AWS Identity and Access Management
Guide de l'utilisateur

Création de votre premier utilisateur administrateur et groupe IAM

Important

Si vous êtes arrivé sur cette page alors que vous tentiez d'activer Amazon Advertising pour votre application ou site web, consultez Devenir un développeur d'API Product Advertising.

À titre de bonne pratique, n'utilisez pas l'Utilisateur racine d'un compte AWS lorsqu'il n'est pas requis pour une tâche. Au lieu de cela, créez un nouvel utilisateur IAM pour chaque personne ayant besoin d'un accès administrateur. Ensuite, créez ces utilisateurs administrateur en les plaçant dans un groupe « Administrateurs » auquel vous attachez la stratégie gérée AdministratorAccess.

Ensuite, les utilisateurs du groupe d'administrateurs doivent configurer les groupes, les utilisateurs, etc. pour le compte AWS. Toutes les interactions futures doivent être effectuées par l'intermédiaire des utilisateurs du compte AWS et de leurs propres clés au lieu de l'utilisateur racine. Cependant, pour effectuer certaines tâches de gestion des comptes et des services, vous devez vous connecter à l'aide des informations d'identification utilisateur racine. Pour afficher les tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur racine, consultez Tâches AWS qui nécessitent l'utilisateur racine d'un compte AWS.

Création d'un utilisateur et d'un groupe IAM administrateur (console)

Cette procédure décrit l'utilisation de l'AWS Management Console afin de créer un utilisateur IAM pour vous-même et l'ajout de cet utilisateur à un groupe disposant des autorisations d'administrateur provenant d'une stratégie gérée attachée.

Pour créer un administrateur pour vous-même et ajouter l'utilisateur à un groupe d'administrateurs (console)

  1. Utilisez l'adresse e-mail et le mot de passe de votre compte AWS pour vous connecter en tant qu'Utilisateur racine d'un compte AWS à la console IAM à l'adresse https://console.aws.amazon.com/iam/.

    Note

    Nous vous recommandons vivement de respecter la bonne pratique qui consiste à avoir recours à l'utilisateur Administrator IAM ci-dessous et à mettre en sécurité les informations d'identification de l'utilisateur racine. Connectez-vous en tant qu'utilisateur racine pour effectuer certaines tâches de gestion des comptes et des services.

  2. Dans le panneau de navigation, choisissez Users (Utilisateurs), puis Add user (Ajouter un utilisateur).

  3. Pour User name, tapez Administrator.

  4. Cochez la case en regard de AWS Management Console access (Accès à AWS Management Console), sélectionnez Custom password (Mot de passe personnalisé), puis tapez le nouveau mot de passe dans la zone de texte. Par défaut, AWS oblige le nouvel utilisateur à créer un nouveau mot de passe lors de sa première connexion. Si vous le souhaitez, vous pouvez décocher la case en regard de User must create a new password at next sign-in (L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion) pour autoriser le nouvel utilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.

  5. Choisissez Next: Permissions (Suivant : Autorisations).

  6. Sur la page Set permissions (Définir des autorisations), choisissez Add user to group (Ajouter un utilisateur au groupe).

  7. Choisissez Create group.

  8. Dans la boîte de dialogue Create group (Créer un groupe), pour Group name (Nom du groupe), tapez Administrators.

  9. Choisissez Policy Type (Type de stratégie), puis choisissez Job Function (Fonction de tâche) pour filtrer le contenu du tableau.

  10. Dans la liste des stratégies, cochez la case AdministratorAccess. Choisissez ensuite Create group.

    Note

    Vous devez activer l'accès des rôles et utilisateurs IAM à la facturation avant de pouvoir utiliser les autorisations AdministratorAccess pour accéder à la console AWS Billing and Cost Management. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel portant sur la délégation de l'accès à la console de facturation.

  11. De retour dans la liste des groupes, activez la case à cocher du nouveau groupe. Choisissez Refresh si nécessaire pour afficher le groupe dans la liste.

  12. Choisissez Suivant : Balisage.

  13. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, consultez Balisage des entités IAM.

  14. Choisissez Next: Review pour afficher la liste des membres du groupe à ajouter au nouvel utilisateur. Une fois que vous êtes prêt à continuer, choisissez Create user.

Vous pouvez utiliser ce même processus pour créer d'autres groupes et utilisateurs et pour accorder à vos utilisateurs l'accès aux ressources de votre compte AWS. Pour en savoir plus sur l'utilisation des stratégies qui limitent les autorisations utilisateur à des ressources AWS spécifiques, consultez Gestion des accès et Exemples de stratégies basées sur l'identité IAM. Pour ajouter des utilisateurs supplémentaires au groupe une fois celui-ci créé, consultez Ajout et suppression d'utilisateurs dans un groupe IAM.

Création d'un groupe et d'un utilisateur IAM (AWS CLI)

Si vous avez suivi les étapes de la section précédente, vous avez utilisé l'AWS Management Console pour configurer un groupe d'administrateurs pendant la création de l'utilisateur IAM dans votre compte AWS. Cette procédure présente un autre moyen de créer un groupe.

Présentation : configuration d'un groupe d'administrateurs

  1. Créez un groupe et donnez-lui un nom (par exemple, Admins). Pour plus d'informations, consultez Création d'un groupe (AWS CLI).

  2. Attachez une stratégie qui accorde au groupe des autorisations d'administrateur : l'accès à toutes les actions et ressources AWS. Pour plus d'informations, consultez Attachement d'une stratégie au groupe (AWS CLI).

  3. Ajoutez au moins un utilisateur au groupe. Pour plus d'informations, consultez Création d'un utilisateur IAM dans votre compte AWS.

Création d'un groupe (AWS CLI)

Cette section vous montre comment créer un groupe dans le système IAM.

Pour créer un groupe d'administrateurs (AWS CLI)

  1. Saisissez la commande aws iam create-group avec le nom que vous avez choisi pour le groupe. Facultativement, vous pouvez inclure un chemin dans le nom du groupe. Pour plus d'informations sur les chemins, consultez Noms conviviaux et chemins. Le nom peut être constitué de lettres, de chiffres et des caractères suivants : plus (+), égal (=), virgule (,), point (.), arobas (@), trait de soulignement (_) et tiret (-). Le nom n'est pas sensible à la casse et peut contenir un maximum de 128 caractères.

    Dans cet exemple, créez un groupe appelé Admins.

    aws iam create-group --group-name Admins { "Group": { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } }
  2. Saisissez la commande aws iam list-groups pour répertorier les groupes de votre compte AWS et vérifiez que le groupe a été créé.

    aws iam list-groups { "Groups": [ { "Path": "/", "CreateDate": "2014-06-05T20:29:53.622Z", "GroupId":"ABCDEFGHABCDEFGHABCDE", "Arn": "arn:aws:iam::123456789012:group/Admins", "GroupName": "Admins" } ] }

    La réponse inclut l'ARN (Amazon Resource Name) de votre nouveau groupe. L'ARN est un format standard utilisé par AWS pour identifier les ressources. Le numéro à 12 chiffres de l'ARN est votre ID de compte AWS. Le nom convivial que vous attribuez au compte (Admins) apparait la fin de l'ARN du groupe.

Attachement d'une stratégie au groupe (AWS CLI)

Cette section décrit comment attacher une stratégie qui permet à n'importe quel utilisateur du groupe d'exécuter des actions sur n'importe quelle ressource du compte AWS. Pour cela, vous attachez la stratégie gérée par AWS appelée AdministratorAccess au groupe Admins. Pour plus d'informations sur les stratégies, consultez Gestion des accès.

Pour ajouter une stratégie accordant des autorisation administrateur complètes (AWS CLI)

  1. Saisissez la commande aws iam attach-group-policy pour attacher la stratégie appelée AdministratorAccess à votre groupe Admins. La commande utilise l'ARN de la stratégie gérée AWS appelée AdministratorAccess.

    aws iam attach-group-policy --group-name Admins --policy-arn arn:aws:iam::aws:policy/AdministratorAccess

    Si la commande est réussie, il n'y a pas de réponse.

  2. Saisissez la commande aws iam list-attached-group-policies pour vérifier que la stratégie est attachée au groupe Admins.

    aws iam list-attached-group-policies --group-name Admins

    La réponse liste les noms des lignes de conduite attachées au groupe Admins. Une réponse telle que la suivante vous indique que la stratégie appelée AdministratorAccess a été attachée au groupe Admins :

    { "AttachedPolicies": [ { "PolicyName": "AdministratorAccess", "PolicyArn": "arn:aws:iam::aws:policy/AdministratorAccess" } ], "IsTruncated": false }

Vous pouvez vérifier le contenu d'une stratégie spécifique avec la commande aws iam get-policy.

Important

Une fois le groupe administrateurs configuré, vous devez y ajouter au moins un utilisateur. Pour plus d'informations sur l'ajout d'utilisateurs à un groupe, consultez Création d'un utilisateur IAM dans votre compte AWS.

Ressources connexes

Pour obtenir des informations connexes contenues dans le Référence générale d'Amazon Web Services, consultez les ressources suivantes :

Pour obtenir des informations connexes contenues dans le IAM Guide de l'utilisateur, consultez les ressources suivantes :