Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
L'utilisation d'autorisations de moindre privilège est une recommandation de bonne pratique IAM. Le concept des autorisations de moindre privilège consiste à accorder aux utilisateurs les autorisations nécessaires à l'exécution d'une tâche et aucune autorisation supplémentaire. Lors des préparatifs, réfléchissez à la manière dont vous allez prendre en charge les autorisations de moindre privilège. L’utilisateur racine, l’utilisateur administratif et l’utilisateur IAM d’accès d’urgence disposent d’autorisations puissantes qui ne sont pas nécessaires pour les tâches quotidiennes. Pendant que vous vous familiarisez avec AWS et que vous testez différents services, nous vous recommandons de créer au moins un utilisateur supplémentaire dans IAM Identity Center, doté d'autorisations moindres, que vous pourrez utiliser dans différents scénarios. Vous pouvez utiliser les politiques IAM pour définir les actions qui peuvent être entreprises sur des ressources données dans des conditions spécifiques, puis vous connecter à ces ressources avec le compte doté de privilèges moindres.
Si vous utilisez IAM Identity Center, pensez à utiliser des jeux d'autorisations IAM Identity Center pour commencer. Pour en savoir plus, veuillez consulter la rubrique Create a permission set dans le Guide de l'utilisateur IAM Identity Center.
Si vous n'utilisez pas IAM Identity Center, utilisez les rôles IAM pour définir les autorisations des différentes entités IAM. Pour en savoir plus, consultez Création d’un rôle IAM.
Les rôles IAM et les jeux d'autorisations IAM Identity Center peuvent utiliser des politiques gérées par AWS basées sur les fonctions professionnelles. Pour plus de détails sur les autorisations accordées par ces politiques, consultez AWS politiques gérées pour les fonctions professionnelles.
Important
Gardez à l'esprit que les stratégies gérées AWS peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles peuvent être utilisées par tous les clients AWS. Au terme de la configuration, nous vous recommandons d'utiliser IAM Access Analyzer pour générer des stratégies de moindre privilège basées sur l'activité d'accès consignée dans AWS CloudTrail. Pour plus d'informations sur la génération de politiques, consultez IAM Access Analyzer policy generation.
Pour commencer, nous vous recommandons d’utiliser des politiques gérées par AWS pour accorder des autorisations. Après une période d’activité prédéfinie (90 jours, par exemple), vous pouvez examiner les services auxquels les personnes et les charges de travail ont accédé. Vous pouvez ensuite créer une politique gérée par le client disposant d’autorisations réduites pour remplacer la politique gérée par AWS. La nouvelle politique ne devrait inclure que les services auxquels il a été fait appel au cours de la période examinée. Mettez à jour vos autorisations pour supprimer la politique gérée par AWS et attachez la nouvelle politique gérée par le client que vous avez créée.
