Identités IAM (utilisateurs, groupes d'utilisateurs et rôles) - AWS Identity and Access Management
Compte AWS utilisateur rootUtilisateurs IAMGroupes d'utilisateurs IAMRôles IAMInformations d'identification temporaires dans IAMQuand utiliser les utilisateurs IAM Identity Center ?Quand créer un utilisateur IAM (au lieu d'un rôle)Quand créer un rôle IAM (au lieu d'un utilisateur)Comparer Utilisateur racine d'un compte AWS et utiliser IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identités IAM (utilisateurs, groupes d'utilisateurs et rôles)

Astuce

Vous rencontrez des difficultés pour vous connecter à AWS ? Vérifiez que vous êtes sur la bonne page de connexion.

  • Pour vous connecter en tant que Utilisateur racine d'un compte AWS (propriétaire du compte), utilisez les informations d'identification que vous avez définies lors de la création du Compte AWS.

  • Pour vous connecter en tant qu'utilisateur IAM, utilisez les informations d'identification que votre administrateur de compte vous a données pour vous connecter à AWS.

  • Pour vous connecter avec votre utilisateur IAM Identity Center, utilisez l’URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l’utilisateur IAM Identity Center.

    Pour obtenir de l'aide pour vous connecter en utilisant un utilisateur d'IAM Identity Center, consultez la section Connexion au portail AWS d'accès dans le guide de l'Connexion à AWS utilisateur.

Pour des didacticiels de connexion, consultez la section Comment se connecter à AWS dans le Guide de l'utilisateur Connexion à AWS .

Note

Si vous avez besoin d'assistance, n'utilisez pas le lien Commentaire indiqué sur cette page. Les commentaires que vous saisissez sont reçus par l'équipe de AWS documentation, et non par AWS le Support. Choisissez plutôt le lien Contactez-nous en haut de cette page. Vous y trouverez des liens vers des ressources qui vous aideront à obtenir l'assistance dont vous avez besoin.

L'utilisateur Utilisateur racine d'un compte AWS ou un utilisateur administratif du compte peut créer des identités IAM. Une identité IAM permet d'accéder à un Compte AWS. Un groupe d'utilisateurs IAM est un ensemble d'utilisateurs IAM gérés en tant qu'unité. Une identité IAM représente un utilisateur humain ou une charge de travail programmatique, et peut être authentifiée puis autorisée à effectuer des actions dans AWS. Chaque identité IAM peut être associée à une ou plusieurs politiques. Les politiques déterminent les actions qu'un utilisateur, un rôle ou un membre d'un groupe d'utilisateurs peut effectuer, sur quelles AWS ressources et dans quelles conditions.

Compte AWS utilisateur root

Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte.

Important

Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter Tâches nécessitant les informations d'identification de l'utilisateur root.

Utilisateurs IAM

Un utilisateur IAM est une identité au sein de vous Compte AWS qui possède des autorisations spécifiques pour une seule personne ou application. Dans la mesure du possible, nous vous recommandons, dans le cadre des bonnes pratiques, de vous appuyer sur des informations d'identification temporaires plutôt que de créer des utilisateurs IAM ayant des informations d'identification à long terme tels que les clés d'accès. Avant de créer des clés d'accès, passez en revue les alternatives aux clés d'accès à long terme. Si vous avez des cas d'utilisation spécifiques qui nécessitent des clés d'accès, nous vous recommandons de mettre à jour les clés d'accès en cas de besoin. Pour plus d’informations, consultez Mettre à jour les clés d'accès lorsque cela est nécessaire pour les cas d'utilisation nécessitant des informations d'identification à long terme. Pour ajouter des utilisateurs IAM à votre Compte AWS, consultezCréer un utilisateur IAM dans votre Compte AWS.

Note

Une bonne pratique en matière de sécurité consiste à fournir un accès à vos ressources par le biais de la fédération d’identité plutôt que de créer des utilisateurs IAM. Pour en savoir plus sur les situations spécifiques dans lesquelles un utilisateur IAM est nécessaire, veuillez consulter Quand créer un utilisateur IAM (au lieu d'un rôle).

Groupes d'utilisateurs IAM

Un groupe IAM est une identité qui concerne un ensemble d’utilisateurs IAM. Vous ne pouvez pas utiliser un groupe pour vous connecter. Vous pouvez utiliser les groupes pour spécifier des autorisations pour plusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Par exemple, vous pouvez avoir un groupe appelé IAMPublishers et accorder à ce groupe les types d'autorisations dont les charges de travail de publication ont généralement besoin.

Rôles IAM

Un rôle IAM est une identité au sein de vous Compte AWS dotée d'autorisations spécifiques. S’il est comparable à un utilisateur IAM, il n’est toutefois pas associé à une personne déterminée. Vous pouvez assumer temporairement un rôle IAM dans le en AWS Management Console changeant de rôle. Vous pouvez assumer un rôle en appelant une opération d' AWS API AWS CLI ou en utilisant une URL personnalisée. Pour plus d'informations sur les méthodes d'utilisation des rôles, veuillez consulter la rubrique Utilisation de rôles IAM.

Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

  • Accès utilisateur fédéré – Pour attribuer des autorisations à une identité fédérée, vous créez un rôle et définissez des autorisations pour le rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour obtenir des informations sur les rôles pour la fédération, consultez Création d’un rôle pour un fournisseur d’identité tiers (fédération) dans le Guide de l’utilisateur IAM. Si vous utilisez IAM Identity Center, vous configurez un jeu d’autorisations. IAM Identity Center met en corrélation le jeu d’autorisations avec un rôle dans IAM afin de contrôler à quoi vos identités peuvent accéder après leur authentification. Pour plus d’informations sur les jeux d’autorisations, veuillez consulter la rubrique Jeux d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .

  • Autorisations d’utilisateur IAM temporaires : un rôle ou un utilisateur IAM peut endosser un rôle IAM pour profiter temporairement d’autorisations différentes pour une tâche spécifique.

  • Accès intercompte : vous pouvez utiliser un rôle IAM pour permettre à un utilisateur (principal de confiance) d’un compte différent d’accéder aux ressources de votre compte. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, certains Services AWS vous permettent d’attacher une politique directement à une ressource (au lieu d’utiliser un rôle en tant que proxy). Pour connaître la différence entre les rôles et les politiques basées sur les ressources pour l'accès intercompte, veuillez consulter la rubrique Accès intercompte aux ressources dans IAM.

  • Accès multiservices — Certains Services AWS utilisent des fonctionnalités dans d'autres Services AWS. Par exemple, lorsque vous effectuez un appel dans un service, il est courant que ce service exécute des applications dans Amazon EC2 ou stocke des objets dans Amazon S3. Un service peut le faire en utilisant les autorisations d’appel du principal, une fonction de service ou un rôle lié au service.

    • Sessions d'accès direct (FAS) : lorsque vous utilisez un utilisateur ou un rôle IAM pour effectuer des actions AWS, vous êtes considéré comme un mandant. Lorsque vous utilisez certains services, l’action que vous effectuez est susceptible de lancer une autre action dans un autre service. FAS utilise les autorisations du principal appelant et Service AWS, associées Service AWS à la demande, pour adresser des demandes aux services en aval. Les demandes FAS ne sont effectuées que lorsqu'un service reçoit une demande qui nécessite des interactions avec d'autres personnes Services AWS ou des ressources pour être traitée. Dans ce cas, vous devez disposer d’autorisations nécessaires pour effectuer les deux actions. Pour plus de détails sur la politique relative à la transmission de demandes FAS, consultez Sessions de transmission d’accès.

    • Fonction du service : il s’agit d’un rôle IAM attribué à un service afin de réaliser des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer une fonction du service à partir d’IAM. Pour plus d’informations, consultez Création d’un rôle pour la délégation d’autorisations à un Service AWS dans le Guide de l’utilisateur IAM.

    • Rôle lié à un service — Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés à un service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.

  • Applications exécutées sur Amazon EC2 : vous pouvez utiliser un rôle IAM pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une instance EC2 et qui envoient des demandes d'API. AWS CLI AWS Cette solution est préférable au stockage des clés d’accès au sein de l’instance EC2. Pour attribuer un AWS rôle à une instance EC2 et le mettre à la disposition de toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d’instance contient le rôle et permet aux programmes qui s’exécutent sur l’instance EC2 d’obtenir des informations d’identification temporaires. Pour plus d’informations, consultez Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2 dans le Guide de l’utilisateur IAM.

Informations d'identification temporaires dans IAM

En guise de bonne pratique, utilisez des informations d'identification temporaires à la fois pour les utilisateurs humains et les charges de travail. Les informations d'identification temporaires sont utilisées principalement avec des rôles IAM, mais il existe également d'autres utilisations. Vous pouvez demander des informations d'identification temporaires ayant un ensemble d'autorisations plus restreintes que votre utilisateur IAM standard. Cela vous évite d’effectuer des tâches accidentellement qui ne sont pas autorisées par les informations d’identification plus restreintes. Les informations d'identification temporaires présentent l'avantage d'expirer automatiquement après une période définie. Vous contrôlez la durée de validité des informations d'identification.

Quand utiliser les utilisateurs IAM Identity Center ?

Nous recommandons à tous les utilisateurs humains d'utiliser IAM Identity Center pour accéder aux AWS ressources. IAM Identity Center permet d'améliorer considérablement l'accès aux AWS ressources en tant qu'utilisateur IAM. IAM Identity Center fournit :

  • Un ensemble central d'identités et d'affectations

  • Accès aux comptes de l'ensemble de AWS l'organisation

  • Une connexion à votre fournisseur d'identité existant

  • Des informations d'identification temporaires

  • Une authentification multifactorielle (MFA)

  • Une configuration MFA en libre-service pour le s utilisateurs finaux

  • Une application administrative de l'utilisation de l'authentification MFA

  • Authentification unique pour tous les droits Compte AWS

Pour plus d'informations, consultez Qu'est-ce que IAM Identity Center ? dans le Guide de l'utilisateur AWS IAM Identity Center .

Quand créer un utilisateur IAM (au lieu d'un rôle)

Nous vous recommandons de n'utiliser les utilisateurs IAM que pour les cas d'utilisation non pris en charge par les utilisateurs fédérés. Voici certaines des fonctionnalités les plus utilisées :

  • Charges de travail qui ne peuvent pas utiliser de rôles IAM — Vous pouvez exécuter une charge de travail à partir d'un emplacement qui a besoin d'accéder à AWS. Dans certains cas, vous ne pouvez pas utiliser les rôles IAM pour fournir des informations d'identification temporaires, par exemple pour les WordPress plug-ins. Dans ces situations, utilisez les clés d'accès à long terme de l'utilisateur IAM pour cette charge de travail afin de vous authentifier auprès de AWS.

  • AWS Clients tiers : si vous utilisez des outils qui ne prennent pas en charge l'accès avec IAM Identity Center, tels que des AWS clients tiers ou des fournisseurs qui ne sont pas hébergés sur le site AWS, utilisez les clés d'accès à long terme des utilisateurs IAM.

  • AWS CodeCommit accès — Si vous avez l'habitude de CodeCommit stocker votre code, vous pouvez utiliser un utilisateur IAM doté de clés SSH ou d'informations d'identification spécifiques au service pour vous authentifier CodeCommit auprès de vos référentiels. Nous vous recommandons de procéder ainsi en plus de vous servir d'un utilisateur dans IAM Identity Center pour une authentification ordinaire. Les utilisateurs d'IAM Identity Center sont les membres de votre personnel qui ont besoin d'accéder à vos applications cloud Comptes AWS ou à celles de celles-ci. Pour permettre aux utilisateurs d'accéder à vos CodeCommit référentiels sans configurer les utilisateurs IAM, vous pouvez configurer l'git-remote-codecommitutilitaire. Pour plus d'informations sur IAM et CodeCommit, consultezUtilisation d'IAM avec CodeCommit : informations d'identification Git, clés SSH et clés d'accès AWS. Pour plus d'informations sur la configuration de l'git-remote-codecommitutilitaire, consultez la section Connexion aux AWS CodeCommit référentiels avec des informations d'identification rotatives dans le Guide de AWS CodeCommit l'utilisateur.

  • Amazon Keyspaces (for Apache Cassandra) access (Accès Amazon Keyspaces (pour Apache Cassandra)) : dans une situation où vous n'êtes pas en mesure de vous servir des utilisateurs dans IAM Identity Center, par exemple à des fins de test de compatibilité avec Cassandra, vous pouvez utiliser un utilisateur IAM avec des informations d'identification spécifiques au service pour vous authentifier auprès d'Amazon Keyspaces. Les utilisateurs d'IAM Identity Center sont les membres de votre personnel qui ont besoin d'accéder à vos applications cloud Comptes AWS ou à celles de celles-ci. Vous pouvez également vous connecter à Amazon Keyspaces à l'aide d'informations d'identification temporaires. Pour de plus d'informations, veuillez consulter Utilisation d'informations d'identification temporaires pour se connecter à Amazon Keyspaces à l'aide d'un rôle IAM et du plugin Sigv4 dans le Guide du développeur Amazon Keyspaces (pour Apache Cassandra).

  • Accès d’urgence : dans une situation où vous n’avez pas accès à votre fournisseur d’identité et où vous devez prendre des mesures sur votre Compte AWS. La création d'utilisateurs IAM bénéficiant d'un accès d'urgence peut faire partie de votre plan de résilience. Nous vous recommandons de veiller à ce que les informations d'identification des utilisateurs d'urgence soient étroitement contrôlées et sécurisées à l'aide de l'authentification multifactorielle (MFA).

Quand créer un rôle IAM (au lieu d'un utilisateur)

Créez un rôle IAM dans les cas suivants :

Vous créez une application qui s'exécute sur une instance Amazon Elastic Compute Cloud (Amazon EC2) et à laquelle cette application envoie des demandes. AWS

Ne créez pas d'utilisateur IAM pour transmettre les informations d'identification de l'utilisateur à l'application ou intégrer les informations d'identification à l'application. À la place, créez un rôle IAM que vous attachez à l'instance EC2 pour transmettre aux applications qui s'exécutent sur l'instance des informations d'identification de sécurité temporaires. Lorsqu'une application utilise ces informations d'identification AWS, elle peut effectuer toutes les opérations autorisées par les politiques associées au rôle. Pour plus de détails, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2.

Vous créez une application qui s'exécute sur un téléphone mobile et réalise des appels vers AWS.

Ne créez pas d'utilisateur IAM pour distribuer sa clé d'accès avec l'application. À la place, utilisez un fournisseur d'identité comme Login with Amazon, Amazon Cognito, Facebook ou Google pour authentifier les utilisateurs et les mapper à un rôle IAM. L'application utilise le rôle pour obtenir des informations d'identification de sécurité temporaires qui disposent des autorisations spécifiées par les politiques attachées au rôle. Pour plus d’informations, consultez les ressources suivantes :

Les utilisateurs de votre entreprise sont authentifiés sur votre réseau d'entreprise et souhaitent pouvoir l'utiliser AWS sans avoir à se reconnecter, c'est-à-dire que vous souhaitez autoriser les utilisateurs à se fédérer dans. AWS

Ne créez pas d'utilisateurs IAM. Configurez une relation de fédération entre votre système d'identité d'entreprise et AWS. Vous pouvez effectuer cette opération de deux façons :

  • Si le système d'identité de votre entreprise est compatible avec SAML 2.0, vous pouvez établir un lien de confiance entre le système d'identité de votre entreprise et AWS. Pour plus d’informations, consultez Fédération SAML 2.0.

  • Créez et utilisez un serveur proxy personnalisé qui traduit les identités des utilisateurs de l'entreprise en rôles IAM fournissant des informations d'identification AWS de sécurité temporaires. Pour plus d’informations, consultez Activation de l'accès à la AWS console par un courtier d'identité personnalisé.

Comparez les Utilisateur racine d'un compte AWS informations d'identification et les informations d'identification des utilisateurs IAM

L'utilisateur root est le propriétaire du compte et est créé lors de la Compte AWS création du. Les autres types d'utilisateurs, y compris les utilisateurs IAM, et AWS IAM Identity Center les utilisateurs sont créés par l'utilisateur root ou un administrateur du compte. Tous les AWS utilisateurs possèdent des identifiants de sécurité.

Informations d'identification de l'utilisateur root

Les informations d'identification du propriétaire du compte permettent un accès complet à toutes les ressources du compte. Vous ne pouvez pas utiliser les politiques IAM pour refuser l'accès aux ressources de manière explicite à l'utilisateur root. Vous ne pouvez utiliser une politique AWS Organizations de contrôle des services (SCP) que pour limiter les autorisations de l'utilisateur root d'un compte membre. C'est pourquoi nous vous recommandons de créer un utilisateur administratif dans IAM Identity Center à utiliser pour les AWS tâches quotidiennes. Protégez ensuite les informations d'identification de l'utilisateur root et ne les utilisez que pour effectuer les quelques tâches de gestion des comptes et des services qui nécessitent que vous vous connectiez en tant que tel. Pour la liste de ces tâches, veuillez consulter Tâches nécessitant les informations d'identification de l'utilisateur root. Pour savoir comment configurer un administrateur pour une utilisation quotidienne dans IAM Identity Center, veuillez consulter la rubrique Getting started dans le Guide de l'utilisateur IAM Identity Center.

Informations d'identification IAM

Un utilisateur IAM est une entité que vous créez et AWS qui représente la personne ou le service qui utilise l'utilisateur IAM pour interagir avec AWS les ressources. Ces utilisateurs sont des identités au sein de vous Compte AWS qui disposent d'autorisations personnalisées spécifiques. Par exemple, vous pouvez créer des utilisateurs IAM et leur donner l'autorisation de créer un répertoire dans IAM Identity Center. Les utilisateurs IAM disposent d'informations d'identification à long terme qu'ils peuvent utiliser pour accéder à l' AWS AWS Management Console aide des API or ou par programmation. AWS CLI AWS Pour step-by-step obtenir des instructions sur la manière dont les utilisateurs IAM se connectent au AWS Management Console, voir Se connecter en AWS Management Console tant qu'utilisateur IAM dans le guide de l'utilisateur de AWS connexion.

En général, nous vous recommandons d’éviter de créer des utilisateurs IAM, car ils possèdent des informations d’identification à long terme, telles qu’un nom d’utilisateur et un mot de passe. Demandez plutôt aux utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès AWS. Vous pouvez utiliser un fournisseur d'identité auquel vos utilisateurs humains fourniront un accès fédéré Comptes AWS en assumant des rôles IAM, qui fournissent des informations d'identification temporaires. Pour une gestion centralisée des accès, nous vous recommandons d'utiliser IAM Identity Center pour gérer l'accès à vos comptes et les autorisations au sein de ceux-ci. Vous pouvez gérer vos identités d'utilisateur avec IAM Identity Center ou gérer les autorisations d'accès pour les identités des utilisateurs dans IAM Identity Center à partir d'un fournisseur d'identité externe. Pour plus d'informations, veuillez consulter la rubrique What is IAM Identity Center dans le Guide de l'utilisateur IAM Identity Center.