Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
En tant que bonne pratique, nous recommandons aux charges de travail d'utiliser des informations d'identification temporaires associées à des rôles IAM pour y accéder. AWS Les utilisateurs IAM dotés de clés d'accès doivent bénéficier d'un accès minimal et l'authentification multifactorielle (MFA) doit être activée. Pour plus d'informations sur l'attribution de rôles IAM, consultezMéthodes pour assumer un rôle.
Toutefois, si vous créez un test de preuve de concept d'une automatisation de service ou d'un autre cas d'utilisation à court terme, et que vous choisissez d'exécuter des charges de travail en utilisant un utilisateur IAM doté de clés d'accès, nous vous recommandons d'utiliser des politiques et des conditions pour restreindre davantage l'accès à ses informations d'identification d'utilisateur IAM.
Dans ce cas, vous pouvez créer une politique limitée dans le temps qui fait expirer les informations d'identification après le délai spécifié ou, si vous exécutez une charge de travail à partir d'un réseau sécurisé, vous pouvez utiliser une stratégie de restriction IP.
Dans ces deux cas d'utilisation, vous pouvez utiliser une politique intégrée attachée à l'utilisateur IAM qui possède des clés d'accès.
Pour configurer une politique limitée dans le temps pour un utilisateur IAM
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/
l'adresse. -
Dans le volet de navigation, choisissez Utilisateurs, puis sélectionnez l'utilisateur pour le cas d'utilisation à court terme. Si vous n'avez pas encore créé l'utilisateur, vous pouvez le créer maintenant.
-
Sur la page Détails de l'utilisateur, choisissez l'onglet Autorisations.
-
Choisissez Ajouter des autorisations, puis sélectionnez Créer une politique intégrée.
-
Dans la section Éditeur de politiques, sélectionnez JSON pour afficher l'éditeur JSON.
-
Dans l'éditeur JSON, entrez la politique suivante, en remplaçant la valeur de l'
aws:CurrentTimehorodatage par la date et l'heure d'expiration souhaitées :{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2025-03-01T00:12:00Z" } } } ] }Cette politique utilise cet
Denyeffet pour restreindre toutes les actions sur toutes les ressources après la date spécifiée. LaDateGreaterThancondition compare l'heure actuelle avec l'horodatage que vous avez défini. -
Sélectionnez Suivant pour accéder à la page Vérifier et créer. Dans Détails de la politique, sous Nom de la stratégie, entrez le nom de la stratégie, puis choisissez Créer une stratégie.
Une fois la politique créée, elle s'affiche dans l'onglet Autorisations de l'utilisateur. Lorsque l'heure actuelle est supérieure ou égale à l'heure spécifiée dans la politique, l'utilisateur n'aura plus accès aux AWS ressources. Assurez-vous d'informer les développeurs de charges de travail de la date d'expiration que vous avez spécifiée pour ces clés d'accès.
Pour configurer une politique de restriction IP pour un utilisateur IAM
Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/
l'adresse. -
Dans le volet de navigation, choisissez Utilisateurs, puis sélectionnez l'utilisateur qui exécutera la charge de travail depuis le réseau sécurisé. Si vous n'avez pas encore créé l'utilisateur, vous pouvez le créer maintenant.
-
Sur la page Détails de l'utilisateur, choisissez l'onglet Autorisations.
-
Choisissez Ajouter des autorisations, puis sélectionnez Créer une politique intégrée.
-
Dans la section Éditeur de politiques, sélectionnez JSON pour afficher l'éditeur JSON.
-
Copiez la politique IAM suivante dans l'éditeur JSON et modifiez le public, les IPv6 adresses IPv4 ou les plages selon vos besoins. Vous pouvez utiliser https://checkip.amazonaws.com/
pour déterminer votre adresse IP publique actuelle. Vous pouvez spécifier des adresses IP individuelles ou des plages d'adresses IP à l'aide de la notation oblique. Pour de plus amples informations, veuillez consulter lois : SourceIp. Note
Les adresses IP ne doivent pas être masquées par un VPN ou un serveur proxy.
{ "Version": "2012-10-17", "Statement": [ { "Sid":"IpRestrictionIAMPolicyForIAMUser", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" } } } ] }Cet exemple de politique refuse l'utilisation des clés d'accès d'un utilisateur IAM lorsque cette politique est appliquée, sauf si la demande provient des réseaux (spécifiés en notation CIDR) « 203.0.113.0/24 », « 2001 : : 1234:5678 DB8 : :/74 » ou de l'adresse IP spécifique « 203.0.114.1 »
-
Sélectionnez Suivant pour accéder à la page Vérifier et créer. Dans Détails de la politique, sous Nom de la stratégie, entrez le nom de la stratégie, puis choisissez Créer une stratégie.
Une fois la politique créée, elle s'affiche dans l'onglet Autorisations de l'utilisateur.
Vous pouvez également appliquer cette politique en tant que politique de contrôle des services (SCP) à plusieurs AWS
comptes. Nous vous recommandons d'utiliser une condition supplémentaire, aws:PrincipalArn afin que cette déclaration de politique ne s'applique qu'aux utilisateurs IAM des AWS comptes soumis à ce SCP. AWS Organizations La politique suivante inclut cette mise à jour :
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"203.0.113.0/24",
"2001:DB8:1234:5678::/64",
"203.0.114.1"
]
},
"BoolIfExists": {
"aws:ViaAWSService": "false"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:user/*"
}
}
}
]
}