Informations d'identification de sécurité AWS - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Informations d'identification de sécurité AWS

Lorsque vous interagissez avec AWS, vous spécifiez vos informations d'identification de sécurité AWS pour vérifier votre identité et si vous avez l'autorisation d'accéder aux ressources que vous demandez. AWS utilise les informations d'identification de sécurité pour authentifier et autoriser vos demandes.

Par exemple, si vous souhaitez télécharger un fichier protégé à partir d'un compartiment Amazon Simple Storage Service (Amazon S3), vos informations d'identification doivent autoriser cet accès. Si vos informations d'identification montrent que vous n'êtes pas autorisé à télécharger le fichier, AWS rejette votre demande. Toutefois, vos informations d'identification de sécurité AWS ne sont pas requises pour télécharger un fichier dans un compartiment Amazon S3 partagé publiquement.

Il existe des types d'utilisateurs différents dans AWS. Tous les utilisateurs AWS disposent d'informations d'identification de sécurité. On distingue le propriétaire du compte (utilisateur root) utilisateurs dans IAM Identity Center, les utilisateurs fédérés et les utilisateurs IAM.

Les utilisateurs disposent d'informations d'identification de sécurité à long terme ou temporaires. L'utilisateur root, l'utilisateur IAM et les clés d'accès possèdent des informations d'identification de sécurité à long terme qui n'expirent pas. Pour protéger les informations d'identification à long terme, il convient de mettre en place des processus pour gérer les clés d'accès, modifier les mots de passe et activer MFA.

Les rôles IAM, utilisateurs dans IAM Identity Center et les utilisateurs fédérés possèdent des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires expirent après une période définie ou lorsque l'utilisateur met fin à sa session. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :

  • Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois que les informations d'identification arrivent à expiration, AWS ne les reconnaît plus ou n'autorise plus aucun accès aux demandes d'API effectuées avec elles.

  • Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.

Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :

  • Vous n'avez pas besoin de distribuer ou d'intégrer des informations d'identification de sécurité AWS à long terme avec une application.

  • Vous pouvez fournir aux utilisateurs l'accès à vos ressources AWS sans devoir définir une identité AWS pour eux. Les informations d'identification temporaires servent de base aux rôles et à la fédération d'identité.

  • Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.

Considérations sur la sécurité

Nous vous recommandons de tenir compte des informations suivantes lorsque vous déterminez les mesures de sécurité pour votre Compte AWS :

  • Lorsque vous créez un Compte AWS, nous créons l’utilisateur root du compte. Les informations d'identification de l’utilisateur root (propriétaire du compte) permettent un accès complet à toutes les ressources du compte. La première tâche que vous effectuez avec l'utilisateur root consiste à accorder à un autre utilisateur des autorisations administratives à votre Compte AWS afin de minimiser l'utilisation de l'utilisateur root.

  • Vous ne pouvez pas utiliser des politiques IAM pour refuser l'accès aux ressources de manière explicite à l'utilisateur root. Vous ne pouvez utiliser une politique de contrôle des services (SCP) AWS Organizations que pour limiter les autorisations de l'utilisateur root.

  • Si vous oubliez ou perdez votre mot de passe root, vous devez avoir accès à l'adresse e-mail associée à votre compte pour le réinitialiser.

  • Si vous perdez vos clés d'accès de l’utilisateur root, vous devez vous connecter à votre compte en tant qu’utilisateur root pour en créer de nouvelles.

  • N'utilisez pas l’utilisateur root de vos tâches courantes. Optez pour effectuer les tâches que seul l’utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter Tâches nécessitant les informations d'identification de l'utilisateur root.

  • Les informations d'identification de sécurité sont spécifiques au compte. Si vous avez accès à plusieurs Comptes AWS, vous disposez d'informations d'identification distinctes pour chaque compte.

  • Les politiques déterminent les actions qu'un utilisateur, un rôle ou un membre d'un groupe d'utilisateurs peut effectuer, sur quelles ressources AWS et dans quelles conditions. Les politiques vous permettent de contrôler en toute sécurité l'accès aux Services AWS et aux ressources dans votre Compte AWS. Si vous devez modifier ou révoquer des autorisations en réponse à un événement de sécurité, vous supprimez ou modifiez les politiques au lieu de modifier directement l'identité.

  • Veillez à enregistrer les informations de connexion de votre utilisateur IAM Emergency Access et toutes les clés d'accès que vous avez créées pour un accès programmatique dans un emplacement sécurisé. Si vous perdez vos clés d'accès, vous devez vous connecter à votre compte pour en créer de nouvelles.

  • Nous vous recommandons vivement d'utiliser les informations d'identification temporaires fournies par les rôles IAM et les utilisateurs fédérés plutôt que les informations d'identification à long terme fournies par les utilisateurs IAM et les clés d'accès.

Identité fédérée

Les identités fédérées sont des utilisateurs dotés d'identités externes qui se voient attribuer des informations d'identification temporaires AWS qu'ils peuvent utiliser pour accéder à des ressources Compte AWS sécurisées. Les identités externes peuvent provenir d'un magasin d'identités d'entreprise (tel que LDAP ou Windows Active Directory) ou d'une partie tierce (Login with Amazon, Facebook ou Google, par exemple). Les identités fédérées ne se connectent pas à la AWS Management Console ou au portail d’accès AWS.

Pour permettre aux identités fédérées de se connecter à AWS, vous devez créer une URL personnalisée qui inclut https://signin.aws.amazon.com/federation Pour de plus amples informations, veuillez consulter Activation de l'accès à la AWS console par un courtier d'identité personnalisé.

Pour plus d'informations sur les identités fédérées, consultez Fournisseurs d'identité et fédération.

Une authentification multifactorielle (MFA)

L'authentification multi-facteurs (Multi-Factor Authentication, MFA) fournit un niveau de sécurité supplémentaire pour les utilisateurs pouvant accéder à votre Compte AWS. Pour une sécurité optimale, nous vous recommandons d'activer MFA pour les informations d'identification de l'Utilisateur racine d'un compte AWS et pour tous les utilisateurs IAM. Pour de plus amples informations, veuillez consulter Utilisation de l'authentification multifactorielle (MFA) dans AWS.

Lorsque vous activez l’authentification MFA et que vous vous connectez à votre Compte AWS, vous êtes invité à saisir vos informations de connexion, ainsi qu'une réponse générée par un appareil MFA, telle qu'un code, un toucher ou un scan biométrique. Lorsque vous ajoutez l’authentification MFA, vos paramètres Compte AWS et vos ressources sont plus sécurisés.

Par défaut, l’authentification MFA n'est pas activée. Vous pouvez activer et gérer les périphériques MFA pour l'Utilisateur racine d'un compte AWS en accédant à la page Informations d'identification de sécurité ou au tableau de bord IAM dans l'AWS Management Console. Pour en savoir plus sur l'activation de l’authentification MFA pour les utilisateurs IAM, consultez Activation des appareils MFA pour les utilisateurs de AWS.

Pour plus d'informations sur la connexion aux dispositifs d'authentification multifactorielle (MFA), consultez Utilisation de dispositifs MFA avec votre page de connexion IAM.

Accès par programmation

Vous fournissez vos clés d’accès AWS pour effectuer des appels par programmation vers AWS ou pour utiliser l’AWS Command Line Interface ou AWS Tools for PowerShell. Nous vous recommandons d'utiliser des clés d'accès à court terme si possible.

Lorsque vous créez une clé d'accès à long terme, vous générez l'ID de clé d'accès (par exemple, AKIAIOSFODNN7EXAMPLE) et la clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) sous la forme d'un ensemble. La clé d'accès secrète est accessible en téléchargement uniquement au moment de sa création. Si vous ne téléchargez pas votre clé d'accès secrète ou si vous la perdez, vous devrez la recréer.

Dans de nombreux cas, vous n'avez pas besoin de clés d'accès à long terme qui n'expirent jamais (comme lorsque vous créez des clés d'accès pour un utilisateur IAM). Au lieu de cela, vous pouvez créer des rôles IAM et générer des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires comprennent non seulement un ID de clé d'accès et une clé d'accès secrète, mais également un jeton de sécurité qui indique la date d'expiration des informations d'identification. Après leur expiration, elles ne sont plus valides.

Les ID de clé d'accès commençant par AKIA sont des clés d’accès à long terme pour un utilisateur IAM ou un utilisateur root Compte AWS. Les ID de clé d'accès commençant par ASIA sont des informations d'identification temporaires créées à l'aide d'opérations AWS STS.

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS en dehors de la AWS Management Console. La manière d'octroyer un accès par programmation dépend du type d'utilisateur qui accède à AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l'une des options suivantes.

Quel utilisateur a besoin d'un accès programmatique ? Pour Bit

Identité de la main-d'œuvre

(Utilisateurs gérés dans IAM Identity Center)

Utilisez des informations d'identification temporaires pour signer des demandes par programmation destinées à l'AWS CLI, aux kits SDK AWS ou aux API AWS.

Suivez les instructions de l'interface que vous souhaitez utiliser.

IAM Utilisez des informations d'identification temporaires pour signer des demandes par programmation destinées à l'AWS CLI, aux kits SDK AWS ou aux API AWS. Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec des ressources AWS dans le Guide de l'utilisateur IAM.
IAM

(Non recommandé)

Utilisez des informations d'identification à long terme pour signer des demandes par programmation destinées à l'AWS CLI, aux kits SDK AWS ou aux API AWS.

Suivez les instructions de l'interface que vous souhaitez utiliser.

Alternatives aux clés d'accès à long terme

Pour de nombreux cas d'utilisation courants, il existe des alternatives aux clés d'accès à long terme. Pour améliorer la sécurité de votre compte, tenez compte des points suivants.

  • N'intégrez pas de clés d'accès à long terme ni de clés d'accès secrètes dans le code de votre application ou dans un référentiel de code. Utilisez plutôt AWS Secrets Manager ou une autre solution de gestion des secrets afin de ne pas avoir à coder les clés en texte brut. L'application ou le client peut ensuite récupérer des secrets en cas de besoin. Pour plus d'informations, consultez Présentation d’AWS Secrets Manager dans le Guide de l'utilisateur AWS Secrets Manager.

  • Utilisez les rôles IAM pour générer des informations d'identification de sécurité temporaires dans la mesure du possible : utilisez toujours des mécanismes permettant de délivrer des identifiants de sécurité temporaires, lorsque cela est possible, plutôt que des clés d'accès à long terme. Les informations d'identification de sécurité temporaires sont plus sécurisées car elles ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Les informations d'identification de sécurité temporaires ont une durée de vie limitée, ce qui vous évite d'avoir à les gérer ou à les mettre à jour. Les mécanismes qui fournissent des clés d'accès temporaires incluent les rôles IAM ou l'authentification d'un utilisateur d'IAM Identity Center. Pour les machines qui fonctionnent en dehors de AWS vous pouvez utiliser AWS Identity and Access Management Rôles Anywhere.

  • Utilisez des alternatives aux clés d'accès à long terme pour l’AWS Command Line Interface (AWS CLI) ou aws-shell Les alternatives incluent ce qui suit.

    • AWS CloudShell est un shell préauthentifié, basé sur un navigateur, que vous pouvez lancer directement à partir de AWS Management Console. Vous pouvez exécuter des commandes AWS CLI contre les Services AWS par le biais de votre shell préféré (Bash, PowerShell ou terminal Z). Dans ce cas, il n'est pas nécessaire de télécharger ou d'installer des outils de ligne de commande. Pour plus d'informations, consultez Présentation d’AWS CloudShell dans le Guide de l'utilisateur AWS CloudShell.

    • Intégration de AWS CLI version 2 à AWS IAM Identity Center (IAM Identity Center). Vous pouvez authentifier les utilisateurs et fournir des informations d'identification à court terme pour exécuter des commandes AWS CLI. Pour en savoir plus, voir Intégration de AWS CLI à IAM Identity Center dans le Guide de l'utilisateur AWS IAM Identity Center et Configuration d'AWS CLI en vue de l'utilisation d'IAM Identity Center dans le Guide de l'utilisateur AWS Command Line Interface.

  • Ne créez pas de clés d'accès à long terme pour les utilisateurs humains qui ont besoin d'accéder à des applications Services AWS. IAM Identity Center peut générer des informations d'accès temporaires pour que vos utilisateurs IdP externes accèdent au Services AWS. Il n'est donc plus nécessaire de créer et de gérer des informations d'identification à long terme dans IAM. Dans IAM Identity Center, créez un ensemble d'autorisations IAM Identity Center qui accorde l'accès aux utilisateurs IdP externes. Attribuez ensuite à un groupe d’IAM Identity Center les autorisations définies dans les Comptes AWS sélectionnés. Pour plus d'informations, consultez la section Présentation d’AWS IAM Identity Center, Se connecter à un fournisseur d'identité externe et Jeux d’autorisations dans le Guide de l'utilisateur AWS IAM Identity Center.

  • Ne stockez pas de clés d'accès à long terme dans un service informatique AWS. Attribuez plutôt un rôle IAM aux ressources de calcul. Cela fournit automatiquement des informations d'identification temporaires pour accorder l'accès. Par exemple, lorsque vous créez un profil d'instance attaché à une instance Amazon EC2, vous pouvez attribuer un rôle AWS à l'instance et le mettre à la disposition de toutes ses applications. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance Amazon EC2 d'obtenir des informations d'identification temporaires. Pour en savoir plus, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2.

Accès à AWS à l'aide de vos informations d'identification AWS

AWS nécessite différents types d'informations d'identification de sécurité, en fonction de la manière dont vous accédez à AWS et du type d'utilisateur AWS. Par exemple, vous utilisez les informations de connexion pour AWS Management Console pendant que vous utilisez les touches d'accès pour passer des appels par programmation à AWS. De plus, chaque identité que vous utilisez, qu'il s'agisse de l'utilisateur root du compte, d'un utilisateur AWS Identity and Access Management (IAM), d’un utilisateur AWS IAM Identity Center ou d'une identité fédérée, possède des informations d'identification uniques dans AWS.

Pour obtenir des instructions détaillées sur la façon de vous connecter à AWS en fonction de votre type d'utilisateur, consultez la section Comment se connecter à AWS dans le Guide de l'utilisateur de connexion AWS.