Modification des autorisations pour un utilisateur IAM - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modification des autorisations pour un utilisateur IAM

Vous pouvez modifier les autorisations d'un utilisateur IAM dans votre Compte AWS en modifiant ses appartenances à un groupe, en copiant les autorisations d'un utilisateur existant, en attachant des politiques directement à un utilisateur ou en définissant une limite des autorisations. Une limite d'autorisations contrôle les autorisations maximum dont un utilisateur peut disposer. Les limites d'autorisations constituent une fonctionnalité AWS avancée.

Pour plus d'informations sur les autorisations requises pour modifier les autorisations d'un utilisateur, consultez Autorisations requises pour accéder aux autres ressources IAM.

Afficher l'accès des utilisateurs

Avant de modifier les autorisations d'un utilisateur, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez Ajustement des autorisations dans AWS à l'aide des dernières informations consultées.

Générer une politique basée sur l'activité d'accès d'un utilisateur

Vous pouvez parfois octroyer plus d'autorisations à une entité IAM (utilisateur ou rôle) qu'elle n'en a besoin. Pour affiner les autorisations que vous octroyez, vous pouvez générer une politique IAM basée sur l'activité d'accès d'une entité. IAM Access Analyzer passe en revue vos journaux AWS CloudTrail et génère un modèle de politique contenant les autorisations qui ont été utilisées par l'entité dans la plage de dates spécifiée. Vous pouvez utiliser le modèle pour créer une politique gérée avec des autorisations affinées, puis l'attacher à l'entité IAM. De cette façon, vous accordez uniquement les autorisations dont l'utilisateur ou le rôle a besoin pour interagir avec les ressources AWS pour votre cas d'utilisation spécifique. Pour en savoir plus, veuillez consulter la section Générer des politiques basées sur l'activité d'accès.

Ajout d'autorisations à un utilisateur (console)

IAM propose trois méthodes pour ajouter des politiques d'autorisations à un utilisateur :

  • Add user to group (Ajouter un utilisateur à un groupe) : faites de l'utilisateur un membre d'un groupe. Les politiques du groupe sont attachées à l'utilisateur.

  • Copy permissions from existing user (Copier les autorisations d'un utilisateur existant) : copiez toutes les appartenances à un groupe, toutes les politiques gérées attachées, les politiques en ligne et toutes les limites d'autorisations existantes d'un utilisateur source.

  • Attach policies directly to user (Attacher directement des politiques à l'utilisateur) : attachez directement une politique gérée à l'utilisateur. Pour faciliter la gestion des autorisations, affectez vos stratégies à un groupe, puis faites de ces utilisateurs des membres des groupes appropriés.

Important

Si l'utilisateur dispose d'une limite d'autorisations, alors vous ne pouvez pas ajouter à un utilisateur plus d'autorisations que le permet la limite.

Ajout d'autorisations en ajoutant l'utilisateur à un groupe

L'ajout d'un utilisateur à un groupe affecte immédiatement l'utilisateur.

Pour ajouter des autorisations à un utilisateur en ajoutant celui-ci à un groupe
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Vérifiez l'appartenance actuelle des utilisateurs au groupe dans la colonne Groupes de la console. Au besoin, ajoutez la colonne à la table des utilisateurs en procédant comme suit :

    1. Au-dessus de la table à l'extrême droite, choisissez le symbole des paramètres ( 
                    Settings icon
                  ).

    2. Dans la boîte de dialogue Manage Columns (Gérer les colonnes), sélectionnez la colonne Groupes. Sinon, vous pouvez également désactiver la case à cocher des en-têtes de colonnes que vous ne souhaitez pas voir s'afficher dans la table des utilisateurs.

    3. Choisissez Fermer pour revenir à la liste des utilisateurs.

    La colonne Groupes vous indique à quels groupes les utilisateurs appartiennent. La colonne inclut jusqu'à deux noms de groupes. Si l'utilisateur est membre d'au moins trois groupes, les deux premiers sont affichés (par ordre alphabétique) et le nombre d'appartenances supplémentaires à un groupe est inclus. Par exemple, si l'utilisateur fait partie du Groupe A, du Groupe B, du Groupe C et du Groupe D, le champ contient la valeur Group A, Group B + 2 more. Pour afficher le nombre total de groupes auxquels l'utilisateur appartient, vous pouvez ajouter la colonne Group count (Nombre de groupes) à la table de l'utilisateur.

  4. Choisissez le nom de l'utilisateur dont vous souhaitez modifier les autorisations.

  5. Choisissez l'onglet Autorisations, puis Add permissions (Ajouter des autorisations). Choisissez Add user to group (ajouter un utilisateur au groupe).

  6. Activez la case à cocher pour chaque groupe que l'utilisateur doit rejoindre. La liste affiche le nom de chaque groupe et les politiques que l'utilisateur reçoit s'il devient membre de ce groupe.

  7. (Facultatif) Outre la sélection de groupes existants, vous pouvez choisir Créer un groupe pour définir un nouveau groupe :

    1. Dans le nouvel onglet, pour Nom du groupe d'utilisateurs, saisissez le nom de votre nouveau groupe.

      Note

      Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour plus d’informations, veuillez consulter Quotas IAM et AWS STS. Les noms de groupe peuvent combiner jusqu'à 128 lettres, chiffres et caractères suivants : plus (+), égal (=), virgule (,), point (.), arobase (@) et tiret (-). Les noms doivent être uniques dans un compte. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux groupes nommés TESTGROUP et testgroup.

    2. Activez une ou plusieurs cases à cocher pour les politiques gérées que vous souhaitez attacher au groupe. Vous pouvez également créer une politique gérée en choisissant Créer une politique. Le cas échéant, revenez dans la fenêtre ou l'onglet du navigateur une fois la nouvelle politique créée. Choisissez Refresh (Actualiser), puis choisissez la nouvelle politique à attacher à votre groupe. Pour de plus amples informations, veuillez consulter Création de politiques IAM.

    3. Choisissez Créer un groupe d'utilisateurs.

    4. Revenez à l'onglet initial, actualisez votre liste de groupes. Puis cochez la case correspondant à votre nouveau groupe.

  8. Choisissez Suivant pour afficher la liste des membres du groupe à ajouter à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

Ajout d'autorisations en copiant celles d'un autre utilisateur

La copie d'autorisations affecte immédiatement l'utilisateur.

Pour ajouter des autorisations à un utilisateur en copiant celles d'un autre utilisateur
  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Utilisateurs, choisissez le nom de l'utilisateur dont vous souhaitez modifier les autorisations, puis choisissez l'onglet Autorisations.

  3. Choisissez Add permissions (Ajouter des autorisations), puis choisissez Copy permissions from existing user (Copier des autorisations d'un utilisateur existant). La liste affiche les utilisateurs disponibles ainsi que leur appartenance à un groupe et les politiques attachées. Si la liste complète des groupes ou des politiques ne tient pas sur une seule ligne, vous pouvez choisir le lien pour et nde plus. Un nouvel onglet de navigateur s'affiche avec une liste complète des politiques (onglet Autorisations) et des groupes (onglet Groupes).

  4. Sélectionnez le bouton radio en regard de l'utilisateur dont vous voulez copier les autorisations.

  5. Choisissez Suivant pour afficher la liste des modifications apportées à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

Ajout d'autorisations en attachant les politiques directement à l'utilisateur

L'attachement de politiques affecte immédiatement l'utilisateur.

Pour ajouter des autorisations à un utilisateur en attachant directement les politiques gérées
  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Utilisateurs, choisissez le nom de l'utilisateur dont vous souhaitez modifier les autorisations, puis choisissez l'onglet Autorisations.

  3. Choisissez Ajouter des autorisations, puis Attacher directement des stratégies.

  4. Cochez une ou plusieurs cases pour les politiques gérées que vous souhaitez attacher à l'utilisateur. Vous pouvez également créer une politique gérée en choisissant Créer une politique. Dans ce cas, revenez dans l'onglet ou la fenêtre du navigateur une fois la nouvelle politique créée. Choisissez Refresh (Actualiser), puis cochez la case en regard de la nouvelle politique pour l'attacher à votre utilisateur. Pour de plus amples informations, veuillez consulter Création de politiques IAM.

  5. Choisissez Suivant pour afficher la liste des politiques attachées à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

Définition de la limite d'autorisations pour un utilisateur

La définition d'une limite d'autorisations affecte immédiatement l'utilisateur.

Pour définir la limite d'autorisations pour un utilisateur
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez modifier la limite d'autorisations.

  4. Choisissez l'onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Limite d'autorisations, puis choisissez Définir une limite d'autorisations.

  5. Sélectionnez la politique que vous souhaitez utiliser pour la limite d'autorisations.

  6. Choisissez Set boundary (Définir une limite).

Modification des autorisations pour un utilisateur (console)

IAM vous permet de modifier les autorisations associées à un utilisateur de la manière suivante :

  • Edit a permissions policy (Modifier une politique d'autorisations) : modifiez la politique en ligne d'un utilisateur, la politique en ligne du groupe de l'utilisateur ou une politique gérée attachée directement à l'utilisateur ou à partir d'un groupe. Si l'utilisateur dispose d'une limite d'autorisations, alors vous ne pouvez pas fournir plus d'autorisations que le permet la politique utilisée comme limite d'autorisations de l'utilisateur.

  • Changing the permissions boundary (Modification de la limite d'autorisations) : modifiez la politique utilisée comme limite d'autorisations pour l'utilisateur. Cette action peut développer ou limiter les autorisations maximum dont dispose un utilisateur.

Modification d'une politique d'autorisations attachée à un utilisateur

La modification d'autorisations affecte immédiatement l'utilisateur.

Pour modifier les politiques gérées attachées d'un utilisateur
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez modifier la politique d'autorisations.

  4. Choisissez l'onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Permissions policies (Politiques d'autorisations).

  5. Choisissez le nom de la politique que vous souhaitez modifier pour en afficher les détails. Choisissez l'onglet Utilisation de la politique pour afficher d'autres entités qui pourraient être affectées par la modification de la politique.

  6. Choisissez l'onglet Autorisations et examinez les autorisations accordées par la politique. Puis choisissez Modifier la politique.

  7. Modifiez la politique et résolvez les recommandations sur la validation des politiques. Pour de plus amples informations, veuillez consulter Modification de politiques IAM.

  8. Choisissez Examiner une politique, examinez le récapitulatif de la politique, puis choisissez Enregistrer les modifications.

Modification de la limite d'autorisations pour un utilisateur

La modification d'une limite d'autorisations affecte immédiatement l'utilisateur.

Pour modifier la politique utilisée afin de définir la limite d'autorisations pour un utilisateur
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez modifier la limite d'autorisations.

  4. Choisissez l'onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Permissions boundary (Limite d'autorisations), puis choisissez Change boundary (Modifier une limite).

  5. Sélectionnez la politique que vous souhaitez utiliser pour la limite d'autorisations.

  6. Choisissez Set boundary (Définir une limite).

Suppression d'une politique d'autorisations d'un utilisateur (console)

La suppression d'une politique affecte immédiatement l'utilisateur.

Pour supprimer les autorisations des utilisateurs IAM, procédez comme suit :
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez supprimer la limite d'autorisations.

  4. Choisissez l'onglet Permissions (Autorisations).

  5. Si vous souhaitez supprimer les autorisations en supprimant une politique existante, affichez le type pour comprendre comment l'utilisateur obtient cette politique avant de choisir Supprimer pour supprimer celle-ci :

    • Si la politique s'applique en raison de l'appartenance à un groupe, choisissez Supprimer pour supprimer l'utilisateur du groupe. N'oubliez pas que vous pouvez avoir plusieurs politiques attachées à un seul groupe. Si vous supprimez un utilisateur d'un groupe, il perd l'accès à toutes les politiques qu'il reçoit par le biais de cette appartenance au groupe.

    • Si la politique est une politique gérée attachée directement à l'utilisateur, choisissez Supprimer pour détacher la politique de l'utilisateur. Cela n'affecte pas la politique elle-même ni aucune autre entité à laquelle la politique pourrait être attachée.

    • S'il s'agit d'une politique en ligne intégrée, sélectionnez X pour supprimer la politique d'IAM. Les politiques en ligne attachées directement à un utilisateur existent uniquement sur cet utilisateur.

Suppression de la limite d'autorisations d'un utilisateur (console)

La suppression d'une limite d'autorisations affecte immédiatement l'utilisateur.

Pour supprimer la limite d'autorisations d'un utilisateur
  1. Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez supprimer la limite d'autorisations.

  4. Choisissez l'onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Permissions boundary (Limite d'autorisations), puis choisissez Remove boundary (Supprimer une limite).

  5. Choisissez Supprimer la limite pour confirmer la suppression de la limite d'autorisations.

Ajout et suppression des autorisations d'un utilisateur (AWS CLI ou API AWS)

Pour ajouter ou supprimer des autorisations par programme, vous devez ajouter ou supprimer l'appartenance au groupe, attacher ou détacher les politiques gérées, ou ajouter ou supprimer les politiques en ligne. Pour plus d'informations, consultez les rubriques suivantes :