiliser pour vous authentifier auprès de certains services AWS. Nous vous recommandons d'utiliser AWS Certificate Manager (ACM) pour mettre en service, gérer et déployer vos certificats de serveur. Utilisez IAM uniquement lorsque vous devez prendre en charge des connexions HTTPS dans une région non prise en charge par ACM. Pour savoir quelles régions prennent en charge ACM, consultez Points de terminaison et quotas AWS Certificate Manager dans Références générales AWS.

Vous pouvez choisir les informations d'identification qui conviennent à votre utilisateur IAM. Lorsque vous utilisez la AWS Management Console pour créer un utilisateur IAM, vous devez au moins choisir d'inclure un mot de passe ou des clés d'accès à la console. Par défaut, un nouvel utilisateur IAM créé à l'aide de la AWS CLI ou de l'API AWS n'a aucune information d'identification d'aucune sorte. Vous devez créer le type d'informations d'identification pour un utilisateur IAM en fonction de votre cas d'utilisation.

Vous disposez des options suivantes pour administrer les mots de passe, les clés d'accès et les dispositifs d'authentification multifactorielle (MFA) :

• Gérer les mots de passe pour vos utilisateurs IAM. Créez et modifiez les mots de passe permettant d'accéder à AWS Management Console. Définissez une politique de mot de passe afin d'appliquer une complexité minimale pour les mots de passe. Autorisez les utilisateurs à modifier leurs propres mots de passe.

• Gérer les clés d'accès pour vos utilisateurs IAM. Créez et mettez à jour les clés d'accès afin de permettre l'accès par programmation aux ressources de votre compte.

• Activez l'authentification multifactorielle (MFA) pour l'utilisateur IAM. Selon les bonnes pratiques, nous vous recommandons d'exiger une authentification multifactorielle pour tous les utilisateurs IAM de votre compte. Avec MFA, les utilisateurs doivent fournir deux formes d'identification : tout d'abord, ils fournissent les informations d'identification faisant partie de leur identité utilisateur (un mot de passe ou une clé d'accès). En outre, ils fournissent un code numérique temporaire généré sur un matériel ou par une application sur un smartphone ou une tablette.

• Recherche de mots de passe et clés d'accès inutilisés. Toute personne qui dispose d'un mot de passe ou de clés d'accès pour votre compte ou un utilisateur IAM de votre compte peut accéder à vos ressources AWS. En matière de sécurité, les bonnes pratiques consistent à supprimer les mots de passe et les clés d'accès dont les utilisateurs n'ont plus besoin.

• Téléchargez un rapport d'informations d'identification pour votre compte. Vous pouvez générer et télécharger un rapport sur les informations d'identification qui répertorie tous les utilisateurs IAM de votre compte et le statut de leurs diverses informations d'identification, notamment leurs mots de passe, clés d'accès et dispositifs MFA. Pour les mots de passe et les clés d'accès, le rapport d'informations d'identification indique leur dernière date d'utilisation.

Rôles et autorisations IAM

Par défaut, un nouvel utilisateur IAM ne dispose d'aucune autorisation pour faire quoi que ce soit. Il n'est autorisé à effectuer aucune opération AWS ni à accéder à aucune ressource AWS. Lorsque vous configurez des utilisateurs IAM individuels, il est également possible de leur affecter des autorisations individuellement. Vous pouvez ainsi affecter des autorisations administratives à quelques utilisateurs qui peuvent ensuite administrer vos ressources AWS et même créer et gérer d'autres utilisateurs IAM. Dans la plupart des cas, il est toutefois préférable de limiter les autorisations d'un utilisateur aux seules tâches (actions ou opérations AWS) et ressources nécessaires au travail.

Prenons l'exemple d'un utilisateur nommé Diego. Lorsque vous créez l'utilisateur IAM Diego, vous lui créez un mot de passe et lui attachez des autorisations qui lui permettent de lancer une instance Amazon EC2 spécifique et de lire (GET) les informations d'une table dans une base de données Amazon RDS. Pour les procédures relatives à la création des utilisateurs et à l'octroi d'informations d'identification initiales, consultez Créer un utilisateur IAM dans votre Compte AWS. Pour les procédures relatives à la modification des autorisations pour les utilisateurs existants, consultez Modification des autorisations pour un utilisateur IAM. Pour les procédures relatives à la modification des clés d'accès et du mot de passe de l'utilisateur, consultez Gestion des mots de passe des utilisateurs dans AWS et Gestion des clés d'accès pour les utilisateurs IAM.

Vous pouvez également ajouter une limite des autorisations à vos utilisateurs IAM. Une limite des autorisations est une fonctionnalité avancée qui vous permet d'utiliser des politiques gérées par AWS pour limiter les autorisations maximales qu'une politique basée sur l'identité peut accorder à un utilisateur ou à un rôle IAM. Pour plus d'informations sur les types de politiques et les utilisations, veuillez consulter Politiques et autorisations dans IAM.

Utilisateurs et comptes IAM

Chaque utilisateur IAM est associé à un seul et même Compte AWS. Dans la mesure où les utilisateurs IAM sont définis au sein de votre Compte AWS, il n'est pas nécessaire d'enregistrer une méthode de paiement pour ceux-ci dans AWS. Toute activité AWS effectuée par les utilisateurs IAM de votre est facturée à votre compte.

Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour de plus amples informations, veuillez consulter Quotas IAM et AWS STS.

Utilisateurs IAM en tant que comptes de service

Un utilisateur IAM est une ressource dans IAM à laquelle des informations d'identification et ses autorisations sont associées. Un utilisateur IAM peut représenter une personne ou une application qui utilise ses informations d'identification pour exécuter des demandes AWS. En général, ceci est appelé un compte de service. Si vous choisissez d'utiliser les informations d'identification à long terme d'un utilisateur IAM dans votre application, n'incorporez pas directement les clés d'accès dans le code de votre application. Les kits SDK AWS et AWS Command Line Interface vous autorisent à placer les clés d'accès à des emplacements connus afin que vous n'ayez pas besoin de les garder dans le code. Pour de plus amples informations, consultez Gestion correcte des clés d'accès utilisateur IAM (français non garanti) dans Références générales AWS. En tant que bonne pratique, vous pouvez également utiliser des informations d'identification de sécurité temporaires (rôles IAM) au lieu des clés d'accès à long terme.