Gestion des clés d'accès pour les utilisateurs IAM - AWS Identity and Access Management
Autorisations requises pour gérer les clés d'accèsGestion des clés d'accès (console)Gestion des clés d'accès (AWS CLI)Gestion des clés d'accès (API AWS)Mise à jour des clés d'accèsSécurisation des clés d'accèsAudit des clés d'accès

Gestion des clés d'accès pour les utilisateurs IAM

Important

Les bonnes pratiques consistent à utiliser des informations d'identification de sécurité temporaires (comme des rôles IAM) plutôt que de créer des informations d'identification à long terme comme des clés d'accès. Avant de créer des clés d'accès, passez en revue les alternatives aux clés d'accès à long terme.

Les clés d'accès sont les informations d'identification à long terme d'un utilisateur IAM ou du Utilisateur racine d'un compte AWS. Vous pouvez utiliser des clés d'accès pour signer des demandes par programmation auprès de l’interface AWS CLI ou de l'API AWS (directement ou à l'aide du kit SDK AWS). Pour de plus amples informations, veuillez consulter Signature des demandes d'API AWS.

Les clés d'accès se composent de deux parties : un ID de clé d'accès (par exemple, AKIAIOSFODNN7EXAMPLE) et une clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Vous devez utiliser à la fois l'ID de la clé d'accès et la clé d'accès secrète pour authentifier vos demandes.

Lorsque vous créez une paire de clé d'accès, enregistrez l'ID de clé d'accès et la clé d'accès secrète dans un emplacement sécurisé. La clé d'accès secrète est accessible uniquement au moment de sa création. Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. Pour en savoir plus, consultez Réinitialisation de vos mots de passe ou clés d'accès perdus ou oubliés pour AWS.

Vous pouvez avoir un maximum de deux clés d'accès par utilisateur.

Important

Gérez vos clés d'accès en toute sécurité. Ne communiquez pas vos clés d'accès à des tiers non autorisés, même pour vous aider à trouver les identifiants de votre compte. En effet, vous lui accorderiez ainsi un accès permanent à votre compte.

Les rubriques suivantes détaillent les tâches de gestion associées aux clés d'accès.

Autorisations requises pour gérer les clés d'accès

Note

iam:TagUser est une autorisation facultative permettant d'ajouter et de modifier des descriptions pour la clé d'accès. Pour plus d'informations, consultez Étiquette d'utilisateurs IAM.

Pour créer des clés d'accès pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Pour mettre à jour des clés d'accès pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}

Gestion des clés d'accès (console)

Vous pouvez utiliser l'AWS Management Console pour gérer les clés d'accès des utilisateurs IAM.

Pour créer, modifier ou supprimer vos propres clés d'accès (outil)

  1. Utilisez votre ID ou alias de compte AWS, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console IAM.

    Note

    Pour plus de commodité, la page de connexion à AWS utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et vos informations de compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez Sign in to a different account (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. Sur cette page, vous pouvez saisir votre ID ou alias de compte AWS pour être redirigé vers la page de connexion de l'utilisateur IAM de votre compte.

    Pour obtenir votre ID de Compte AWS, contactez votre administrateur.

  2. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis Security credentials (Informations d'identification de sécurité).

    Lien Security Credentials (Informations d'identification de sécurité) de la Console de gestion AWS
    Note

    L'onglet Informations d'identification de sécurité s'affiche uniquement pourUtilisateur racine d'un compte AWS. Les utilisateurs d'IAM peuvent gérer les clés d'accès depuis le volet de navigation.

    1. Choisissez Utilisateurs.

    2. Dans la liste des Users (Utilisateurs), choisissez le nom d'utilisateur IAM.

    3. Choisissez l'onglet Informations d'identification de sécurité. Sous Clés d'accès, choisissez Créer une clé d'accès.

Effectuez l'une des actions suivantes :

Pour créer une clé d'accès

  1. Dans la section Clés d'accès, choisissez Créer une clé d'accès. Si vous avez déjà deux clés d'accès, ce bouton est désactivé et vous devez supprimer une clé d'accès avant de pouvoir en créer une nouvelle.

  2. Sur la page des bonnes pratiques et alternatives en matière de clés d'accès, choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez Other (Autre), puis Next (Suivant).

  3. (Facultatif) Définissez une valeur de balise de description pour la clé d'accès. Cela permet d'ajouter une paire clé-valeur de balise à votre utilisateur IAM. Cela peut vous aider à identifier et à mettre à jour les clés d'accès par la suite. La clé de balise est définie sur l'identifiant de la clé d'accès. La valeur de balise est définie selon la description de la clé d'accès que vous spécifiez. Lorsque vous avez terminé, sélectionnez Create access key (Créer la clé d'accès).

  4. Sur la page Retrieve access keys (Récupérer les clés d'accès), choisissez Show (Afficher) (pour révéler la valeur de la clé d'accès secrète de votre utilisateur) ou Download .csv file (Télécharger le fichier .csv). C'est le seul moment où vous pouvez enregistrer votre clé d'accès secrète. Après avoir enregistré votre clé d'accès secrète dans un emplacement sécurisé, sélectionnez Done (Terminé).

Pour désactiver une clé d'accès

  • Dans la section Access keys (Clés d'accès), recherchez la clé que vous souhaitez désactiver, puis choisissez Actions, puis Deactivate (Désactiver). À l'invite de confirmation, cliquez sur Deactivate (Désactiver). Une clé d'accès désactivée compte toujours dans votre limite de deux clés d'accès.

Pour activer une clé d'accès

  • Dans la section Access keys (Clés d'accès), recherchez la clé que vous souhaitez activer, puis choisissez Actions, puis Activate (Activer).

Pour supprimer une clé d'accès dont vous n'avez plus besoin

  • Dans la section Access keys (Clés d'accès), recherchez la clé que vous souhaitez suprimer, puis choisissez Actions, puis Delete (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord désactiver, puis confirmer la suppression. Nous vous recommandons de vérifier que la clé d'accès n'est plus utilisée avant de la supprimer définitivement.

Créer, modifier ou supprimer les clés d'accès d'un autre utilisateur IAM (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom utilisateur dont vous souhaitez gérer les clés d'accès, puis sélectionnez l'onglet Informations d'identification de sécurité.

  4. Dans la section Clés d'accès, procédez comme suit :

    • Pour créer une clé d'accès, choisissez Créer une clé d'accès. Si le bouton est désactivé, vous devez supprimer l'une des clés existantes avant de pouvoir en créer une nouvelle. Sur la page Bonnes pratiques et alternatives en matière de clés d'accès, passez en revue les bonnes pratiques et alternatives. Choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez Other (Autre), puis Next (Suivant). Sur la page Retrieve access key page (Récupérer les clés d'accès), choisissez Show (Afficher) pour révéler la valeur de la clé d'accès secrète de votre utilisateur. Pour enregistrer l'ID de clé d'accès et la clé d'accès secrète dans un fichier .csv, dans un emplacement sécurisé sur votre ordinateur, sélectionnez le bouton Download .csv file (Télécharger un fichier .csv). Lorsque vous créez une clé d'accès pour votre utilisateur, cette paire de clés est activée par défaut et votre utilisateur peut immédiatement l'utiliser.

    • Pour désactiver une clé d'accès active, choisissez Actions, puis Deactivate (Désactiver).

    • Pour activer une clé d'accès inactive, choisissez Actions, puis Activate (Activer).

    • Pour supprimer votre clé d'accès, choisissez Actions, puis Delete (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord désactiver, puis confirmer la suppression. AWS vous recommande de procéder comme suit : vous désactivez d'abord la clé et vérifiez qu'elle n'est plus utilisée. Lorsque vous utilisez la AWS Management Console, vous devez désactiver votre clé avant de la supprimer.

Pour répertorier les clés d'accès d'un utilisateur IAM (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet Informations d'identification de sécurité. Dans la section Clés d'accès, vous pouvez consulter les clés d'accès de l'utilisateur ainsi que le statut de celles-ci.

    Note

    Seul l'ID de clé d'accès de l'utilisateur est visible. La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.

Pour répertorier les ID de clés d'accès de plusieurs utilisateurs IAM (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Au besoin, ajoutez la colonne ID de clé d'accès à la table des utilisateurs en procédant comme suit :

    1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres ( Settings icon ).

    2. Dans Gérer les colonnes, sélectionnez ID de clé d'accès.

    3. Choisissez Fermer pour revenir à la liste des utilisateurs.

  4. La colonne ID de clé d'accès présente chaque ID de clé d'accès, suivi par son état ; par exemple, 23478207027842073230762374023 (Active) ou 22093740239670237024843420327 (Inactive).

    Vous pouvez utiliser ces informations pour afficher et copier les clés d'accès des utilisateurs ayant une ou deux clés d'accès. La colonne affiche Aucun pour les utilisateurs sans clé d'accès.

    Note

    Seul l'ID et l'état de la clé d'accès de l'utilisateur sont visibles. La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.

Pour rechercher quel utilisateur IAM possède une clé d'accès spécifique (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Dans la zone de recherche, saisissez ou collez l'ID de la clé d'accès de l'utilisateur que vous recherchez.

  4. Au besoin, ajoutez la colonne ID de clé d'accès à la table des utilisateurs en procédant comme suit :

    1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres ( Settings icon ).

    2. Dans Gérer les colonnes, sélectionnez ID de clé d'accès.

    3. Choisissez Fermer pour retourner la liste des utilisateurs et vérifier que l'utilisateur filtré est le propriétaire de la clé d'accès spécifiée.

Gestion des clés d'accès (AWS CLI)

Pour gérer les clés d'accès d'un utilisateur IAM dans l'AWS CLI, exécutez les commandes suivantes.

Gestion des clés d'accès (API AWS)

Pour gérer les clés d'accès d'un utilisateur IAM à partir de l'API AWS, appelez les opérations suivantes.

Mise à jour des clés d'accès

Comme bonne pratique en matière de sécurité, nous vous recommandons de mettre à jour les clés d'accès de l'utilisateur IAM en cas de besoin, par exemple lorsqu'un employé quitte votre entreprise. Les utilisateurs IAM peuvent mettre à jour leurs propres clés d'accès s'ils ont obtenu les autorisations nécessaires.

Pour plus d'informations concernant l'octroi aux utilisateurs IAM d'autorisations de mise à jour de leurs propres clés d'accès, veuillez consulter AWS : autorise les utilisateurs IAM à gérer leurs propres mot de passe, clés d'accès et clés publiques SSH sur la page Mes informations d'identification de sécurité. Vous pouvez également appliquer une politique de mots de passe à votre compte pour exiger que tous vos utilisateurs IAM mettent périodiquement à jour leurs mots de passe et la fréquence à laquelle ils doivent le faire. Pour de plus amples informations, veuillez consulter Définition d'une politique de mot de passe du compte pour les utilisateurs IAM.

Mise à jour des clés d'accès pour un utilisateur IAM (console)

Vous pouvez mettre à jour les clés d'accès à partir de l'AWS Management Console.

Pour mettre à jour les clés d'accès pour un utilisateur IAM sans interrompre vos applications (console)

  1. Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès.

    1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

    2. Dans le panneau de navigation, choisissez utilisateurs.

    3. Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet Informations d'identification de sécurité.

    4. Dans la section Clés d'accès, choisissez Créer une clé d'accès. Sur la page des bonnes pratiques et alternatives en matière de clés d'accès, choisissez Other (Autre), puis Next (Suivant).

    5. (Facultatif) Définissez une valeur de balise de description pour la clé d'accès afin d'ajouter une paire clé-valeur de balise à cet utilisateur IAM. Cela peut vous aider à identifier et à mettre à jour les clés d'accès par la suite. La clé de balise est définie sur l'identifiant de la clé d'accès. La valeur de balise est définie selon la description de la clé d'accès que vous spécifiez. Lorsque vous avez terminé, sélectionnez Create access key (Créer la clé d'accès).

    6. Sur la page Retrieve access keys (Récupérer les clés d'accès), choisissez Show (Afficher) (pour révéler la valeur de la clé d'accès secrète de votre utilisateur) ou Download .csv file (Télécharger le fichier .csv). C'est le seul moment où vous pouvez enregistrer votre clé d'accès secrète. Après avoir enregistré votre clé d'accès secrète dans un emplacement sécurisé, sélectionnez Done (Terminé).

      Lorsque vous créez une clé d'accès pour votre utilisateur, cette paire de clés est activée par défaut et votre utilisateur peut immédiatement l'utiliser. À ce stade, l'utilisateur dispose de deux clés d'accès actives.

  2. Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.

  3. Déterminez si la première clé d'accès est toujours utilisée en consultant les informations Dernière utilisation de la clé d'accès la plus ancienne. Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.

  4. Même si la valeur des informations Dernière utilisation indique que l'ancienne clé n'a jamais été utilisée, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. À la place, sélectionnez Actions, puis Deactivate (Désactiver) pour désactiver la première clé d'accès.

  5. Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. À ce stade, toutes les applications et tous les outils qui continuent d'utiliser la clé d'accès d'origine arrêteront de fonctionner, car ils n'auront plus accès aux ressources AWS. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez réactiver la première clé d'accès. Revenez ensuite à Étape 3 et mettez à jour cette application afin d'utiliser la nouvelle clé.

  6. Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès:

    1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

    2. Dans le panneau de navigation, choisissez utilisateurs.

    3. Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet Informations d'identification de sécurité.

    4. Dans la section Access keys (Clés d'accès) correspondant à la clé d'accès que vous souhaitez supprimer, choisissez Actions, puis Delete (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord désactiver, puis confirmer la suppression.

Pour déterminer quelles clés d'accès doivent être mises à jour ou supprimées (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Au besoin, ajoutez la colonne Access key age (Âge de la clé d'accès) à la table des utilisateurs en procédant comme suit :

    1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres ( Settings icon ).

    2. Dans Manage columns (Gérer les colonnes), sélectionnez Access key age (Âge de la clé d'accès).

    3. Choisissez Fermer pour revenir à la liste des utilisateurs.

  4. La colonne Access key age (Âge de la clé d'accès) affiche le nombre de jours écoulés depuis la création de la clé d'accès active la plus ancienne. Vous pouvez utiliser ces informations pour trouver les utilisateurs dont les clés d'accès doivent être mises à jour ou supprimées. La colonne affiche Aucun pour les utilisateurs sans clé d'accès.

Mise à jour des clés d'accès (AWS CLI)

Vous pouvez mettre à jour les clés d'accès à partir de l'AWS Command Line Interface.

Pour mettre à jour les clés d'accès sans interrompre vos applications (AWS CLI)

  1. Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès qui est active par défaut. Exécutez la commande suivante :

  2. Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.

  3. Déterminez si la première clé d'accès est toujours utilisée à l'aide de cette commande :

    Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.

  4. Même si l'étape Étape 3 n'indique aucune utilisation de l'ancienne clé, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. Définissez plutôt l'état de la première clé d'accès sur Inactive à l'aide de cette commande :

  5. Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. À ce stade, toutes les applications et tous les outils qui continuent d'utiliser la clé d'accès d'origine arrêteront de fonctionner, car ils n'auront plus accès aux ressources AWS. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez définir à nouveau son état sur Active pour réactiver la première clé d'accès. Revenez ensuite à l'étape Étape 2 et mettez à jour cette application afin d'utiliser la nouvelle clé.

  6. Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès à l'aide de cette commande :

Mise à jour des clés d'accès (API AWS)

Vous pouvez mettre à jour les clés d'accès en utilisant l'API AWS.

Pour mettre à jour les clés d'accès sans interrompre vos applications (API AWS)

  1. Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès qui est active par défaut. Appelez l'opération suivante :

    • CreateAccessKey

      À ce stade, l'utilisateur dispose de deux clés d'accès actives.

  2. Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.

  3. Déterminez si la première clé d'accès est toujours utilisée en appelant cette opération :

    Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.

  4. Même si l'étape Étape 3 n'indique aucune utilisation de l'ancienne clé, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. Définissez plutôt l'état de la première clé d'accès sur Inactive en appelant cette opération :

  5. Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. À ce stade, toutes les applications et tous les outils qui continuent d'utiliser la clé d'accès d'origine arrêteront de fonctionner, car ils n'auront plus accès aux ressources AWS. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez définir à nouveau son état sur Active pour réactiver la première clé d'accès. Revenez ensuite à l'étape Étape 2 et mettez à jour cette application afin d'utiliser la nouvelle clé.

  6. Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès en appelant cette opération :

Sécurisation des clés d'accès

Toute personne qui dispose de votre clé d'accès a le même niveau d'accès à vos ressources AWS que vous. Par conséquent, AWS déploie des moyens importants pour protéger vos clés d'accès et, conformément à notre modèle de responsabilité partagée, vous devriez également y attacher une attention particulière.

Développez les sections suivantes pour obtenir des conseils qui vous aideront à protéger vos clés d'accès.

Note

Votre organisation peut avoir des exigences de sécurité et des stratégies différentes de celles décrites dans cette rubrique. Les suggestions fournies ici doivent être considérées comme des directives générales.

Le meilleur moyen de protéger votre compte est de n'avoir aucune clé d'accès pour votre Utilisateur racine d'un compte AWS. À moins d'avoir impérativement besoin des clés d'accès de l'utilisateur root (ce qui est rare), il est préférable de ne pas les générer. Créez plutôt un utilisateur administratif dans AWS IAM Identity Center pour les tâches administratives quotidiennes. Pour plus d'informations sur la création d'un utilisateur administratif dans IAM Identity Center, veuillez consulter la rubrique Getting started dans le Guide de l'utilisateur IAM Identity Center.

Si vous disposez déjà de clés d'accès d'utilisateur root pour votre compte, nous vous recommandons ce qui suit : recherchez dans vos applications les endroits où vous utilisez actuellement des clés d'accès (le cas échéant) et remplacez les clés d'accès de l'utilisateur root par celles de l'utilisateur IAM. Ensuite, désactivez et supprimez les clés d'accès de l'utilisateur root. Pour plus d'informations sur les modalités de mise à jour des clés d'accès, veuillez consulter Mise à jour des clés d'accès.

Dans de nombreux cas, vous n'avez pas besoin d'une clé d'accès à long terme qui n'expire jamais (comme dans le cas d'un utilisateur IAM). Au lieu de cela, vous pouvez créer des rôles IAM et générer des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires consistent en un ID de clé d'accès et une clé d'accès secrète, mais elles comprennent également un jeton de sécurité qui indique la date d'expiration des informations d'identification.

Les clés d'accès à long terme, telles que celles associées aux utilisateurs IAM et à l'utilisateur root, demeurent valides jusqu'à ce que vous les révoquiez manuellement. Cependant, les informations d'identification de sécurité temporaires obtenues via les rôles IAM et d'autres fonctionnalités d'AWS Security Token Service expirent après une courte période de temps. Utilisez les informations d'identification de sécurité temporaires pour vous aider à réduire les risques en cas de compromission accidentelle des informations d'identification.

Utilisez un rôle IAM et les informations d'identification de sécurité temporaires dans les cas suivants :

  • Une application ou des scripts AWS CLI sont en cours d'exécution sur une instance Amazon EC2. N'utilisez pas les clés d'accès directement dans votre application. Ne transmettez pas les clés d'accès à l'application, ne les intégrez pas à l'application et ne laissez pas l'application les lire depuis n'importe quelle source. Définissez plutôt un rôle IAM qui dispose des autorisations adéquates pour votre application et lancez l'instance Amazon Elastic Compute Cloud (Amazon EC2) avec des rôles pour EC2. Cela permet d'associer un rôle IAM à l'instance Amazon EC2. Cette pratique permet également à l'application d'obtenir des informations d'identification de sécurité temporaires qu'elle peut à son tour utiliser pour effectuer des appels à AWS. Les kits AWS SDK et l'AWS Command Line Interface (AWS CLI) peuvent obtenir des informations d'identification temporaires de manière automatique à partir du rôle.

  • Vous devez accorder l'accès entre comptes. Utilisez un rôle IAM pour établir une relation d'approbation entre les comptes, puis accordez aux utilisateurs d'un compte des autorisations limitées pour accéder au compte approuvé. Pour de plus amples informations, veuillez consulter Didacticiel IAM : déléguer l'accès entre des comptes AWS à l'aide des rôles IAM.

  • Vous disposez d'une application mobile. N'intégrez pas les clés d'accès à l'application, même dans un espace de stockage chiffré. Au lieu de cela, utilisez Amazon Cognito pour gérer les identités de l'utilisateur dans votre application. Ce service vous permet d'authentifier les utilisateurs à l'aide de Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC). Vous pouvez ensuite utiliser le fournisseur d'informations d'identification d'Amazon Cognito pour gérer les informations d'identification que votre application utilise pour effectuer des requêtes à AWS.

  • Vous voulez utiliser la fédération dans AWS et votre organisation prend en charge SAML 2.0. Si vous travaillez pour une organisation disposant d'un fournisseur d'identité prenant en charge SAML 2.0, configurez le fournisseur pour qu'il utilise SAML. Vous pouvez utiliser SAML pour échanger des informations d'authentification avec AWS et récupérer un ensemble d'informations d'identification de sécurité temporaires. Pour de plus amples informations, veuillez consulter À propos de la fédération SAML 2.0.

  • Vous voulez utiliser la fédération dans AWS et votre organisation dispose d'un magasin d'identités sur site. Si les utilisateurs peuvent s'authentifier au sein de votre organisation, vous pouvez écrire une application capable de délivrer des informations d'identification de sécurité temporaires pour accéder aux ressources AWS. Pour de plus amples informations, veuillez consulter Activation de l'accès de broker d'identité personnalisé à la console AWS.

Note

Utilisez-vous une instance Amazon EC2 avec une application ayant besoin d'accéder par programmation aux ressources AWS ? Dans ce cas, utilisez les rôles IAM pour EC2.

Si vous devez créer des clés d'accès pour un accès programmatique à AWS, créez-les pour les utilisateurs IAM, en ne leur accordant que les autorisations dont ils ont besoin.

Respectez les précautions suivantes pour protéger les clés d'accès des utilisateurs IAM :

  • N'intégrez pas de clés d'accès directement dans le code. Les kits AWS SDK et les outils de ligne de commande AWS vous permettent de placer les clés d'accès à des emplacements connus, afin que vous n'ayez pas à les conserver dans le code.

    Placez les clés d'accès à l'un des emplacements suivants :

    • Le fichier d'informations d'identification AWS. Les kits SDK AWS et l'AWS CLI utilisent automatiquement les informations d'identification que vous stockez dans le fichier d'informations d'identification AWS.

      Pour plus d'informations sur l'utilisation du fichier d'informations d'identification AWS, consultez la documentation de votre kit SDK. À titre d'exemple, citons Set AWS Credentials and Region dans le guide du développeur AWS SDK for Java et Configuration and credential files dans le Guide de l'utilisateur AWS Command Line Interface.

      Afin de stocker les informations d'identification pour AWS SDK for .NET et AWS Tools for Windows PowerShell, nous vous recommandons d'utiliser le SDK Store. Pour plus d'informations, veuillez consulter la rubrique Using the SDK Store dans le Guide du développeur AWS SDK for .NET.

    • Variables d'environnement. Sur un système à locataires multiples, choisissez des variables d'environnement utilisateur, et non pas des variables d'environnement système.

      Pour plus d'informations sur l'utilisation des variables d'environnement pour stocker les informations d'identification, veuillez consulter la rubrique Environment Variables dans le Guide de l'utilisateur AWS Command Line Interface.

  • Utilisez des clés d'accès différentes pour chaque application. Procédez ainsi afin de pouvoir isoler les autorisations et révoquer les clés d'accès pour des applications individuelles si elles sont compromises. Le fait d'avoir des clés d'accès distinctes pour différentes applications génère également des entrées distinctes dans les fichiers journaux AWS CloudTrail. Cette configuration vous permet d'identifier plus facilement quelle application a effectué des actions spécifiques.

  • Mettez à jour les clés d'accès en cas de besoin. Si la clé d'accès risque d'être compromise, mettez-la à jour et supprimez la clé d'accès précédente. Pour plus d'informations, veuillez consulter la rubrique Mise à jour des clés d'accès

  • Supprimez les clés d'accès inutilisées. Si un utilisateur quitte votre organisation, supprimez l'utilisateur IAM correspondant afin qu'il ne puisse plus accéder à vos ressources. Pour savoir quand une clé d'accès a été utilisée pour la dernière fois, utilisez l'API GetAccessKeyLastUsed (commande AWS CLI : aws iam get-access-key-last-used).

  • Utilisez des informations d'identification temporaires et configurez l'authentification multifactorielle pour vos opérations d'API les plus sensibles. Avec les politiques IAM, vous pouvez spécifier quelles opérations d'API un utilisateur est autorisé à appeler. Dans certains cas, vous souhaiterez peut-être renforcer la sécurité en imposant aux utilisateurs de s'authentifier au moyen d'AWS MFA avant qu'ils soient autorisés à exécuter des actions particulièrement sensibles. Par exemple, vous disposez peut-être d'une politique qui autorise l'utilisateur à exécuter les actions Amazon EC2 RunInstances, DescribeInstances et StopInstances. Mais vous souhaitez peut-être restreindre une action destructive comme TerminateInstances et vous assurer que les utilisateurs ne peuvent exécuter cette action que s'ils s'authentifient avec un dispositif MFA AWS. Pour de plus amples informations, veuillez consulter Configuration de l'accès aux API protégé par MFA.

Vous pouvez accéder à un ensemble limité de services AWS et de fonctionnalités à l'aide de l'application mobile AWS. L'application mobile vous aide à prendre en charge la réponse aux incidents pendant vos déplacements. Pour de plus amples informations et pour télécharger l'application, veuillez consulter Console AWS pour les applications mobiles.

Vous pouvez vous connecter à l'application mobile à l'aide du mot de passe de votre console ou de vos clés d'accès. En guise de bonne pratique, n'utilisez pas les clés d'accès de l'utilisateur root. En revanche, nous vous recommandons vivement, outre l'utilisation d'un mot de passe ou d'un verrouillage biométrique sur votre appareil mobile, de créer un utilisateur IAM spécifiquement pour gérer les ressources AWS à l'aide de l'application mobile. Si vous perdez votre appareil mobile, vous pouvez supprimer l'accès de l'utilisateur IAM.

Pour vous connecter à l'aide des clés d'accès (application mobile)

  1. Ouvrez l'application sur votre appareil mobile.

  2. Si c'est la première fois que vous ajoutez une identité à l'appareil, choisissez Ajouter une identité, puis cliquez sur Clés d'accès.

    Si vous vous êtes déjà connecté à l'aide d'une autre identité, choisissez l'icône de menu et choisissez Changer d'identité. Choisissez ensuite Se connecter en tant qu'identité différente, puis Clés d'accès.

  3. Sur la page Clés d'accès, saisissez vos informations :

    • ID de clé d'accès : saisissez votre ID de clé d'accès.

    • Clé d'accès secrète : saisissez votre clé d'accès secrète.

    • Nom de l'identité : saisissez le nom de l'identité qui apparaîtra dans l'application mobile. Elle ne doit pas nécessairement correspondre à votre nom d'utilisateur IAM.

    • Code PIN d'identité : créez un numéro d'identification personnel (PIN) que vous utiliserez pour les prochaines connexions.

      Note

      Si vous activez la biométrie pour l'application mobile AWS, vous serez invité à utiliser votre empreinte digitale ou la reconnaissance faciale pour la vérification au lieu du code PIN. Si la biométrie échoue, vous pouvez être invité à entrer le code PIN à la place.

  4. Choisissez Vérifier et ajouter des clés.

    Vous pouvez désormais accéder à un ensemble sélectionné de vos ressources à l'aide de l'application mobile.

Les rubriques suivantes fournissent des conseils permettant de configurer les kits AWS SDK et l'AWS CLI pour l'utilisation des clés d'accès :

Audit des clés d'accès

Vous pouvez passer en revue les clés d'accès AWS de votre code pour déterminer si elles proviennent d'un compte que vous possédez. Vous pouvez transmettre un identifiant de la clé d'accès à l'aide de la commande AWS CLI aws sts get-access-key-info ou de l'opération d'API AWS du code GetAccessKeyInfo.

Les opérations de l'AWS CLI et de l'API AWS renvoient l'ID de l'Compte AWS auquel la clé d'accès appartient. Les ID de clé d'accès commençant par AKIA sont les informations d'identification à long terme d'un utilisateur IAM ou d'un Utilisateur racine d'un compte AWS. Les ID de clé d'accès commençant par ASIA sont des informations d'identification temporaires créées à l'aide d'opérations AWS STS. Si le compte de la réponse vous appartient, vous pouvez vous connecter en tant qu'utilisateur racine et vérifier vos clés d'accès d'utilisateur racine. Ensuite, vous pouvez extraire un rapport d'informations d'identification pour savoir quel utilisateur IAM possède les clés. Pour savoir qui a demandé les informations d'identification temporaires pour une clé d'accès ASIA, consultez les événements AWS STS dans vos journaux CloudTrail.

Pour des raisons de sécurité, vous pouvez consulter les journaux AWS CloudTrail pour savoir qui a effectué une action dans AWS. Vous pouvez utiliser la clé de condition sts:SourceIdentity dans la politique d'approbation de rôle pour exiger des utilisateurs qu'ils spécifient une identité lorsqu'ils endossent un rôle. Par exemple, vous pouvez exiger que les utilisateurs IAM spécifient leur propre nom d'utilisateur comme identité de source. Cela peut vous aider à déterminer quel utilisateur a effectué une action spécifique dans AWS. Pour de plus amples informations, veuillez consulter sts:SourceIdentity.

Cette opération n'indique pas l'état de la clé d'accès. La clé peut être active, inactive ou supprimée. Les clés actives peuvent ne pas avoir les autorisations nécessaires pour effectuer une opération. La fourniture d'une clé d'accès supprimée peut renvoyer une erreur indiquant que la clé n'existe pas.