Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Important
En tant que bonne pratique, nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès AWS.
Vous pouvez également gérer vos identités d'utilisateur, y compris votre utilisateur administratif, avec AWS IAM Identity Center. Nous vous recommandons d'utiliser IAM Identity Center pour gérer l'accès à vos comptes et les autorisations associées à ces comptes. Si vous utilisez un fournisseur d’identité externe, vous pouvez également configurer les autorisations d’accès pour les identités des utilisateurs dans IAM Identity Center.
Si votre cas d’utilisation nécessite des utilisateurs IAM disposant d’un accès programmatique et d’informations d’identification à long terme, nous vous recommandons d’établir des procédures de mise à jour des clés d’accès. Pour de plus amples informations, veuillez consulter Mise à jour des clés d’accès.
Pour effectuer certaines tâches de gestion des comptes et des services, vous devez vous connecter à l’aide des informations d’identification de l’utilisateur racine. Pour afficher les tâches qui nécessitent que vous vous connectiez en tant qu’utilisateur racine, consultez Tâches nécessitant les informations d'identification de l'utilisateur root.
Pour créer un utilisateur IAM pour les charges de travail qui ne peuvent pas utiliser de rôles IAM
Autorisations minimales
Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :
-
iam:AddUserToGroup -
iam:AttachGroupPolicy -
iam:CreateAccessKey -
iam:CreateGroup -
iam:CreateServiceSpecificCredential -
iam:CreateUser -
iam:GetAccessKeyLastUsed -
iam:GetAccountPasswordPolicy -
iam:GetAccountSummary -
iam:GetGroup -
iam:GetLoginProfile -
iam:GetPolicy -
iam:GetRole -
iam:GetUser -
iam:ListAccessKeys -
iam:ListAttachedGroupPolicies -
iam:ListAttachedUserPolicies -
iam:ListGroupPolicies -
iam:ListGroups -
iam:ListGroupsForUser -
iam:ListInstanceProfilesForRole -
iam:ListMFADevices -
iam:ListPolicies -
iam:ListRoles -
iam:ListRoleTags -
iam:ListSSHPublicKeys -
iam:ListServiceSpecificCredentials -
iam:ListSigningCertificates -
iam:ListUserPolicies -
iam:ListUserTags -
iam:ListUsers -
iam:UploadSSHPublicKey -
iam:UploadSigningCertificate
-
Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .
-
Sur la page d'accueil de la console, sélectionnez le service IAM.
-
Dans le volet de navigation, choisissez Utilisateurs, puis Créer des utilisateurs.
-
Sur la page Spécification de détails de l’utilisateur, procédez comme suit :
-
Pour Nom d’utilisateur, saisissez
WorkloadName. RemplacezWorkloadNamepar le nom de la charge de travail qui utilisera le compte. -
Choisissez Suivant.
-
-
(Facultatif) Sur la page Définir les autorisations, procédez comme suit :
-
Choisissez ajouter un utilisateur au groupe.
-
Choisissez Créer un groupe.
-
Dans la boîte de dialogue Créer un groupe d’utilisateurs, pour Nom du groupe d’utilisateurs, saisissez un nom qui reflète l’utilisation des charges de travail du groupe. Pour cet exemple, utilisez le nom
Automation. -
Sous Politiques d'autorisations, cochez la case correspondant à la politique PowerUserAccessgérée.
Astuce
Saisissez Power dans le champ de recherche des Politiques d’autorisations pour trouver rapidement la politique gérée.
-
Choisissez Créer un groupe d'utilisateurs.
-
De retour sur la page avec la liste des groupes IAM, cochez la case de votre nouveau groupe d’utilisateurs. Sélectionnez Refresh (Actualiser) si vous ne voyez pas le nouveau groupe d'utilisateurs dans la liste.
-
Choisissez Suivant.
-
-
(Facultatif) Dans la section Balises, ajoutez des métadonnées à l’utilisateur en associant les balises sous forme de paires clé-valeur. Pour de plus amples informations, veuillez consulter Balises pour les ressources AWS Identity and Access Management.
-
Vérifiez l’appartenance du nouvel utilisateur à un groupe d’utilisateurs. Une fois que vous êtes prêt à continuer, choisissez Create user (Créer un utilisateur).
-
Une notification de statut apparaît pour vous informer que l’utilisateur a été créé avec succès. Sélectionnez Afficher l’utilisateur pour accéder à la page des détails de l’utilisateur.
-
Sélectionnez l’onglet Informations d’identification de sécurité. Créez ensuite les informations d’identification requises pour la charge de travail.
-
Clés d’accès : sélectionnez Créer une clé d’accès pour générer et télécharger des clés d’accès pour l’utilisateur.
Important
Il s'agit de votre seule opportunité de consulter ou de télécharger les clés d'accès secrètes, et vous devez fournir ces informations à vos utilisateurs avant qu'ils puissent utiliser l' AWS API. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.
-
Clés publiques SSH pour AWS CodeCommit —Sélectionnez Télécharger la clé publique SSH pour télécharger une clé publique SSH afin que l'utilisateur puisse communiquer avec CodeCommit les référentiels via SSH.
-
Informations d'identification Git HTTPS pour AWS CodeCommit —Sélectionnez Générer des informations d'identification pour générer un ensemble unique d'informations d'identification utilisateur à utiliser avec les référentiels Git. Sélectionnez Télécharger les informations d’identification pour enregistrer le nom d’utilisateur et le mot de passe dans un fichier .csv. C’est la seule fois où cette information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.
-
Informations d’identification pour Amazon Keyspaces (pour Apache Cassandra) : sélectionnez Générer des informations d’identification pour générer des informations d’identification utilisateur spécifiques au service à utiliser avec Amazon Keyspaces. Sélectionnez Télécharger les informations d’identification pour enregistrer le nom d’utilisateur et le mot de passe dans un fichier .csv. C’est la seule fois où cette information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.
Important
Les informations d’identification spécifiques au service sont des informations d’identification à long terme associées à un utilisateur IAM spécifique et ne peuvent être utilisées que pour le service pour lequel elles ont été créées. Pour autoriser les rôles IAM ou les identités fédérées à accéder à toutes vos AWS ressources à l'aide d'informations d'identification temporaires, utilisez l' AWS authentification avec le plugin d'authentification SigV4 pour Amazon Keyspaces. Pour de plus d’informations, consultez Utilisation d’informations d’identification temporaires pour se connecter à Amazon Keyspaces à l’aide d’un rôle IAM et du plug-in SigV4 dans le Guide du développeur Amazon Keyspaces (pour Apache Cassandra).
-
Certificats de signature X.509 —Sélectionnez Créer un certificat X.509 si vous devez effectuer des demandes sécurisées selon le protocole SOAP et que vous vous trouvez dans une région non prise en charge par. AWS Certificate Manager ACM est l'outil préféré pour mettre en service, gérer et déployer vos certificats de serveur. Pour plus d'informations sur l'utilisation d'ACM, consultez le Guide de l'utilisateur AWS Certificate Manager .
-
Vous avez créé un utilisateur doté d'un accès programmatique et vous l'avez configuré avec la fonction PowerUserAccessjob. La politique d'autorisation de cet utilisateur accorde un accès complet à tous les services, à l'exception d'IAM et AWS Organizations.
Vous pouvez utiliser ce même processus pour donner à des charges de travail supplémentaires un accès programmatique à vos Compte AWS ressources, si les charges de travail ne sont pas en mesure d'assumer des rôles IAM. Cette procédure a utilisé la politique PowerUserAccessgérée pour attribuer des autorisations. Pour respecter les pratiques exemplaires du moindre privilège, envisagez d’utiliser une politique plus restrictive ou de créer une politique personnalisée qui limite l’accès aux seules ressources requises par le programme. Pour en savoir plus sur l'utilisation de politiques qui limitent les autorisations des utilisateurs à AWS des ressources spécifiques, consultez Gestion de l'accès pour les ressources AWS etExemples de politiques basées sur l'identité IAM. Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter Modification des utilisateurs dans les groupes IAM.
