Création de votre premier utilisateur administrateur et groupe IAM - AWS Identity and Access Management

Création de votre premier utilisateur administrateur et groupe IAM

Important

Si vous avez trouvé cette page parce que vous recherchez des informations sur le Product Advertising API pour vendre des produits Amazon sur votre site web, veuillez consulter la documentation du Product Advertising API version 5.0.

À titre de bonne pratique, n'utilisez pas l'utilisateur racine Compte AWS lorsqu'il n'est pas requis pour une tâche. Au lieu de cela, créez un nouvel utilisateur IAM pour chaque personne ayant besoin d'un accès administrateur. Ensuite, créez ces utilisateurs administrateur en les plaçant dans un groupe d'utilisateurs « Administrators » (administrateurs) auquel vous attachez la politique gérée AdministratorAccess.

Ensuite, les utilisateurs du groupe d'utilisateurs administrateurs doivent configurer les groupes d'utilisateurs, les utilisateurs, etc. pour le compte AWS. Toutes les interactions futures doivent être effectuées par l'intermédiaire des utilisateurs du compte AWS et de leurs propres clés au lieu de l'utilisateur racine. Cependant, pour effectuer certaines tâches de gestion des comptes et des services, vous devez vous connecter à l'aide des informations d'identification d'utilisateur racine. Pour afficher les tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur racine, veuillez consulter Tâches AWS qui requièrent l'utilisateur racine d'un compte.

Création d'un groupe d'utilisateurs et d'un utilisateur administrateur IAM (console)

Cette procédure décrit l'utilisation de la AWS Management Console afin de créer un utilisateur IAM pour vous-même et l'ajout de cet utilisateur à un groupe d'utilisateurs disposant des autorisations d'administrateur provenant d'une politique gérée attachée.

Pour créer un administrateur pour vous-même et ajouter l'utilisateur à un groupe d'utilisateurs administrateurs (console)

  1. Connectez-vous à la console IAM en tant que propriétaire du compte en choisissant Utilisateur racine) et en saisissant votre adresse e-mail Compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Note

    Nous vous recommandons vivement de respecter la bonne pratique qui consiste à avoir recours à l'utilisateur IAM Administrator ci-dessous et protéger les informations d'identification de l'utilisateur racine. Connectez-vous en tant qu'utilisateur principal pour effectuer certaines tâches de gestion du compte et du service.

  2. Activez l'accès aux données de facturation de l'utilisateur administrateur IAM que vous allez créer de la façon suivante :

    1. Sur la barre de navigation, sélectionnez le nom de votre compte, puis My Account (Mon compte).

    2. En regard d'Accès des utilisateurs et rôles IAM aux données de facturation, sélectionnez Modifier. Vous devez être connecté en tant qu'utilisateur racine pour que cette section soit affichée sur la page du compte.

    3. Cochez case en regard d'Activate IAM Access (Activer l'accès à IAM), puis sélectionnez Update (Mettre à jour).

    4. Dans la barre de navigation, sélectionnez Services, puis IAM pour revenir à la console IAM.

  3. Dans le panneau de navigation, sélectionnez Users (Utilisateurs), puis Add users (Ajouter des utilisateurs).

  4. Sur la page Détails, procédez comme suit :

    1. Pour User name (nom d'utilisateur), saisissez Administrator.

    2. Activez la case à cocher pour Accès à AWS Management Console, sélectionnez Mot de passe personnalisé, puis saisissez le nouveau mot de passe dans la zone de texte.

    3. Par défaut, AWS oblige le nouvel utilisateur à créer un nouveau mot de passe lors de sa première connexion. Si vous le souhaitez, vous pouvez décocher la case en regard de User must create a new password at next sign-in (L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion) pour autoriser le nouvel utilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.

    4. Sélectionnez Next : Permissions (Étape suivante : autorisations).

  5. Sur la page autorisations, procédez comme suit :

    1. Choisissez ajouter un utilisateur au groupe.

    2. Choisissez Créer un groupe.

    3. Dans la boîte de dialogue Create group (Créer un groupe), pour Group name (Nom du groupe), saisissez Administrators.

    4. Activez la case à cocher de la politique AdministratorAccess.

    5. Choisissez Créer un groupe.

    6. De retour sur la page avec la liste des groupes d'utilisateurs, cochez la case du nouveau groupe d'utilisateurs. Sélectionnez Refresh (Actualiser) si vous ne voyez pas le nouveau groupe d'utilisateurs dans la liste.

    7. Choisissez suivant : étiquettes.

  6. (Facultatif) Sur la page Balises, ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d’informations, veuillez consulter Balisage des ressources IAM.

  7. Choisissez Suivant : Vérification. Vérifiez les appartenances de groupe d'utilisateurs à ajouter au nouvel utilisateur. Une fois que vous êtes prêt à continuer, sélectionnez Create user.

  8. (Facultatif) Sur la page terminé, vous pouvez télécharger un fichier .csv contenant les informations de connexion de l'utilisateur ou envoyer un e-mail avec les instructions de connexion à l'utilisateur.

Vous pouvez utiliser ce même processus pour créer d'autres groupes d'utilisateurs et utilisateurs et pour accorder à vos utilisateurs l'accès aux ressources de votre compte AWS. Pour en savoir plus sur l'utilisation des politiques qui limitent les autorisations utilisateur à des ressources AWS spécifiques, veuillez consulter Gestion de l'accès pour les ressources AWS et Exemples de politiques basées sur l'identité IAM. Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter Ajout et suppression d'utilisateurs dans un groupe IAM.

Création d'un groupe d'utilisateurs et d'utilisateurs IAM (AWS CLI)

Si vous avez suivi les étapes de la section précédente, vous avez utilisé la AWS Management Console pour configurer un groupe d'utilisateurs administrateurs pendant la création de l'utilisateur IAM dans votre compte AWS. Cette procédure présente un autre moyen de créer un groupe d'utilisateurs.

Présentation : configuration d'un groupe d'utilisateurs administrateurs

  1. Créez un groupe d'utilisateurs et donnez-lui un nom (par exemple, Admins [Administrateurs]). Pour plus d’informations, veuillez consulter Création d'un groupe d'utilisateurs (AWS CLI).

  2. Attachez une politique qui accorde au groupe d'utilisateurs des autorisations d'administrateur : l'accès à toutes les actions et ressources AWS. Pour plus d’informations, veuillez consulter Attachement d'une politique au groupe d'utilisateurs (AWS CLI).

  3. Ajoutez au moins un utilisateur au groupe d'utilisateurs. Pour plus d’informations, veuillez consulter Création d'un utilisateur IAM dans votre compte AWS.

Création d'un groupe d'utilisateurs (AWS CLI)

Cette section vous montre comment créer un groupe d'utilisateurs dans le système IAM.

Requirements

Installez AWS Command Line Interface (AWS CLI). Pour lus d’informations, veuillez consulter installation de l'outil AWS CLI dans le guide de l'utilisateur AWS Command Line Interface.

Pour créer un groupe d'utilisateurs administrateurs (AWS CLI)

  1. Saisissez la commande aws iam create-group avec le nom que vous avez choisi pour le groupe d'utilisateurs. Facultativement, vous pouvez inclure un chemin dans le nom du groupe d'utilisateurs. Pour plus d'informations sur les chemins, veuillez consulter Noms conviviaux et chemins. Le nom peut être constitué de lettres, de chiffres et des caractères suivants : plus (+), égal (=), virgule (,), point (.), arobase (@), tiret bas (_) et tiret (-). Le nom n'est pas sensible à la casse et peut contenir un maximum de 128 caractères.

    Dans cet exemple, créez un groupe appelé Admins (Administrateurs).

    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. Saisissez la commande aws iam list-groups pour répertorier les groupes d'utilisateurs de votre compte AWS et vérifiez que le groupe d'utilisateurs a été créé.

    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    La réponse inclut l'Amazon Resource Name (ARN) de votre nouveau groupe d'utilisateurs. L'ARN est un format standard utilisé par AWS pour identifier les ressources. Le numéro à 12 chiffres de l'ARN est votre ID de compte AWS. Le nom convivial que vous attribuez au groupe d'utilisateurs (Admins [Administrateurs]) apparait la fin de l'ARN du groupe d'utilisateurs.

Attachement d'une politique au groupe d'utilisateurs (AWS CLI)

Cette section décrit comment attacher une politique qui permet à n'importe quel utilisateur du groupe d'utilisateurs d'exécuter des actions sur n'importe quelle ressource du compte AWS. Pour cela, vous attachez la politique gérée par AWS appelée AdministratorAccess au groupe d'utilisateurs Admins (Administrateurs). Pour plus d'informations sur les politiques, veuillez consulter Gestion de l'accès pour les ressources AWS.

Pour ajouter une politique accordant des autorisation administrateur complètes (AWS CLI)

  1. Saisissez la commande aws iam attach-group-policy pour attacher la politique appelée AdministratorAccess à votre groupe d'utilisateurs Admins (Administrateurs). La commande utilise l'ARN de la politique gérée AWS appelée AdministratorAccess.

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    Si la commande est réussie, il n'y a pas de réponse.

  2. Saisissez la commande aws iam list-attached-group-policies pour vérifier que la politique est attachée au groupe d'utilisateurs Admins (Administrateurs).

    aws iam list-attached-group-policies --group-name Admins

    La réponse liste les noms des lignes de conduite attachées au groupe d'utilisateurs Admins (Administrateurs). Une réponse telle que la suivante vous indique que la politique appelée AdministratorAccess a été attachée au groupe d'utilisateurs Admins (Administrateurs) :

    { "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }

Vous pouvez vérifier le contenu d'une politique spécifique avec la commande aws iam get-policy.

Important

Une fois le groupe d'utilisateurs administrateurs configuré, vous devez y ajouter au moins un utilisateur. Pour plus d'informations sur l'ajout d'utilisateurs à un groupe d'utilisateurs, veuillez consulter Création d'un utilisateur IAM dans votre compte AWS.

Ressources connexes

Pour obtenir des informations connexes contenues dans la Référence générale Amazon Web Services, veuillez consulter les ressources suivantes :

Pour obtenir des informations connexes contenues dans le IAM Guide de l'utilisateur, veuillez consulter les ressources suivantes :