Création d’un utilisateur IAM pour les charges de travail qui ne peuvent pas utiliser de rôles IAM - AWS Identity and Access Management
Pour créer un utilisateur IAM pour les charges de travail qui ne peuvent pas utiliser de rôles IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un utilisateur IAM pour les charges de travail qui ne peuvent pas utiliser de rôles IAM

Important

En tant que bonne pratique, nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès AWS.

Vous pouvez également gérer vos identités d'utilisateur, y compris votre utilisateur administratif, avec AWS IAM Identity Center. Nous vous recommandons d'utiliser IAM Identity Center pour gérer l'accès à vos comptes et les autorisations associées à ces comptes. Si vous utilisez un fournisseur d’identité externe, vous pouvez également configurer les autorisations d’accès pour les identités des utilisateurs dans IAM Identity Center.

Si votre cas d’utilisation nécessite des utilisateurs IAM disposant d’un accès programmatique et d’informations d’identification à long terme, nous vous recommandons d’établir des procédures de mise à jour des clés d’accès. Pour de plus amples informations, veuillez consulter Mise à jour des clés d’accès.

Pour effectuer certaines tâches de gestion des comptes et des services, vous devez vous connecter à l’aide des informations d’identification de l’utilisateur racine. Pour afficher les tâches qui nécessitent que vous vous connectiez en tant qu’utilisateur racine, consultez Tâches nécessitant les informations d'identification de l'utilisateur root.

Pour créer un utilisateur IAM pour les charges de travail qui ne peuvent pas utiliser de rôles IAM

Autorisations minimales

Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateAccessKey

  • iam:CreateGroup

  • iam:CreateServiceSpecificCredential

  • iam:CreateUser

  • iam:GetAccessKeyLastUsed

  • iam:GetAccountPasswordPolicy

  • iam:GetAccountSummary

  • iam:GetGroup

  • iam:GetLoginProfile

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAccessKeys

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListInstanceProfilesForRole

  • iam:ListMFADevices

  • iam:ListPolicies

  • iam:ListRoles

  • iam:ListRoleTags

  • iam:ListSSHPublicKeys

  • iam:ListServiceSpecificCredentials

  • iam:ListSigningCertificates

  • iam:ListUserPolicies

  • iam:ListUserTags

  • iam:ListUsers

  • iam:UploadSSHPublicKey

  • iam:UploadSigningCertificate

Afficher plusAfficher moins
IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le service IAM.

  3. Dans le volet de navigation, choisissez Utilisateurs, puis Créer des utilisateurs.

  4. Sur la page Spécification de détails de l’utilisateur, procédez comme suit :

    1. Pour Nom d’utilisateur, saisissez WorkloadName. Remplacez WorkloadName par le nom de la charge de travail qui utilisera le compte.

    2. Choisissez Suivant.

  5. (Facultatif) Sur la page Définir les autorisations, procédez comme suit :

    1. Choisissez ajouter un utilisateur au groupe.

    2. Choisissez Créer un groupe.

    3. Dans la boîte de dialogue Créer un groupe d’utilisateurs, pour Nom du groupe d’utilisateurs, saisissez un nom qui reflète l’utilisation des charges de travail du groupe. Pour cet exemple, utilisez le nom Automation.

    4. Sous Politiques d'autorisations, cochez la case correspondant à la politique PowerUserAccessgérée.

      Astuce

      Saisissez Power dans le champ de recherche des Politiques d’autorisations pour trouver rapidement la politique gérée.

    5. Choisissez Créer un groupe d'utilisateurs.

    6. De retour sur la page avec la liste des groupes IAM, cochez la case de votre nouveau groupe d’utilisateurs. Sélectionnez Refresh (Actualiser) si vous ne voyez pas le nouveau groupe d'utilisateurs dans la liste.

    7. Choisissez Suivant.

  6. (Facultatif) Dans la section Balises, ajoutez des métadonnées à l’utilisateur en associant les balises sous forme de paires clé-valeur. Pour de plus amples informations, veuillez consulter Balises pour les ressources AWS Identity and Access Management.

  7. Vérifiez l’appartenance du nouvel utilisateur à un groupe d’utilisateurs. Une fois que vous êtes prêt à continuer, choisissez Create user (Créer un utilisateur).

  8. Une notification de statut apparaît pour vous informer que l’utilisateur a été créé avec succès. Sélectionnez Afficher l’utilisateur pour accéder à la page des détails de l’utilisateur.

  9. Sélectionnez l’onglet Informations d’identification de sécurité. Créez ensuite les informations d’identification requises pour la charge de travail.

    • Clés d’accès : sélectionnez Créer une clé d’accès pour générer et télécharger des clés d’accès pour l’utilisateur.

      Important

      Il s'agit de votre seule opportunité de consulter ou de télécharger les clés d'accès secrètes, et vous devez fournir ces informations à vos utilisateurs avant qu'ils puissent utiliser l' AWS API. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.

    • Clés publiques SSH pour AWS CodeCommit —Sélectionnez Télécharger la clé publique SSH pour télécharger une clé publique SSH afin que l'utilisateur puisse communiquer avec CodeCommit les référentiels via SSH.

    • Informations d'identification Git HTTPS pour AWS CodeCommit —Sélectionnez Générer des informations d'identification pour générer un ensemble unique d'informations d'identification utilisateur à utiliser avec les référentiels Git. Sélectionnez Télécharger les informations d’identification pour enregistrer le nom d’utilisateur et le mot de passe dans un fichier .csv. C’est la seule fois où cette information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.

    • Informations d’identification pour Amazon Keyspaces (pour Apache Cassandra) : sélectionnez Générer des informations d’identification pour générer des informations d’identification utilisateur spécifiques au service à utiliser avec Amazon Keyspaces. Sélectionnez Télécharger les informations d’identification pour enregistrer le nom d’utilisateur et le mot de passe dans un fichier .csv. C’est la seule fois où cette information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.

      Important

      Les informations d’identification spécifiques au service sont des informations d’identification à long terme associées à un utilisateur IAM spécifique et ne peuvent être utilisées que pour le service pour lequel elles ont été créées. Pour autoriser les rôles IAM ou les identités fédérées à accéder à toutes vos AWS ressources à l'aide d'informations d'identification temporaires, utilisez l' AWS authentification avec le plugin d'authentification SigV4 pour Amazon Keyspaces. Pour de plus d’informations, consultez Utilisation d’informations d’identification temporaires pour se connecter à Amazon Keyspaces à l’aide d’un rôle IAM et du plug-in SigV4 dans le Guide du développeur Amazon Keyspaces (pour Apache Cassandra).

    • Certificats de signature X.509 —Sélectionnez Créer un certificat X.509 si vous devez effectuer des demandes sécurisées selon le protocole SOAP et que vous vous trouvez dans une région non prise en charge par. AWS Certificate Manager ACM est l'outil préféré pour mettre en service, gérer et déployer vos certificats de serveur. Pour plus d'informations sur l'utilisation d'ACM, consultez le Guide de l'utilisateur AWS Certificate Manager .

Vous avez créé un utilisateur doté d'un accès programmatique et vous l'avez configuré avec la fonction PowerUserAccessjob. La politique d'autorisation de cet utilisateur accorde un accès complet à tous les services, à l'exception d'IAM et AWS Organizations.

Vous pouvez utiliser ce même processus pour donner à des charges de travail supplémentaires un accès programmatique à vos Compte AWS ressources, si les charges de travail ne sont pas en mesure d'assumer des rôles IAM. Cette procédure a utilisé la politique PowerUserAccessgérée pour attribuer des autorisations. Pour respecter les pratiques exemplaires du moindre privilège, envisagez d’utiliser une politique plus restrictive ou de créer une politique personnalisée qui limite l’accès aux seules ressources requises par le programme. Pour en savoir plus sur l'utilisation de politiques qui limitent les autorisations des utilisateurs à AWS des ressources spécifiques, consultez Gestion de l'accès pour les ressources AWS etExemples de politiques basées sur l'identité IAM. Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter Modification des utilisateurs dans les groupes IAM.

AWS CLI

  1. Créez un utilisateur nommé Automation.

    
              aws iam create-user \
                  --user-name Automation

  2. Créez un groupe d'utilisateurs IAM nomméAutomationGroup, associez la politique AWS gérée PowerUserAccess au groupe, puis ajoutez l'Automationutilisateur au groupe.

    Note

    Une politique gérée par AWS est une politique autonome qui est créée et gérée par AWS. Chaque politique possède son propre Amazon Resource Name (ARN) dans lequel figure le nom de la politique. Par exemple, il arn:aws:iam::aws:policy/IAMReadOnlyAccess s'agit d'une politique AWS gérée. Pour plus d'informations sur ARNs, voirARN IAM. Pour obtenir la liste des politiques AWS gérées pour Services AWS, consultez la section stratégies AWS gérées.

    • aws iam create-group 

      
                  aws iam create-group \
                      --group-name AutomationGroup

    • était iam attach-group-policy

      
                  aws iam attach-group-policy \
                      --policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
                      --group-name AutomationGroup

    • était iam add-user-to-group 

      
                 aws iam add-user-to-group \
                     --user-name Automation \
                     --group-name AutomationGroup

    • Exécutez la commande aws iam get-group afficher la liste de AutomationGroup et de ses membres.

      
                aws iam get-group \
                     --group-name AutomationGroup

  3. Créez les informations d’identification de sécurité requises pour la charge de travail.

    • Création de clés d'accès pour les testsaws iam create-access-key

      
                       aws iam create-access-key \
                           --user-name Automation

      La sortie de cette commande affiche la clé d’accès secrète et l’ID de clé d’accès. Enregistrez et stockez ces informations dans un emplacement sûr. Si ces informations d’identification sont perdues, elles ne peuvent pas être récupérées et vous devez générer une nouvelle clé d’accès.

      Important

      Ces clés d’accès utilisateur IAM sont des informations d’identification à long terme qui présentent un risque de sécurité pour votre compte. Une fois les tests terminés, nous vous recommandons de supprimer ces clés d’accès. Si vous envisagez des clés d'accès dans certains scénarios, déterminez si vous pouvez activer le MFA pour l'utilisateur IAM de votre charge de travail et utiliser aws sts get-session-token pour obtenir des informations d'identification temporaires pour la session au lieu d'utiliser des clés d'accès IAM.

    • Téléchargez des clés publiques SSH pour AWS CodeCommitaws iam upload-ssh-public-key

      L’exemple suivant suppose que vos clés publiques SSH sont stockées dans le fichier sshkey.pub.

      
                       aws upload-ssh-public-key \
                           --user-name Automation \
                           --ssh-public-key-body file://sshkey.pub

    • Télécharger un certificat de signature X.509aws iam upload-signing-certificate

      Téléchargez un certificat X.509 si vous devez effectuer des demandes sécurisées via le protocole SOAP et que vous vous trouvez dans une région non prise en charge par. AWS Certificate Manager ACM est l'outil préféré pour mettre en service, gérer et déployer vos certificats de serveur. Pour plus d'informations sur l'utilisation d'ACM, consultez le Guide de l'utilisateur AWS Certificate Manager .

      L’exemple suivant suppose que votre certificat de signature X.509 est stocké dans le fichier certificate.pem.

      
                      aws iam upload-signing-certificate \
                      --user-name Automation \
                      --certificate-body file://certificate.pem

Vous pouvez utiliser ce même processus pour donner à des charges de travail supplémentaires un accès programmatique à vos Compte AWS ressources, si les charges de travail ne sont pas en mesure d'assumer des rôles IAM. Cette procédure a utilisé la politique PowerUserAccessgérée pour attribuer des autorisations. Pour respecter les pratiques exemplaires du moindre privilège, envisagez d’utiliser une politique plus restrictive ou de créer une politique personnalisée qui limite l’accès aux seules ressources requises par le programme. Pour en savoir plus sur l'utilisation de politiques qui limitent les autorisations des utilisateurs à AWS des ressources spécifiques, consultez Gestion de l'accès pour les ressources AWS etExemples de politiques basées sur l'identité IAM. Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter Modification des utilisateurs dans les groupes IAM.