Création d'un IAM utilisateur pour les charges de travail qui ne peuvent pas utiliser IAM de rôles - AWS Identity and Access Management
Pour créer un IAM utilisateur pour les charges de travail qui ne peuvent pas utiliser IAM de rôles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un IAM utilisateur pour les charges de travail qui ne peuvent pas utiliser IAM de rôles

Important

En guise de bonne pratique, nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès à AWS. Vous pouvez utiliser un fournisseur d'identité pour vos utilisateurs humains afin de fournir un accès fédéré à des Comptes AWS en assumant des rôles, qui fournissent des informations d'identification temporaires. Pour une gestion centralisée des accès, nous vous recommandons d'utiliser AWS IAM Identity Center (IAMIdentity Center) pour gérer l'accès à vos comptes et les autorisations au sein de ceux-ci. Vous pouvez créer et gérer vos identités d'utilisateur, y compris votre utilisateur administratif, avec IAM Identity Center. Si vous utilisez un fournisseur d'identité externe, vous pouvez également configurer les autorisations d'accès pour les identités des utilisateurs dans IAM Identity Center. Pour plus d’informations, consultez Présentation de AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

Si votre cas d'utilisation requiert des IAM utilisateurs disposant d'un accès par programmation et d'informations d'identification à long terme, nous vous recommandons de mettre en place des procédures pour mettre à jour les clés d'accès en cas de besoin. Pour de plus amples informations, veuillez consulter Mettre à jour les clés d'accès.

Pour effectuer certaines tâches de gestion des comptes et des services, vous devez vous connecter à l'aide des informations d'identification d'utilisateur racine. Pour afficher les tâches qui nécessitent de se connecter en tant qu'utilisateur racine, consultezTâches nécessitant les informations d'identification de l'utilisateur root.

Pour créer un IAM utilisateur pour les charges de travail qui ne peuvent pas utiliser IAM de rôles

Choisissez l'onglet correspondant à la méthode que vous souhaitez suivre pour créer l'IAMutilisateur pour une charge de travail :

Autorisations minimales

Pour effectuer les étapes suivantes, vous devez disposer au moins des IAM autorisations suivantes :

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateAccessKey

  • iam:CreateGroup

  • iam:CreateServiceSpecificCredential

  • iam:CreateUser

  • iam:GetAccessKeyLastUsed

  • iam:GetAccountPasswordPolicy

  • iam:GetAccountSummary

  • iam:GetGroup

  • iam:GetLoginProfile

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAccessKeys

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListInstanceProfilesForRole

  • iam:ListMFADevices

  • iam:ListPolicies

  • iam:ListRoles

  • iam:ListRoleTags

  • iam:ListSSHPublicKeys

  • iam:ListServiceSpecificCredentials

  • iam:ListSigningCertificates

  • iam:ListUserPolicies

  • iam:ListUserTags

  • iam:ListUsers

  • iam:UploadSSHPublicKey

  • iam:UploadSigningCertificate

Afficher plusAfficher moins
IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le volet de navigation, sélectionnez Utilisateurs, puis sélectionnez Créer des utilisateurs.

  4. Sur la page Spécifier les détails de l'utilisateur, procédez comme suit :

    1. Pour User name (nom d'utilisateur), saisissez WorkloadName. Remplacez WorkloadNamepar le nom de la charge de travail qui utilisera le compte.

    2. Choisissez Suivant.

  5. (Facultatif) Sur la page Set permissions (Facultatif) procédez comme suit :

    1. Choisissez ajouter un utilisateur au groupe.

    2. Choisissez Créer un groupe.

    3. Dans la boîte de dialogue Créer un groupe d'utilisateurs, dans Nom du groupe d'utilisateurs, tapez un nom qui représente l'utilisation des charges de travail du groupe. Pour cet exemple, utilisez le nomAutomation.

    4. Sous Politiques d'autorisations, cochez la case correspondant à la politique PowerUserAccessgérée.

      Astuce

      Entrez Power dans le champ de recherche des politiques d'autorisations pour trouver rapidement la politique gérée.

    5. Choisissez Créer un groupe d'utilisateurs.

    6. De retour sur la page avec la liste des IAM groupes, cochez la case du nouveau groupe d'utilisateurs. Sélectionnez Refresh (Actualiser) si vous ne voyez pas le nouveau groupe d'utilisateurs dans la liste.

    7. Choisissez Suivant.

  6. (Facultatif) Dans la section Balises, ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour de plus amples informations, veuillez consulter Tags pour les AWS Identity and Access Management ressources.

  7. Vérifiez les appartenances de groupe d'utilisateurs pour le nouvel utilisateur. Une fois que vous êtes prêt à continuer, choisissez Create user (Créer un utilisateur).

  8. Une notification de statut apparaît pour vous informer que l'utilisateur a été créé avec succès. Sélectionnez Afficher l'utilisateur pour accéder à la page des détails de l'utilisateur

  9. Sélectionnez l'onglet Informations d'identification de sécurité. Créez ensuite les informations d'identification nécessaires pour la charge de travail.

    • Clés d'accès —Sélectionnez Créer une clé d'accès pour générer et télécharger des clés d'accès pour l'utilisateur.

      Important

      C'est votre seule occasion de visualiser ou de télécharger les clés d'accès secrètes, et vous devez fournir ces informations à vos utilisateurs pour qu'ils puissent utiliser le AWS API. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.

    • SSHclés publiques pour AWS CodeCommit —Sélectionnez Télécharger une clé SSH publique pour télécharger une clé SSH publique afin que l'utilisateur puisse communiquer avec CodeCommit les référentiels. SSH

    • HTTPSInformations d'identification Git pour AWS CodeCommit —Sélectionnez Générer des informations d'identification pour générer un ensemble unique d'informations d'identification utilisateur à utiliser avec les référentiels Git. Sélectionnez Télécharger les informations d'identification pour enregistrer le nom d'utilisateur et le mot de passe dans un fichier .csv. C'est le seul moment où l'information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.

    • Informations d'identification pour Amazon Keyspaces (pour Apache Cassandra) : sélectionnez Générer des informations d'identification pour générer des informations d'identification utilisateur spécifiques au service à utiliser avec Amazon Keyspaces. Sélectionnez Télécharger les informations d'identification pour enregistrer le nom d'utilisateur et le mot de passe dans un fichier .csv. C'est le seul moment où l'information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.

      Important

      Les informations d'identification spécifiques au service sont des informations d'identification à long terme associées à un IAM utilisateur spécifique et ne peuvent être utilisées que pour le service pour lequel elles ont été créées. Pour autoriser IAM les rôles ou les identités fédérées à accéder à toutes vos AWS ressources à l'aide d'informations d'identification temporaires, utilisez l' AWS authentification avec le plugin d'authentification SigV4 pour Amazon Keyspaces. Pour de plus amples informations, veuillez consulter Utilisation d'informations d'identification temporaires pour se connecter à Amazon Keyspaces à l'aide d'un IAM rôle et du plugin Sigv4 dans le Guide du développeur Amazon Keyspaces (for Apache Cassandra).

    • Certificats de signature X.509 —Sélectionnez Créer un certificat X.509 si vous devez effectuer des demandes de SOAP protocole sécurisé et que vous vous trouvez dans une région non prise en charge par. AWS Certificate Manager ACMest l'outil préféré pour mettre en service, gérer et déployer vos certificats de serveur. Pour plus d'informations sur l'utilisationACM, consultez le guide de AWS Certificate Manager l'utilisateur.

Vous avez créé un utilisateur doté d'un accès programmatique et vous l'avez configuré avec la fonction PowerUserAccessjob. La politique d'autorisation de cet utilisateur accorde un accès complet à tous les services, à l'exception de IAM et AWS Organizations.

Vous pouvez utiliser ce même processus pour donner à des charges de travail supplémentaires un accès programmatique à vos Compte AWS ressources, si les charges de travail ne sont pas en mesure d'assumer des rôles. IAM Cette procédure a utilisé la politique PowerUserAccessgérée pour attribuer des autorisations. Pour suivre la meilleure pratique du moindre privilège, envisagez d'utiliser une politique plus restrictive ou de créer une politique personnalisée qui restreint l'accès aux seules ressources requises par le programme. Pour en savoir plus sur l'utilisation des stratégies afin de limiter les autorisations utilisateur à AWS des ressources spécifiques, consultez Gestion de l'accès aux AWS ressources etExemples de politiques basées sur l'identité IAM. Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter Modification d'IAMutilisateurs en bloc.

AWS CLI

  1. Créez un utilisateur nomméAutomation.

    
              aws iam create-user \
                  --user-name Automation

  2. Créez un groupe IAM d'utilisateurs nomméAutomationGroup, associez la politique AWS gérée PowerUserAccess au groupe, puis ajoutez l'Automationutilisateur au groupe.

    Note

    Une politique gérée par AWS est une politique autonome qui est créée et gérée par AWS. Chaque stratégie a son propre Amazon Resource Name (ARN) dans lequel figure le nom de la stratégie. Par exemple, il arn:aws:iam::aws:policy/IAMReadOnlyAccess s'agit d'une politique AWS gérée. Pour de plus amples informations surARNs, consultezIAM ARNs. Pour obtenir la liste des politiques AWS gérées pour Services AWS, consultez la section stratégies AWS gérées.

  3. Créez les informations d'identification de sécurité nécessaires pour la charge de travail.

    • Création de clés d'accès pour les testsaws iam create-access-key

      
                       aws iam create-access-key \
                           --user-name Automation

      La sortie de cette commande affiche la clé d'accès secrète et l'ID de clé d'accès. Enregistrez et stockez ces informations dans un emplacement sûr. Si ces informations d'identification sont perdues, elles ne peuvent pas être récupérées et vous devez créer une nouvelle clé d'accès.

      Important

      Ces clés IAM d'accès utilisateur sont des informations d'identification à long terme qui présentent un risque de sécurité pour votre compte. Une fois les tests terminés, nous vous recommandons de supprimer ces clés d'accès. Si vous envisagez des clés d'accès dans certains scénarios, déterminez si vous pouvez les activer MFA pour votre IAM utilisateur de charge de travail et utiliser aws sts get-session-token pour obtenir des informations d'identification temporaires pour la session au lieu d'utiliser des clés d'IAMaccès.

    • Téléchargez SSH des clés publiques pour AWS CodeCommitaws iam upload-ssh-public-key

      L'exemple suivant suppose que vos clés SSH publiques sont stockées dans le fichiersshkey.pub.

      
                       aws upload-ssh-public-key \
                           --user-name Automation \
                           --ssh-public-key-body file://sshkey.pub

    • Télécharger un certificat de signature X.509aws iam upload-signing-certificate

      Téléchargez un certificat X.509 si vous devez effectuer des demandes de SOAP protocole sécurisé et que vous vous trouvez dans une région non prise en charge par. AWS Certificate Manager ACMest l'outil préféré pour mettre en service, gérer et déployer vos certificats de serveur. Pour plus d'informations sur l'utilisationACM, consultez le guide de AWS Certificate Manager l'utilisateur.

      L'exemple suivant suppose que votre certificat de signature X.509 est stocké dans le fichiercertificate.pem.

      
                      aws iam upload-signing-certificate \
                      --user-name Automation \
                      --certificate-body file://certificate.pem

Vous pouvez utiliser ce même processus pour donner à des charges de travail supplémentaires un accès programmatique à vos Compte AWS ressources, si les charges de travail ne sont pas en mesure d'assumer des rôles. IAM Cette procédure a utilisé la politique PowerUserAccessgérée pour attribuer des autorisations. Pour suivre la meilleure pratique du moindre privilège, envisagez d'utiliser une politique plus restrictive ou de créer une politique personnalisée qui restreint l'accès aux seules ressources requises par le programme. Pour en savoir plus sur l'utilisation des stratégies afin de limiter les autorisations utilisateur à AWS des ressources spécifiques, consultez Gestion de l'accès aux AWS ressources etExemples de politiques basées sur l'identité IAM. Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter Modification d'IAMutilisateurs en bloc.