Création d'un IAM utilisateur pour les charges de travail qui ne peuvent pas utiliser IAM de rôles - AWS Identity and Access Management
Pour créer un IAM utilisateur pour les charges de travail qui ne peuvent pas utiliser IAM de rôles

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un IAM utilisateur pour les charges de travail qui ne peuvent pas utiliser IAM de rôles

Important

À titre de bonne pratique, nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès AWS. Vous pouvez utiliser un fournisseur d'identité auquel vos utilisateurs humains fourniront un accès fédéré Comptes AWS en assumant des rôles fournissant des informations d'identification temporaires. Pour une gestion centralisée des accès, nous vous recommandons d'utiliser AWS IAM Identity Center (IAMIdentity Center) pour gérer l'accès à vos comptes et les autorisations associées à ces comptes. Vous pouvez créer et gérer vos identités d'utilisateur, y compris votre utilisateur administratif, avec IAM Identity Center. Si vous utilisez un fournisseur d'identité externe, vous pouvez également configurer les autorisations d'accès pour les identités des utilisateurs dans IAM Identity Center. Pour plus d’informations, consultez Présentation de AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

Si votre cas d'utilisation nécessite des IAM utilisateurs disposant d'un accès programmatique et d'informations d'identification à long terme, nous vous recommandons d'établir des procédures pour mettre à jour les clés d'accès en cas de besoin. Pour de plus amples informations, veuillez consulter Mettre à jour les clés d'accès.

Pour effectuer certaines tâches de gestion des comptes et des services, vous devez vous connecter à l'aide des informations d'identification de l'utilisateur root. Pour consulter les tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, consultezTâches nécessitant les informations d'identification de l'utilisateur root.

Pour créer un IAM utilisateur pour les charges de travail qui ne peuvent pas utiliser IAM de rôles

Choisissez l'onglet correspondant à la méthode que vous souhaitez suivre pour créer l'IAMutilisateur pour une charge de travail :

Autorisations minimales

Pour effectuer les étapes suivantes, vous devez disposer au moins des IAM autorisations suivantes :

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateAccessKey

  • iam:CreateGroup

  • iam:CreateServiceSpecificCredential

  • iam:CreateUser

  • iam:GetAccessKeyLastUsed

  • iam:GetAccountPasswordPolicy

  • iam:GetAccountSummary

  • iam:GetGroup

  • iam:GetLoginProfile

  • iam:GetPolicy

  • iam:GetRole

  • iam:GetUser

  • iam:ListAccessKeys

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListInstanceProfilesForRole

  • iam:ListMFADevices

  • iam:ListPolicies

  • iam:ListRoles

  • iam:ListRoleTags

  • iam:ListSSHPublicKeys

  • iam:ListServiceSpecificCredentials

  • iam:ListSigningCertificates

  • iam:ListUserPolicies

  • iam:ListUserTags

  • iam:ListUsers

  • iam:UploadSSHPublicKey

  • iam:UploadSigningCertificate

Afficher plusAfficher moins
IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le volet de navigation, choisissez Utilisateurs, puis Create users.

  4. Sur la page Spécifier les informations utilisateur, procédez comme suit :

    1. Pour User name (nom d'utilisateur), saisissez WorkloadName. Remplacez WorkloadNamepar le nom de la charge de travail qui utilisera le compte.

    2. Choisissez Suivant.

  5. (Facultatif) Sur la page Définir les autorisations, procédez comme suit :

    1. Choisissez ajouter un utilisateur au groupe.

    2. Choisissez Créer un groupe.

    3. Dans la boîte de dialogue Créer un groupe d'utilisateurs, dans Nom du groupe d'utilisateurs, tapez un nom qui représente l'utilisation des charges de travail du groupe. Pour cet exemple, utilisez le nomAutomation.

    4. Sous Politiques d'autorisations, cochez la case correspondant à la politique PowerUserAccessgérée.

      Astuce

      Entrez Power dans le champ de recherche des politiques d'autorisations pour trouver rapidement la politique gérée.

    5. Choisissez Créer un groupe d'utilisateurs.

    6. De retour sur la page contenant la liste des IAM groupes, cochez la case correspondant à votre nouveau groupe d'utilisateurs. Sélectionnez Refresh (Actualiser) si vous ne voyez pas le nouveau groupe d'utilisateurs dans la liste.

    7. Choisissez Suivant.

  6. (Facultatif) Dans la section Balises, ajoutez des métadonnées à l'utilisateur en attachant des balises sous forme de paires clé-valeur. Pour de plus amples informations, veuillez consulter Tags pour les AWS Identity and Access Management ressources.

  7. Vérifiez l'appartenance au groupe d'utilisateurs du nouvel utilisateur. Une fois que vous êtes prêt à continuer, choisissez Create user (Créer un utilisateur).

  8. Une notification de statut apparaît pour vous informer que l'utilisateur a été créé avec succès. Sélectionnez Afficher l'utilisateur pour accéder à la page des détails de l'utilisateur.

  9. Sélectionnez l'onglet Informations d'identification de sécurité. Créez ensuite les informations d'identification nécessaires pour la charge de travail.

    • Clés d'accès —Sélectionnez Créer une clé d'accès pour générer et télécharger des clés d'accès pour l'utilisateur.

      Important

      Il s'agit de votre seule opportunité de consulter ou de télécharger les clés d'accès secrètes, et vous devez fournir ces informations à vos utilisateurs avant qu'ils puissent utiliser le AWS API. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.

    • SSHclés publiques pour AWS CodeCommit —Sélectionnez Télécharger une clé SSH publique pour télécharger une clé SSH publique afin que l'utilisateur puisse communiquer avec CodeCommit les référentiels. SSH

    • HTTPSInformations d'identification Git pour AWS CodeCommit —Sélectionnez Générer des informations d'identification pour générer un ensemble unique d'informations d'identification utilisateur à utiliser avec les référentiels Git. Sélectionnez Télécharger les informations d'identification pour enregistrer le nom d'utilisateur et le mot de passe dans un fichier .csv. C'est le seul moment où l'information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.

    • Informations d'identification pour Amazon Keyspaces (pour Apache Cassandra) : sélectionnez Générer des informations d'identification pour générer des informations d'identification utilisateur spécifiques au service à utiliser avec Amazon Keyspaces. Sélectionnez Télécharger les informations d'identification pour enregistrer le nom d'utilisateur et le mot de passe dans un fichier .csv. C'est le seul moment où l'information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.

      Important

      Les informations d'identification spécifiques au service sont des informations d'identification à long terme associées à un IAM utilisateur spécifique et ne peuvent être utilisées que pour le service pour lequel elles ont été créées. Pour autoriser IAM les rôles ou les identités fédérées à accéder à toutes vos AWS ressources à l'aide d'informations d'identification temporaires, utilisez l' AWS authentification avec le plugin d'authentification SigV4 pour Amazon Keyspaces. Pour plus d'informations, consultez la section Utilisation d'informations d'identification temporaires pour vous connecter à Amazon Keyspaces (pour Apache Cassandra) à l'aide d'un IAM rôle et du plug-in SigV4 dans le guide du développeur Amazon Keyspaces (pour Apache Cassandra).

    • Certificats de signature X.509 —Sélectionnez Créer un certificat X.509 si vous devez effectuer des demandes de SOAP protocole sécurisé et que vous vous trouvez dans une région non prise en charge par. AWS Certificate Manager ACMest l'outil préféré pour approvisionner, gérer et déployer vos certificats de serveur. Pour plus d'informations sur l'utilisationACM, consultez le guide de AWS Certificate Manager l'utilisateur.

Vous avez créé un utilisateur doté d'un accès programmatique et vous l'avez configuré avec la fonction PowerUserAccessjob. La politique d'autorisation de cet utilisateur accorde un accès complet à tous les services, à l'exception de IAM et AWS Organizations.

Vous pouvez utiliser ce même processus pour donner à des charges de travail supplémentaires un accès programmatique à vos Compte AWS ressources, si les charges de travail ne sont pas en mesure d'assumer des rôles. IAM Cette procédure a utilisé la politique PowerUserAccessgérée pour attribuer des autorisations. Pour suivre la meilleure pratique du moindre privilège, envisagez d'utiliser une politique plus restrictive ou de créer une politique personnalisée qui restreint l'accès aux seules ressources requises par le programme. Pour en savoir plus sur l'utilisation de politiques qui limitent les autorisations des utilisateurs à AWS des ressources spécifiques, consultez Gestion de l'accès aux AWS ressources etExemples de politiques basées sur l'identité IAM. Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter Modifier les utilisateurs dans les IAM IAM groupes.

AWS CLI

  1. Créez un utilisateur nomméAutomation.

    
              aws iam create-user \
                  --user-name Automation

  2. Créez un groupe IAM d'utilisateurs nomméAutomationGroup, associez la politique AWS gérée PowerUserAccess au groupe, puis ajoutez l'Automationutilisateur au groupe.

    Note

    Une politique gérée par AWS est une politique autonome qui est créée et gérée par AWS. Chaque politique possède son propre nom de ressource Amazon (ARN) qui inclut le nom de la politique. Par exemple, il arn:aws:iam::aws:policy/IAMReadOnlyAccess s'agit d'une politique AWS gérée. Pour plus d'informations surARNs, voirIAM ARNs. Pour obtenir la liste des politiques AWS gérées pour Services AWS, consultez la section stratégies AWS gérées.

  3. Créez les informations d'identification de sécurité nécessaires pour la charge de travail.

    • Création de clés d'accès pour les testsaws iam create-access-key

      
                       aws iam create-access-key \
                           --user-name Automation

      La sortie de cette commande affiche la clé d'accès secrète et l'ID de la clé d'accès. Enregistrez et stockez ces informations dans un endroit sûr. Si ces informations d'identification sont perdues, elles ne peuvent pas être récupérées et vous devez créer une nouvelle clé d'accès.

      Important

      Ces clés IAM d'accès utilisateur sont des informations d'identification à long terme qui présentent un risque de sécurité pour votre compte. Une fois les tests terminés, nous vous recommandons de supprimer ces clés d'accès. Si vous envisagez des clés d'accès dans certains scénarios, déterminez si vous pouvez les activer MFA pour votre IAM utilisateur de charge de travail et utiliser aws sts get-session-token pour obtenir des informations d'identification temporaires pour la session au lieu d'utiliser des clés d'IAMaccès.

    • Téléchargez SSH des clés publiques pour AWS CodeCommitaws iam upload-ssh-public-key

      L'exemple suivant suppose que vos clés SSH publiques sont stockées dans le fichiersshkey.pub.

      
                       aws upload-ssh-public-key \
                           --user-name Automation \
                           --ssh-public-key-body file://sshkey.pub

    • Télécharger un certificat de signature X.509aws iam upload-signing-certificate

      Téléchargez un certificat X.509 si vous devez effectuer des demandes de SOAP protocole sécurisé et que vous vous trouvez dans une région non prise en charge par. AWS Certificate Manager ACMest l'outil préféré pour approvisionner, gérer et déployer vos certificats de serveur. Pour plus d'informations sur l'utilisationACM, consultez le guide de AWS Certificate Manager l'utilisateur.

      L'exemple suivant suppose que votre certificat de signature X.509 est stocké dans le fichiercertificate.pem.

      
                      aws iam upload-signing-certificate \
                      --user-name Automation \
                      --certificate-body file://certificate.pem

Vous pouvez utiliser ce même processus pour donner à des charges de travail supplémentaires un accès programmatique à vos Compte AWS ressources, si les charges de travail ne sont pas en mesure d'assumer des rôles. IAM Cette procédure a utilisé la politique PowerUserAccessgérée pour attribuer des autorisations. Pour suivre la meilleure pratique du moindre privilège, envisagez d'utiliser une politique plus restrictive ou de créer une politique personnalisée qui restreint l'accès aux seules ressources requises par le programme. Pour en savoir plus sur l'utilisation de politiques qui limitent les autorisations des utilisateurs à AWS des ressources spécifiques, consultez Gestion de l'accès aux AWS ressources etExemples de politiques basées sur l'identité IAM. Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter Modifier les utilisateurs dans les IAM IAM groupes.