Gestion des clés d'accès pour les utilisateurs IAM
Note
Si vous avez trouvé cette page parce que vous recherchez des informations sur le Product Advertising API pour vendre des produits Amazon sur votre site web, veuillez consulter la documentation du Product Advertising API version 5.0
Les clés d'accès sont les informations d'identification à long terme d'un utilisateur IAM ou du Utilisateur racine d'un compte AWS. Vous pouvez utiliser des clés d'accès pour signer des demandes par programmation auprès de l’interface AWS CLI ou de l'API AWS (directement ou à l'aide du kit SDK AWS). Pour plus d'informations, consultez Signature des demandes d'API AWS dans le Référence générale d'Amazon Web Services.
Important
Les bonnes pratiques consistent à utiliser des informations d'identification de sécurité temporaires (rôles IAM) plutôt que de créer des informations d'identification à long terme comme des clés d'accès, et à ne pas créer de clé d'accès Utilisateur racine d'un compte AWS. Nous recommandons de ne pas générer des clés d'accès pour votre utilisateur root, car elles octroient un accès total à toutes vos ressources pour tous les Services AWS, y compris vos informations de facturation. Pour plus d'informations, consultez Bonnes pratiques relatives aux comptes Comptes AWS dans le Guide de référence AWS Account Management.
Les clés d'accès se composent de deux parties : un ID de clé d'accès (par exemple, AKIAIOSFODNN7EXAMPLE
) et une clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
). Vous devez utiliser à la fois l'ID de la clé d'accès et la clé d'accès secrète pour authentifier vos demandes.
Si vous avez quand-même besoin d'utiliser des clés d'accès à long terme, vous pouvez créer, modifier, afficher ou faire tourner les clés d'accès (ID de clé d'accès et clés d'accès secrètes). Vous pouvez avoir un maximum de deux clés d'accès. Pour suivre les bonnes pratiques, effectuez une rotation régulière des clés d'accès. Pour de plus amples informations, veuillez consulter Rotation des clés d'accès.
Lorsque vous créez une paire de clé d'accès, enregistrez l'ID de clé d'accès et la clé d'accès secrète dans un emplacement sécurisé. La clé d'accès secrète est accessible uniquement au moment de sa création. Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. Pour en savoir plus, consultez Réinitialisation de vos mots de passe ou clés d'accès perdus ou oubliés pour AWS.
Important
Gérez vos clés d'accès en toute sécurité. Ne communiquez pas vos clés d'accès à des tiers non autorisés, même pour vous aider à trouver les identifiants de votre compte. En effet, vous lui accorderiez ainsi un accès permanent à votre compte.
Rubriques
Autorisations nécessaires
Note
iam:TagUser
est une autorisation facultative permettant d'ajouter et de modifier des descriptions pour la clé d'accès. Pour plus d'informations, consultez Étiquette d'utilisateurs IAM.
Pour créer des clés d'accès pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:GetUser", "iam:ListAccessKeys", "iam:TagUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }
Pour effectuer la rotation des clés d'accès pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante :
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:GetAccessKeyLastUsed", "iam:GetUser", "iam:ListAccessKeys", "iam:UpdateAccessKey", "iam:TagUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }
Gestion des clés d'accès (console)
Vous pouvez utiliser l'AWS Management Console pour gérer les clés d'accès des utilisateurs IAM.
Pour créer, modifier ou supprimer vos propres clés d'accès utilisateur IAM (console)
-
Utilisez votre ID ou alias de compte AWS, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console IAM
. Note
Pour plus de commodité, la page de connexion à AWS utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et vos informations de compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez Sign in to a different account (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. Sur cette page, vous pouvez saisir votre ID ou alias de compte AWS pour être redirigé vers la page de connexion de l'utilisateur IAM de votre compte.
Pour obtenir votre ID de Compte AWS, contactez votre administrateur.
-
Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis Security credentials (Informations d'identification de sécurité).
Effectuez l'une des actions suivantes :
Pour créer une clé d'accès
-
Dans la section Clés d'accès, choisissez Créer une clé d'accès. Si vous avez déjà deux clés d'accès, ce bouton est désactivé et vous devez supprimer une clé d'accès avant de pouvoir en créer une nouvelle.
-
Sur la page des bonnes pratiques et alternatives en matière de clés d'accès, choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez Other (Autre), puis Next (Suivant).
-
(Facultatif) Définissez une valeur de balise de description pour la clé d'accès. Cela permet d'ajouter une paire clé-valeur de balise à votre utilisateur IAM. Cela peut vous aider à identifier et à faire pivoter les clés d'accès par la suite. La clé de balise est définie sur l'identifiant de la clé d'accès. La valeur de balise est définie selon la description de la clé d'accès que vous spécifiez. Lorsque vous avez terminé, sélectionnez Create access key (Créer la clé d'accès).
-
Sur la page Retrieve access keys (Récupérer les clés d'accès), choisissez Show (Afficher) (pour révéler la valeur de la clé d'accès secrète de votre utilisateur) ou Download .csv file (Télécharger le fichier .csv). C'est le seul moment où vous pouvez enregistrer votre clé d'accès secrète. Après avoir enregistré votre clé d'accès secrète dans un emplacement sécurisé, sélectionnez Done (Terminé).
Pour désactiver une clé d'accès
-
Dans la section Access keys (Clés d'accès), recherchez la clé que vous souhaitez désactiver, puis choisissez Actions, puis Deactivate (Désactiver). À l'invite de confirmation, cliquez sur Deactivate (Désactiver). Une clé d'accès désactivée compte toujours dans votre limite de deux clés d'accès.
Pour activer une clé d'accès
-
Dans la section Access keys (Clés d'accès), recherchez la clé que vous souhaitez activer, puis choisissez Actions, puis Activate (Activer).
Pour supprimer une clé d'accès dont vous n'avez plus besoin
-
Dans la section Access keys (Clés d'accès), recherchez la clé que vous souhaitez suprimer, puis choisissez Actions, puis Delete (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord désactiver, puis confirmer la suppression. Nous vous recommandons de vérifier que la clé d'accès n'est plus utilisée avant de la supprimer définitivement.
Créer, modifier ou supprimer les clés d'accès d'un autre utilisateur IAM (console)
Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez utilisateurs.
-
Choisissez le nom utilisateur dont vous souhaitez gérer les clés d'accès, puis sélectionnez l'onglet Informations d'identification de sécurité.
-
Dans la section Clés d'accès, procédez comme suit :
-
Pour créer une clé d'accès, choisissez Créer une clé d'accès. Si le bouton est désactivé, vous devez supprimer l'une des clés existantes avant de pouvoir en créer une nouvelle. Sur la page Bonnes pratiques et alternatives en matière de clés d'accès, passez en revue les bonnes pratiques et alternatives. Choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez Other (Autre), puis Next (Suivant). Sur la page Retrieve access key page (Récupérer les clés d'accès), choisissez Show (Afficher) pour révéler la valeur de la clé d'accès secrète de votre utilisateur. Pour enregistrer l'ID de clé d'accès et la clé d'accès secrète dans un fichier
.csv
, dans un emplacement sécurisé sur votre ordinateur, sélectionnez le bouton Download .csv file (Télécharger un fichier .csv). Lorsque vous créez une clé d'accès pour votre utilisateur, cette paire de clés est activée par défaut et votre utilisateur peut immédiatement l'utiliser. -
Pour désactiver une clé d'accès active, choisissez Actions, puis Deactivate (Désactiver).
-
Pour activer une clé d'accès inactive, choisissez Actions, puis Activate (Activer).
-
Pour supprimer votre clé d'accès, choisissez Actions, puis Delete (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord désactiver, puis confirmer la suppression. AWS vous recommande de procéder comme suit : vous désactivez d'abord la clé et vérifiez qu'elle n'est plus utilisée. Lorsque vous utilisez la AWS Management Console, vous devez désactiver votre clé avant de la supprimer.
-
Pour répertorier les clés d'accès d'un utilisateur IAM (console)
Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez utilisateurs.
-
Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet Informations d'identification de sécurité. Dans la section Clés d'accès, vous pouvez consulter les clés d'accès de l'utilisateur ainsi que le statut de celles-ci.
Note
Seul l'ID de clé d'accès de l'utilisateur est visible. La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.
Pour répertorier les ID de clés d'accès de plusieurs utilisateurs IAM (console)
Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez utilisateurs.
-
Au besoin, ajoutez la colonne ID de clé d'accès à la table des utilisateurs en procédant comme suit :
-
Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres (
).
-
Dans Gérer les colonnes, sélectionnez ID de clé d'accès.
-
Choisissez Fermer pour revenir à la liste des utilisateurs.
-
-
La colonne ID de clé d'accès présente chaque ID de clé d'accès, suivi par son état ; par exemple, 23478207027842073230762374023 (Active) ou 22093740239670237024843420327 (Inactive).
Vous pouvez utiliser ces informations pour afficher et copier les clés d'accès des utilisateurs ayant une ou deux clés d'accès. La colonne affiche Aucun pour les utilisateurs sans clé d'accès.
Note
Seul l'ID et l'état de la clé d'accès de l'utilisateur sont visibles. La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.
Pour rechercher quel utilisateur IAM possède une clé d'accès spécifique (console)
Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez utilisateurs.
-
Dans la zone de recherche, saisissez ou collez l'ID de la clé d'accès de l'utilisateur que vous recherchez.
-
Au besoin, ajoutez la colonne ID de clé d'accès à la table des utilisateurs en procédant comme suit :
-
Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres (
).
-
Dans Gérer les colonnes, sélectionnez ID de clé d'accès.
-
Choisissez Fermer pour retourner la liste des utilisateurs et vérifier que l'utilisateur filtré est le propriétaire de la clé d'accès spécifiée.
-
Gestion des clés d'accès (AWS CLI)
Pour gérer les clés d'accès d'un utilisateur IAM dans l'AWS CLI, exécutez les commandes suivantes.
-
Pour créer une clé d'accès :
aws iam create-access-key
-
Pour activer ou désactiver une clé d'accès :
aws iam update-access-key
-
Pour répertorier les clés d'accès d'un utilisateur :
aws iam list-access-keys
-
Pour déterminer quand une clé d'accès a été utilisée pour la dernière fois :
aws iam get-access-key-last-used
-
Pour supprimer une clé d'accès :
aws iam delete-access-key
Gestion des clés d'accès (API AWS)
Pour gérer les clés d'accès d'un utilisateur IAM à partir de l'API AWS, appelez les opérations suivantes.
-
Pour créer une clé d'accès :
CreateAccessKey
-
Pour activer ou désactiver une clé d'accès :
UpdateAccessKey
-
Pour répertorier les clés d'accès d'un utilisateur :
ListAccessKeys
-
Pour déterminer quand une clé d'accès a été utilisée pour la dernière fois :
GetAccessKeyLastUsed
-
Pour supprimer une clé d'accès :
DeleteAccessKey
Rotation des clés d'accès
Afin de vous aider à optimiser la sécurité, nous vous recommandons d'effectuer régulièrement la rotation (changement) des clés d'accès de l'utilisateur IAM. La rotation régulière des titres de compétences à long terme vous aide à vous familiariser avec le processus. Cela est utile dans le cas où vous retrouvez dans une situation où vous devez alterner les informations d'identification, par exemple lorsqu'un employé quitte votre entreprise. Si votre administrateur vous a accordé des autorisations nécessaires, vous pouvez effectuer une rotation de vos clés d'accès.
À l'attention des administrateurs : pour plus d'informations sur la façon d'accorder des autorisations aux utilisateurs pour effectuer la rotation de leurs propres clés d'accès, consultez AWS : autorise les utilisateurs IAM à gérer leurs propres mot de passe, clés d'accès et clés publiques SSH sur la page Mes informations d'identification de sécurité. Vous pouvez également appliquer une politique de mots de passe à votre compte nécessitant que tous vos utilisateurs IAM effectuent régulièrement la rotation de leurs mots de passe. Vous pouvez choisir à quelle fréquence ils peuvent le faire. Pour de plus amples informations, veuillez consulter Définition d'une politique de mot de passe du compte pour les utilisateurs IAM.
Important
Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les Services AWS et ressources du compte. Cette identité est appelée utilisateur root du Compte AWS. Vous pouvez y accéder en vous connectant à l'aide de l'adresse électronique et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur root pour vos tâches quotidiennes. Protégez vos informations d'identification d'utilisateur root et utilisez-les pour effectuer les tâches que seul l'utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu'utilisateur root, consultez Tâches nécessitant des informations d'identification d'utilisateur root dans le Guide de référence d'AWS Account Management. Si vous utilisez les informations d'identification du Utilisateur racine d'un compte AWS, nous vous recommandons également de procéder régulièrement à leur rotation. La politique de mot de passe du compte ne s'applique pas aux informations d'identification d'utilisateur racine. Les utilisateurs IAM ne peuvent pas gérer les informations d'identification du Utilisateur racine d'un compte AWS. Pour modifier l'utilisateur root, vous devez vous connecter à l'aide des informations d'identification de l'utilisateur root.
Rubriques
Rotation des clés d'accès utilisateur IAM (console)
Vous pouvez effectuer une rotation des clés d'accès à partir de l’interface AWS Management Console.
Pour effectuer la rotation des clés d'accès pour un utilisateur IAM sans interrompre vos applications (console)
-
Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès.
Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez utilisateurs.
-
Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet Informations d'identification de sécurité.
-
Dans la section Clés d'accès, choisissez Créer une clé d'accès. Sur la page des bonnes pratiques et alternatives en matière de clés d'accès, choisissez Other (Autre), puis Next (Suivant).
-
(Facultatif) Définissez une valeur de balise de description pour la clé d'accès afin d'ajouter une paire clé-valeur de balise à cet utilisateur IAM. Cela peut vous aider à identifier et à faire pivoter les clés d'accès par la suite. La clé de balise est définie sur l'identifiant de la clé d'accès. La valeur de balise est définie selon la description de la clé d'accès que vous spécifiez. Lorsque vous avez terminé, sélectionnez Create access key (Créer la clé d'accès).
-
Sur la page Retrieve access keys (Récupérer les clés d'accès), choisissez Show (Afficher) (pour révéler la valeur de la clé d'accès secrète de votre utilisateur) ou Download .csv file (Télécharger le fichier .csv). C'est le seul moment où vous pouvez enregistrer votre clé d'accès secrète. Après avoir enregistré votre clé d'accès secrète dans un emplacement sécurisé, sélectionnez Done (Terminé).
Lorsque vous créez une clé d'accès pour votre utilisateur, cette paire de clés est activée par défaut et votre utilisateur peut immédiatement l'utiliser. À ce stade, l'utilisateur dispose de deux clés d'accès actives.
-
Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.
-
Déterminez si la première clé d'accès est toujours utilisée en consultant les informations Dernière utilisation de la clé d'accès la plus ancienne. Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.
-
Même si la valeur des informations Dernière utilisation indique que l'ancienne clé n'a jamais été utilisée, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. À la place, sélectionnez Actions, puis Deactivate (Désactiver) pour désactiver la première clé d'accès.
-
Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. À ce stade, toutes les applications et tous les outils qui continuent d'utiliser la clé d'accès d'origine arrêteront de fonctionner, car ils n'auront plus accès aux ressources AWS. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez réactiver la première clé d'accès. Revenez ensuite à Étape 3 et mettez à jour cette application afin d'utiliser la nouvelle clé.
-
Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès:
Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez utilisateurs.
-
Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet Informations d'identification de sécurité.
-
Dans la section Access keys (Clés d'accès) correspondant à la clé d'accès que vous souhaitez supprimer, choisissez Actions, puis Delete (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord désactiver, puis confirmer la suppression.
Pour déterminer à quel moment les clés d'accès nécessitent une rotation (console)
Connectez-vous à la AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, choisissez utilisateurs.
-
Au besoin, ajoutez la colonne Access key age (Âge de la clé d'accès) à la table des utilisateurs en procédant comme suit :
-
Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres (
).
-
Dans Manage columns (Gérer les colonnes), sélectionnez Access key age (Âge de la clé d'accès).
-
Choisissez Fermer pour revenir à la liste des utilisateurs.
-
-
La colonne Access key age (Âge de la clé d'accès) affiche le nombre de jours écoulés depuis la création de la clé d'accès active la plus ancienne. Vous pouvez utiliser ces informations pour rechercher des utilisateurs avec des clés d'accès nécessitant une rotation. La colonne affiche Aucun pour les utilisateurs sans clé d'accès.
Rotation des clés d'accès (AWS CLI)
Vous pouvez effectuer une rotation des clés d'accès à partir de l’interface AWS Command Line Interface.
Pour effectuer la rotation des clés d'accès sans interrompre vos applications (AWS CLI)
-
Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès qui est active par défaut. Exécutez la commande suivante :
-
À ce stade, l'utilisateur dispose de deux clés d'accès actives.
-
-
Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.
-
Déterminez si la première clé d'accès est toujours utilisée à l'aide de cette commande :
Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.
-
Même si l'étape Étape 3 n'indique aucune utilisation de l'ancienne clé, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. Définissez plutôt l'état de la première clé d'accès sur
Inactive
à l'aide de cette commande : -
Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. À ce stade, toutes les applications et tous les outils qui continuent d'utiliser la clé d'accès d'origine arrêteront de fonctionner, car ils n'auront plus accès aux ressources AWS. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez définir à nouveau son état sur
Active
pour réactiver la première clé d'accès. Revenez ensuite à l'étape Étape 2 et mettez à jour cette application afin d'utiliser la nouvelle clé. -
Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès à l'aide de cette commande :
Pour plus d'informations, consultez les ressources suivantes :
-
How to Rotate Access Keys for IAM Users
. Cet article du blog sur la sécurité d'AWS fournit plus d'informations sur la rotation des clés. -
Bonnes pratiques de sécurité dans IAM. Cette page fournit des recommandations générales sur la sécurisation de vos ressources AWS.
Rotation des clés d'accès (API AWS)
Vous pouvez effectuer une rotation des clés d'accès à l'aide de l'API AWS.
Pour effectuer la rotation des clés d'accès sans interrompre vos applications (API AWS)
-
Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès qui est active par défaut. Appelez l'opération suivante :
-
À ce stade, l'utilisateur dispose de deux clés d'accès actives.
-
-
Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.
-
Déterminez si la première clé d'accès est toujours utilisée en appelant cette opération :
Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.
-
Même si l'étape Étape 3 n'indique aucune utilisation de l'ancienne clé, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. Définissez plutôt l'état de la première clé d'accès sur
Inactive
en appelant cette opération : -
Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. À ce stade, toutes les applications et tous les outils qui continuent d'utiliser la clé d'accès d'origine arrêteront de fonctionner, car ils n'auront plus accès aux ressources AWS. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez définir à nouveau son état sur
Active
pour réactiver la première clé d'accès. Revenez ensuite à l'étape Étape 2 et mettez à jour cette application afin d'utiliser la nouvelle clé. -
Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès en appelant cette opération :
Pour plus d'informations, consultez les ressources suivantes :
-
How to Rotate Access Keys for IAM Users
. Cet article du blog sur la sécurité d'AWS fournit plus d'informations sur la rotation des clés. -
Bonnes pratiques de sécurité dans IAM. Cette page fournit des recommandations générales sur la sécurisation de vos ressources AWS.
Audit des clés d'accès
Vous pouvez passer en revue les clés d'accès AWS de votre code pour déterminer si elles proviennent d'un compte que vous possédez. Vous pouvez transmettre un identifiant de la clé d'accès à l'aide de la commande AWS CLI aws sts
get-access-key-info
ou de l'opération d'API AWS du code GetAccessKeyInfo
.
Les opérations de l'AWS CLI et de l'API AWS renvoient l'ID de l'Compte AWS auquel la clé d'accès appartient. Les ID de clé d'accès commençant par AKIA
sont les informations d'identification à long terme d'un utilisateur IAM ou d'un Utilisateur racine d'un compte AWS. Les ID de clé d'accès commençant par ASIA
sont des informations d'identification temporaires créées à l'aide d'opérations AWS STS. Si le compte de la réponse vous appartient, vous pouvez vous connecter en tant qu'utilisateur racine et vérifier vos clés d'accès d'utilisateur racine. Ensuite, vous pouvez extraire un rapport d'informations d'identification pour savoir quel utilisateur IAM possède les clés. Pour savoir qui a demandé les informations d'identification temporaires pour une clé d'accès ASIA
, consultez les événements AWS STS dans vos journaux CloudTrail.
Pour des raisons de sécurité, vous pouvez consulter les journaux AWS CloudTrail pour savoir qui a effectué une action dans AWS. Vous pouvez utiliser la clé de condition sts:SourceIdentity
dans la politique d'approbation de rôle pour exiger des utilisateurs qu'ils spécifient une identité lorsqu'ils endossent un rôle. Par exemple, vous pouvez exiger que les utilisateurs IAM spécifient leur propre nom d'utilisateur comme identité de source. Cela peut vous aider à déterminer quel utilisateur a effectué une action spécifique dans AWS. Pour de plus amples informations, veuillez consulter sts:SourceIdentity.
Cette opération n'indique pas l'état de la clé d'accès. La clé peut être active, inactive ou supprimée. Les clés actives peuvent ne pas avoir les autorisations nécessaires pour effectuer une opération. La fourniture d'une clé d'accès supprimée peut renvoyer une erreur indiquant que la clé n'existe pas.