Identity and Access Management pour Amazon CloudWatch Logs - Amazon CloudWatch Logs

Identity and Access Management pour Amazon CloudWatch Logs

L'accès à Amazon CloudWatch Logs requiert des informations d'identification qu'AWS peut utiliser pour authentifier vos demandes. Ces informations d'identification doivent avoir des autorisations d'accès aux ressources AWS, comme par exemple pour extraire les données CloudWatch Logs sur vos ressources du Cloud. Les sections suivantes fournissent des détails sur la façon dont vous pouvez utiliser AWS Identity and Access Management (IAM) et CloudWatch Logs pour contribuer à sécuriser vos ressources en contrôlant qui peut y accéder :

Authentification

Vous pouvez utiliser les types d'identité suivants pour accéder à AWS :

  • Utilisateur racine du compte AWS – Lorsque vous vous inscrivez à AWS, vous fournissez une adresse de messagerie et un mot de passe qui sont associés à votre compte AWS. Il s'agit de vos informations d'identification racine et elles fournissent un accès complet à l'ensemble de vos ressources AWS.

    Important

    Pour des raisons de sécurité, nous vous conseillons d'utiliser les informations d'identification racine uniquement pour créer un utilisateur administrateur, qui est un utilisateur IAM disposant des autorisations complètes sur votre compte AWS. Vous pouvez ensuite utiliser cet utilisateur administrateur pour créer d'autres utilisateurs IAM et des rôles dotés d'autorisations limitées. Pour plus d'informations, consultez Bonnes pratiques IAM et Création d'un utilisateurs administrateur et d'un groupe dans le Guide de l'utilisateur IAM.

  • Utilisateur IAM – Un utilisateur IAM est simplement une identité au sein de votre compte AWS qui dispose d'autorisations personnalisées spécifiques (par exemple, des autorisations pour afficher les métriques dans CloudWatch Logs). Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecter aux pages web AWS sécurisées telles que la AWS Management Console, les forums de discussion AWS ou le centre AWS Support.

     

    En plus de générer un nom utilisateur et un mot de passe, vous pouvez générer des clés d'accès pour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux services AWS par programmation, que ce soit par le biais d'un des divers kits SDK ou de la AWS Command Line Interface (AWS CLI). Les outils de la CLI et les kits SDK utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pas les outils AWS, vous devez signer la demande vous-même. CloudWatch Logs prend en charge Signature Version 4, un protocole permettant l'authentification des demandes d'API entrantes. Pour de plus amples informations sur l'authentification des demandes, veuillez consulter Processus de signature Signature Version 4 dans les Références générales AWS.

     

  • Rôle IAM : un rôle IAM est une autre identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Le concept ressemble à celui d'utilisateur IAM, mais ce rôle n'est pas associé à une personne en particulier. Un rôle IAM vous permet d'obtenir des clés d'accès temporaires qui peuvent être utilisées pour accéder aux ressources et services AWS. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

     

    • Accès par des utilisateurs fédérés : au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités d'utilisateur préexistantes provenant d'AWS Directory Service, de votre annuaire d'utilisateurs d'entreprise ou d'un fournisseur d'identité web. On parle alors d'utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.

       

    • Accès entre comptes : vous pouvez utiliser un rôle IAM de votre compte pour autoriser un autre compte AWS à accéder aux ressources de votre compte. Pour obtenir un exemple, consultez le Didacticiel : Déléguer l'accès entre des comptes AWS à l'aide de rôles IAM du Guide de l'utilisateur IAM.

       

    • &Accès au service AWS – Vous pouvez utiliser un rôle IAM de votre compte pour autoriser un service AWS à accéder aux ressources de votre compte. Par exemple, vous pouvez créer un rôle qui autorise Amazon Redshift à accéder à un compartiment Amazon S3 en votre nom, puis à charger les données stockées dans le compartiment dans un cluster Amazon Redshift. Pour plus d'informations, consultez Création d'un rôle pour la délégation d'autorisations à un service AWS dans le Guide de l'utilisateur IAM.

       

    • Applications qui s'exécutent sur Amazon EC2 – Au lieu de stocker des clés d'accès dans l'instance EC2 afin qu'elles soient utilisées par les applications s'exécutant sur l'instance et émettant des demandes d'API AWS, vous pouvez utiliser un rôle IAM afin de gérer des informations d'identification temporaires pour ces applications. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponible pour toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utilisation de rôles pour des applications s'exécutant sur Amazon EC2 dans le Guide de l'utilisateur IAM.

Contrôle d'accès

Vous pouvez avoir des informations d'identification valides pour authentifier vos demandes, mais à moins d'avoir les autorisations requises, vous ne pouvez pas créer de ressources CloudWatch Logs ni accéder à de telles ressources. Par exemple, vous devez disposer d'autorisations pour créer des flux de journaux, des groupes de journaux et ainsi de suite.

Les sections suivantes décrivent comment gérer les autorisations pour CloudWatch Logs. Nous vous recommandons de commencer par lire la présentation.