Amazon Relational Database Service
Guide de l'utilisateur (Version de l'API 2014-10-31)

Authentification et contrôle d'accès

L'accès à Amazon RDS requiert des informations d'identification qu'AWS peut utiliser pour authentifier vos demandes. Ces informations d'identification doivent avoir des autorisations pour accéder aux ressources AWS, telles qu'une instance de base de données Amazon RDS. Les sections suivantes fournissent des détails sur la façon dont vous pouvez utiliser AWS Identity and Access Management (IAM) et Amazon RDS pour contribuer à sécuriser vos ressources en contrôlant qui peut y accéder :

Authentification

Vous pouvez utiliser les types d'identité suivants pour accéder à AWS :

  • Utilisateur racine d'un compte AWS – Lorsque vous créez un compte AWS, vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée AWS du compte et elle est accessible après connexion à l'aide de l'adresse e-mail et du mot de passe utilisés pour la création du compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Au lieu de cela, respectez la bonne pratique qui consiste à avoir recours à l' uniquement pour créer le premier utilisateur . Ensuite, mettez en sécurité les informations d'identification utilisateur racine et utilisez-les pour effectuer uniquement certaines tâches de gestion des comptes et des services.

  • Utilisateur IAM – Un utilisateur IAM est une identité au sein de votre compte AWS qui dispose d'autorisations personnalisées spécifiques (par exemple, des autorisations pour créer a DB instance dans Amazon RDS). Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecter aux pages Web AWS sécurisées telles que AWS Management Console, les forums de discussion AWS et le AWS Support Center.

     

    En plus de générer un nom utilisateur et un mot de passe, vous pouvez générer des clés d'accès pour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux services AWS par programmation, soit par le biais d'un kit SDK soit à l'aide d'AWS Command Line Interface (CLI). Les outils de l'interface de ligne de commande et les kits SDK utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pas les outils AWS, vous devez signer la demande vous-même. Amazon RDS supports prend en charge Signature Version 4, un protocole permettant l'authentification des demandes d'API entrantes. Pour plus d'informations sur l'authentification des demandes, consultez la rubrique Processus de signature Signature Version 4 dans la documentation AWS General Reference.

     

  • Rôle IAM – Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Le concept ressemble à celui d'utilisateur IAM, mais le rôle IAM n'est pas associé à une personne en particulier. Un rôle IAM vous permet d'obtenir des clés d'accès temporaires qui peuvent être utilisées pour accéder aux ressources et services AWS. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

     

    • Accès d'utilisateurs fédérés – Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités d'utilisateur existantes d'AWS Directory Service, l'annuaire utilisateurs de votre entreprise, ou d'un fournisseur d'identité web. Ces derniers sont appelés utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le manuel IAM Guide de l'utilisateur.

       

    • Accès d'un service AWS – Vous pouvez utiliser un rôle IAM de votre compte pour autoriser un autre service AWS à accéder aux ressources de votre compte. Par exemple, vous pouvez créer un rôle qui permet à Amazon Redshift d'accéder à un compartiment Amazon S3 en votre nom, puis de charger les données stockées dans le compartiment dans un cluster Amazon Redshift. Pour plus d'informations, consultez la rubrique Création d'un rôle pour déléguer des autorisations à un service AWS dans le IAM Guide de l'utilisateur.

       

    • Applications qui s'exécutent sur Amazon EC2 – Vous pouvez utiliser un rôle IAM pour gérer des informations d'identification temporaires pour les applications qui s'exécutent sur une instance EC2 et effectuent des demandes d'API AWS. Cette solution est préférable au stockage des clés d'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le IAM Guide de l'utilisateur.

Contrôle d'accès

Vous pouvez avoir des informations d'identification valides pour authentifier vos demandes, mais à moins d'avoir les autorisations requises, vous ne pouvez pas créer de ressources Amazon RDS ni accéder à de telles ressources. Par exemple, vous devez avoir des autorisations pour créer une instance DB Amazon RDS, pour créer un instantané de base de données, pour ajouter un abonnement aux événements, etc.

Les sections suivantes décrivent comment gérer les autorisations pour Amazon RDS. Nous vous recommandons de commencer par lire la présentation.