Afficher l'accès des utilisateurs Liste des utilisateurs IAM Renommer un utilisateur IAM Suppression d'un utilisateur IAM Désactivation d'un utilisateur IAM

Gestion des utilisateurs IAM

Note

En guise de bonne pratique, nous vous recommandons d'exiger des utilisateurs humains qu'ils se joignent à un fournisseur d'identité pour accéder à AWS en utilisant des informations d'identification temporaires. Si vous suivez les bonnes pratiques, vous ne gérez pas les utilisateurs et les groupes IAM. Au lieu de cela, vos utilisateurs et vos groupes sont gérés en dehors d'AWS et peuvent accéder aux ressources AWS sous la forme d'une identité fédérée. Une identité fédérée est un utilisateur de l'annuaire des utilisateurs de votre entreprise, un fournisseur d'identité Web, l'AWS Directory Service, l'annuaire Identity Center ou tout utilisateur qui accède aux services AWS en utilisant des informations d'identification fournies via une source d'identité. Les identités fédérées utilisent les groupes définis par leur fournisseur d'identité. Si vous utilisez AWS IAM Identity Center, consultez la section Gérer les identités dans IAM Identity Center du Guide de l'utilisateur AWS IAM Identity Center pour plus d'informations sur la création d'utilisateurs et de groupes dans IAM Identity Center.

Amazon Web Services fournit plusieurs outils permettant de gérer les utilisateurs IAM dans votre Compte AWS. Vous pouvez répertorier les utilisateurs IAM de votre compte ou d'un groupe d'utilisateurs, ou dresser la liste de tous les groupes d'utilisateurs auxquels appartient un utilisateur. Vous pouvez renommer ou modifier le chemin d'accès d'un utilisateur IAM. Si vous passez à l'utilisation d'identités fédérées au lieu d'utilisateurs IAM, vous pouvez supprimer un utilisateur IAM de votre compte AWS ou désactiver l'utilisateur.

Pour plus d'informations sur l'ajout, la modification ou la suppression de politiques gérées pour un utilisateur IAM, consultez Modification des autorisations pour un utilisateur IAM. Pour plus d'informations sur la gestion des politiques en ligne pour les utilisateurs IAM, consultez Ajout et suppression d'autorisations basées sur l'identité IAM, Modification de politiques IAM et Suppression de politiques IAM. En guise de bonne pratique, utilisez des politiques gérées plutôt que des politiques en ligne. Les politiques gérées par AWS octroient des autorisations pour de nombreux cas d'utilisation courants. Gardez à l'esprit que les AWS politiques gérées peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles peuvent être utilisées par tous les clients AWS. En conséquence, nous vous recommandons de réduire encore les autorisations en définissant des Politiques gérées par le client qui sont spécifiques à vos cas d'utilisation. Pour de plus amples informations, veuillez consulter Politiques gérées par AWS. Pour de plus amples informations sur les politiques gérées par AWS, conçues pour des fonctions de tâche spécifiques, veuillez consulter AWS politiques gérées pour les fonctions professionnelles.

Pour en savoir plus sur la validation des politiques IAM, consultez Validation de politiques IAM.

Astuce

IAM Access Analyzer peut analyser les services et les actions que vos rôles IAM utilisent, puis générer une politique précise que vous pouvez utiliser. Après avoir testé chaque stratégie générée, vous pouvez la déployer dans votre environnement de production. Cela garantit que vous n'accordez que les autorisations requises à vos charges de travail. Pour plus d'informations sur la génération de politiques, consultez IAM Access Analyzer policy generation.

Pour de plus amples informations sur la gestion des mots de passe utilisateur IAM, consultez Gestion des mots de passe des utilisateurs IAM.

Afficher l'accès des utilisateurs

Avant de supprimer un utilisateur, vous devez passer en revue son activité récente au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez Ajustement des autorisations dans AWS à l'aide des dernières informations consultées.

Liste des utilisateurs IAM

Vous pouvez lister les utilisateurs IAM dans votre Compte AWS ou dans un groupe d'utilisateurs IAM spécifique, et répertorier tous les groupes d'utilisateurs auxquels appartient un utilisateur. Pour plus d'informations sur les autorisations requises pour répertorier des utilisateurs, consultez Autorisations requises pour accéder aux autres ressources IAM.

Pour répertorier tous les utilisateurs du compte

AWS Management Console : dans le panneau de navigation, choisissez utilisateurs. La console affiche les utilisateurs de votre Compte AWS.
AWS CLI : aws iam list-users
API AWS : ListUsers

Pour répertorier les utilisateurs d'un groupe d'utilisateurs spécifique

AWS Management Console : dans le panneau de navigation, sélectionnez User groups (Groupes d'utilisateurs), le nom du groupe d'utilisateurs, puis l'onglet Users (Utilisateurs).
AWS CLI : aws iam get-group
API AWS : GetGroup

Pour répertorier tous les groupes d'utilisateurs auxquels appartient un utilisateur

AWS Management Console : dans le panneau de navigation, sélectionnez Utilisateurs, choisissez le nom d'utilisateur, puis sélectionnez l'onglet Groupes.
AWS CLI : aws iam list-groups-for-user
API AWS : ListGroupsForUser

Renommer un utilisateur IAM

Pour modifier le nom ou le chemin d'un utilisateur, vous devez utiliser l'interface de ligne de commande AWS CLI, les Tools for Windows PowerShell ou l'API AWS. La console ne comporte aucune option permettant de renommer un utilisateur. Pour plus d'informations sur les autorisations requises pour renommer un utilisateur, consultez Autorisations requises pour accéder aux autres ressources IAM.

Lorsque vous modifiez le nom ou le chemin d'accès d'un utilisateur, voici ce qui suit se produit :

Toutes les politiques attachées à l'utilisateur restent dans l'utilisateur sous le nouveau nom.
L'utilisateur reste dans les mêmes groupes d'utilisateurs sous le nouveau nom.
L'ID unique de l'utilisateur demeure le même. Pour plus d'informations sur les ID uniques, consultez Identifiants uniques.
Toutes les ressources ou politiques de rôle qui font référence à l'utilisateur en tant que principal (l'utilisateur se voit accorder l'accès) sont mises à jour automatiquement pour utiliser le nouveau nom ou chemin. Par exemple, toutes les politiques basées sur des files d'attente dans Amazon SQS ou les politiques basées sur des ressources dans Amazon S3 sont mises à jour automatiquement pour utiliser le nouveau nom ou chemin.

IAM ne met pas automatiquement à jour les politiques qui font référence à l'utilisateur en tant que ressource de manière à utiliser le nouveau nom ou chemin ; vous devez le faire manuellement. Par exemple, imaginons qu'une politique est attachée à l'utilisateur Richard et qu'elle lui permet de gérer ses informations d'identification de sécurité. Si un administrateur renomme Richard en Rich, administrateur doit également mettre à jour cette politique pour changer la ressource de :


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

à :


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

C'est également vrai si un administrateur modifie le chemin : il doit également mettre à jour la politique pour refléter le nouveau chemin de l'utilisateur.

Pour renommer un utilisateur

AWS CLI : aws iam update-user
API AWS : UpdateUser

Suppression d'un utilisateur IAM

Si une personne quitte votre entreprise, vous pouvez supprimer l'utilisateur IAM de votre Compte AWS. Si l'utilisateur est absent temporairement, vous pouvez désactiver l'accès de l'utilisateur au lieu de le supprimer du compte comme décrit dans Désactivation d'un utilisateur IAM.

Rubriques

Suppression d'un utilisateur IAM (console)
Suppression d'un utilisateur IAM (AWS CLI)

Suppression d'un utilisateur IAM (console)

Lorsque vous utilisez AWS Management Console pour supprimer un utilisateur IAM, IAM supprime automatiquement les informations suivantes pour vous :

L'utilisateur
Toute appartenance à un groupe d'utilisateurs, ce qui signifie que l'utilisateur est supprimé de tous les groupes d'utilisateurs IAM dont il était membre
Tous les mots de passe associés à utilisateur
Toutes les clés d'accès appartenant à l'utilisateur
Toutes les politiques en ligne intégrées à l'utilisateur (politiques qui sont appliquées à un utilisateur via les autorisations de groupe d'utilisateurs ne sont pas affectées)

Note
IAM supprime toutes les politiques gérées attachées à l'utilisateur lorsque vous supprimez l'utilisateur, mais ne supprime pas les politiques gérées.
Tous les dispositifs MFA associés

Pour supprimer un utilisateur IAM (console)

Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.
Dans le panneau de navigation de gauche, sélectionnez Users (Utilisateurs), puis cochez la case en regard du nom d'utilisateur que vous souhaitez supprimer, pas le nom ou la ligne elle-même.
En haut de la page, sélectionnez Delete (Supprimer).
Dans la boîte de dialogue de confirmation, saisissez le nom d'utilisateur dans le champ de saisie de texte pour confirmer la suppression de l'utilisateur. Sélectionnez Supprimer.

Suppression d'un utilisateur IAM (AWS CLI)

Contrairement à ce qui se passe avec l’interface AWS Management Console, lorsque vous supprimez un utilisateur avec l’interface AWS CLI, vous devez supprimer manuellement les éléments attachés à l'utilisateur. La procédure suivante illustre ce processus.

Pour supprimer un utilisateur de votre compte (AWS CLI)

Supprimez le mot de passe de l'utilisateur, s'il en a un.

aws iam delete-login-profile
Supprimez les clés d'accès de l'utilisateur, si l'utilisateur en possède une.

aws iam list-access-keys (pour répertorier les clés d'accès de l'utilisateur) et aws iam delete-access-key
Supprimez le certificat de signature de l'utilisateur. Notez que la suppression d'une information d'identification de sécurité est définitive et que vous ne pourrez plus récupérer celle-ci.

aws iam list-signing-certificates (pour répertorier les certificats de signature de l'utilisateur) et aws iam delete-signing-certificate
Supprimez la clé publique SSH de l'utilisateur, s'il en a une.

aws iam list-ssh-public-keys (pour répertorier les clés publiques SSH de l'utilisateur) et aws iam delete-ssh-public-key
Supprimez les informations d'identification Git.

aws iam list-service-specific-credentials (pour répertorier les informations d'identification git de l'utilisateur) et aws iam delete-service-specific-credential
Désactivez l'authentification multifacteur (MFA) de l'utilisateur, s'il en a une.

aws iam list-mfa-devices (pour répertorier les dispositifs MFA de l'utilisateur), aws iam deactivate-mfa-device (pour désactiver le dispositif), et aws iam delete-virtual-mfa-device (pour supprimer définitivement un dispositif MFA virtuel)
Supprimez les politiques en ligne de l'utilisateur.

aws iam list-user-policies (pour répertorier les politiques en ligne pour l'utilisateur) et aws iam delete-user-policy (pour supprimer la politique)
Détachez toutes les politiques gérées attachées à l'utilisateur.

aws iam list-attached-user-policies (pour répertorier les politiques gérées attachées à l'utilisateur) et aws iam detach-user-policy (pour détacher la politique)
Supprimez l'utilisateur à partir de tous les groupes d'utilisateurs.

aws iam list-groups-for-user (pour répertorier les groupes d'utilisateurs auxquels l'utilisateur appartient) et aws iam remove-user-from-group
Supprimez l'utilisateur.

aws iam delete-user

Désactivation d'un utilisateur IAM

Vous pouvez désactiver un utilisateur IAM pendant qu'il est temporairement absent de votre entreprise. Vous pouvez laisser ses informations d'identification utilisateur IAM en place tout en bloquant son accès à AWS.

Pour désactiver un utilisateur, créez et attachez une politique pour lui refuser l'accès à AWS. Vous pourrez rétablir l'accès de l'utilisateur ultérieurement.

Voici deux exemples de politiques de refus que vous pouvez attacher à un utilisateur pour lui refuser l'accès.

La politique suivante n'inclut pas de limite de temps. Vous devez supprimer la politique pour rétablir l'accès de l'utilisateur.


{
  "Version": "2012-10-17",
  "Statement": [ 
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*"
      } 
   ]
}

La politique suivante inclut une condition qui commence la politique le 24 décembre 2024 à 23 h 59 (UTC) et la termine le 28 février 2025 à 23 h 59 (UTC).


{
  "Version": "2012-10-17",
  "Statement": [
      {
        "Effect": "Deny",
        "Action": "*",
        "Resource": "*",
        "Condition": {
          "DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
          "DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
          }
       }
   ]
}

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation de dispositifs MFA avec votre page de connexion IAM

Modification des autorisations pour un utilisateur