Gestion des identités et des accès dans Amazon ElastiCache - Amazon ElastiCache for Redis

Gestion des identités et des accès dans Amazon ElastiCache

L'accès à Amazon ElastiCache requiert des informations d'identification qu'AWS peut utiliser pour authentifier vos demandes. Ces informations d'identification doivent être autorisées à accéder à des ressources AWS telles qu'un cluster de cache ElastiCache ou une instance Amazon Elastic Compute Cloud (Amazon EC2). Les sections suivantes fournissent des détails sur la façon dont vous pouvez utiliser AWS Identity and Access Management (IAM) et ElastiCache pour contribuer à sécuriser vos ressources en contrôlant les personnes autorisées à y accéder.

Authentication

Vous pouvez utiliser les types d'identité suivants pour accéder à AWS :

  • Utilisateur racine de Compte AWS – Lorsque vous créez dans un premier temps un Compte AWS, vous commencez avec une identité de connexion unique qui bénéficie d'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée l'utilisateur racine du Compte AWS. Vous pouvez y accéder en vous connectant à l'aide de l'adresse e-mail et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services.

  • Utilisateur IAM – un utilisateur IAM est une identité au sein de votre compte Compte AWS qui dispose d'autorisations personnalisées spécifiques (par exemple, des autorisations pour créer un cluster dans ElastiCache). Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecter aux pages web AWS sécurisées telles que la AWS Management Console, les forums de discussion AWS ou le centre AWS Support.

     

    En plus de générer un nom utilisateur et un mot de passe, vous pouvez générer des clés d'accès pour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux services AWS par programmation, soit par le biais d'un kit SDK soit à l'aide d'AWS Command Line Interface (CLI). Les outils de la CLI et les kits SDK utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pas les outils AWS, vous devez signer la demande vous-même. ElastiCache prend en charge Signature Version 4, un protocole permettant l'authentification des demandes d'API entrantes. Pour plus d'informations sur l'authentification des demandes, veuillez consulter Processus de signature Signature Version 4 dans les Références générales AWS.

     

  • Rôle IAM : un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une identité AWS avec des politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire dans AWS. En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

     

    • Accès par des utilisateurs fédérés – Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités existantes provenant d'AWS Directory Service, de votre répertoire d'utilisateurs d'entreprise ou d'un fournisseur d'identité web. On parle alors d'utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, veuillez consulter Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.

       

    • AWS Accès par un service – Un rôle de service est un rôle IAM qu'un service endosse pour effectuer des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer une fonction du service à partir d'IAM. Pour plus d'informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à un service AWS dans le Guide de l'utilisateur IAM.

       

    • Applications s'exécutant sur Amazon EC2 – Vous pouvez utiliser un rôle IAM pour gérer des informations d'identification temporaires pour les applications s'exécutant sur une instance EC2 et effectuant AWS CLI ou des requêtes AWS API. Cette solution est préférable au stockage des clés d'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations d'identification temporaires. Pour de plus amples informations, veuillez consulter Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances EC2 d’Amazon dans le Guide de l'utilisateur IAM.

Contrôle d’accès

Vous pouvez disposer d'informations d'identification valides pour authentifier vos demandes, mais à moins d'avoir des autorisations, vous ne pouvez pas créer ou accéder aux ressources Amazon ElastiCache. Par exemple, vous devez disposer d'autorisations pour créer un cluster de cache ElastiCache.

Les sections suivantes décrivent comment gérer les autorisations pour Amazon ElastiCache. Nous vous recommandons de commencer par lire la présentation.