Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
En quoi consiste IAM ?
AWS Identity and Access Management (IAM) est un service Web qui vous permet de contrôler en toute sécurité l'accès aux AWS ressources. Avec IAM, vous pouvez gérer de manière centralisée les autorisations qui contrôlent les AWS ressources auxquelles les utilisateurs peuvent accéder. Vous pouvez utiliser IAM pour contrôler les personnes qui s'authentifient (sont connectées) et sont autorisées (disposent d'autorisations) à utiliser des ressources.
Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur root pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur root et utilisez-les pour effectuer les tâches que seul l’utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter Tâches nécessitant les informations d'identification de l'utilisateur root.
Table des matières
- Vidéo de présentation d'IAM
- Fonctions d'IAM
- Accéder à IAM
- Quand utiliser IAM ?
- Fonctionnement de IAM
- Présentation de la gestion d'identité AWS : utilisateurs
- Présentation de la gestion des accès : autorisations et politiques
- À quoi sert ABAC ? AWS
- Fonctions de sécurité en dehors d'IAM
- Liens rapides pour les tâches courantes
- Fonction de recherche de la console IAM
- Création de AWS Identity and Access Management ressources avec AWS CloudFormation
- Utiliser AWS CloudShell pour travailler avec la Gestion des identités et des accès AWS
- Utilisation d'IAM avec un SDK AWS
Vidéo de présentation d'IAM
AWS Training and Certification propose une présentation vidéo de 10 minutes de l'IAM :
Introduction à AWS Identity and Access Management
Fonctions d'IAM
IAM vous offre les fonctions suivantes :
- Accès partagé à votre Compte AWS
-
Vous pouvez accorder à d'autres utilisateurs l'autorisation d'administrer et d'utiliser les ressources de votre compte AWS sans avoir à partager votre mot de passe ou clé d'accès.
- Autorisations granulaires
-
Vous pouvez accorder différentes autorisations à différents utilisateurs concernant différentes ressources. Par exemple, vous pouvez autoriser certains utilisateurs à accéder totalement à Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift et à d'autres services. AWS Pour d'autres utilisateurs, vous pouvez autoriser un accès en lecture seule à certains compartiments S3 ou l'autorisation d'administrer certaines instances EC2 seulement, ou encore un accès à vos informations de facturation uniquement.
- Accès sécurisé aux AWS ressources pour les applications exécutées sur Amazon EC2
-
Vous pouvez utiliser les fonctions IAM pour fournir en toute sécurité des informations d'identification pour les applications s'exécutant sur des instances EC2. Ces informations d'identification permettent à votre application d'accéder à d'autres AWS ressources. Il s'agit notamment des compartiments S3 et des tables DynamoDB.
- Authentification multifactorielle (MFA)
-
Vous pouvez ajouter une authentification à deux facteurs à votre compte et aux utilisateurs individuels pour une sécurité renforcée. Avec l'authentification MFA, vos utilisateurs ou vous-même fournissez non seulement un mot de passe ou une clé d'accès pour utiliser votre compte, mais aussi un code généré par un dispositif configuré spécialement. Si vous utilisez déjà une clé de sécurité FIDO avec d'autres services et que sa configuration est AWS prise en charge, vous pouvez l'utiliser WebAuthn pour la sécurité MFA. Pour de plus amples informations, veuillez consulter Configurations prises en charge pour l'utilisation des clés de sécurité FIDO.
- Fédération des identités
-
Vous pouvez autoriser des utilisateurs disposant déjà de mots de passe ailleurs, par exemple, dans votre réseau d'entreprise ou auprès d'un fournisseur d'identité Internet, à obtenir un accès temporaire à votre Compte AWS.
- Informations d'identité par sécurité
-
Si vous utilisez AWS CloudTrail
, vous recevez des enregistrements de journaux incluant des informations sur les utilisateurs effectuant des demandes concernant les ressources de votre compte. Ces informations sont basées sur les identités IAM. - Conformité PCI DSS
-
IAM prend en charge le traitement, le stockage et la transmission des données de cartes bancaires par un commerçant ou un fournisseur de services et a été validé comme étant conforme à la norme PCI (Payment Card Industry) DSS (Data Security Standard). Pour plus d'informations sur la norme PCI DSS, notamment sur la manière de demander une copie du Package de AWS conformité PCI, consultez la section PCI
DSS niveau 1. - Intégré à de nombreux AWS services
-
Pour obtenir la liste des AWS services compatibles avec IAM, consultezAWS services qui fonctionnent avec IAM.
- Cohérence à terme
-
L'IAM, comme de nombreux autres AWS services, est finalement cohérent
. IAM garantit une haute disponibilité en répliquant les données sur plusieurs serveurs dans les centres de données d'Amazon du monde entier. Si une demande de modification de certaines données aboutit, la modification est validée et stockée en toute sécurité. En revanche, cette modification doit être répliquée dans IAM, ce qui peut prendre un certain temps. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure ce type de modifications IAM dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications IAM dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent. Pour de plus amples informations, veuillez consulter Les modifications que j'apporte ne sont pas toujours visibles immédiatement. - Gratuité
-
AWS Identity and Access Management (IAM) et AWS Security Token Service (AWS STS) sont des fonctionnalités de votre AWS compte proposées sans frais supplémentaires. Vous êtes facturé uniquement lorsque vous accédez à d'autres AWS services à l'aide de vos utilisateurs IAM ou de vos informations d'identification de sécurité AWS STS temporaires. Pour plus d'informations sur les prix des autres AWS produits, consultez la page de tarification d'Amazon Web Services
.
Accéder à IAM
Vous pouvez travailler avec AWS Identity and Access Management l'une des méthodes suivantes.
- AWS Management Console
-
La console est une interface basée sur un navigateur permettant de gérer l'IAM et les ressources. AWS Pour plus d'informations sur l'accès à IAM via la console, consultez Comment se connecter à AWS dans le Guide de l'utilisateurConnexion à AWS .
- AWS Outils de ligne de commande
-
Vous pouvez utiliser les outils de ligne de AWS commande pour émettre des commandes sur la ligne de commande de votre système afin d'exécuter l'IAM et AWS des tâches. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que de la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts qui exécutent AWS des tâches.
AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interface
(AWS CLI) et le AWS Tools for Windows PowerShell . Pour plus d'informations sur l'installation et l'utilisation du AWS CLI, consultez le guide de AWS Command Line Interface l'utilisateur. Pour plus d'informations sur l'installation et l'utilisation des outils pour Windows PowerShell, consultez le guide de AWS Tools for Windows PowerShell l'utilisateur. Une fois connecté à la console, vous pouvez l'utiliser AWS CloudShell depuis votre navigateur pour exécuter des commandes CLI ou SDK. Les autorisations d'accès aux AWS ressources sont basées sur les informations d'identification que vous avez utilisées pour vous connecter à la console. Selon votre expérience, vous trouverez peut-être que la CLI est une méthode plus efficace pour gérer votre Compte AWS. Pour plus d’informations, consultez Utiliser AWS CloudShell pour travailler avec la Gestion des identités et des accès AWS.
- AWS SDK
-
AWS fournit des SDK (kits de développement logiciel) composés de bibliothèques et d'exemples de code pour différents langages de programmation et plateformes (Java, Python, Ruby, .NET, iOS, Android, etc.). Les SDK constituent un moyen pratique de créer un accès programmatique à IAM et. AWS Par exemple, ils automatisent les tâches telles que la signature cryptographique des demandes, la gestion des erreurs et les nouvelles tentatives automatiques de demande. Pour plus d'informations sur AWS les SDK, notamment sur la façon de les télécharger et de les installer, consultez la page Outils pour Amazon Web Services
. - API Query IAM
-
Vous pouvez accéder à IAM et par AWS programmation à l'aide de l'API de requête IAM, qui vous permet d'envoyer des requêtes HTTPS directement au service. Lorsque vous utilisez l'API Query , vous devez inclure un code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d'informations sur les groupes d'utilisateurs, veuillez consulter Appel de l'API IAM à l'aide de requêtes HTTP et la référence API IAM.
