Obtenir des rapports d'informations d'identification pour votre Compte AWS - AWS Identity and Access Management
Autorisations nécessairesPrésentation du format du rapportObtention de rapports d'informations d'identification (console)Obtention de rapports d'informations d'identification (AWS CLI)Obtention de rapports sur les informations d'identification (API AWS)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Obtenir des rapports d'informations d'identification pour votre Compte AWS

Vous pouvez générer et télécharger un rapport sur les informations d'identification qui répertorie tous les utilisateurs de votre compte et le statut de leurs diverses informations d'identification, notamment leurs mots de passe, clés d'accès et dispositifs MFA. Vous pouvez obtenir un rapport sur les informations d'identification à partir de la AWS Management Console, des kits SDK AWS et des outils de ligne de commande ou de l'API IAM.

Vous pouvez utiliser les rapports sur les informations d'identification à des fins d'audit et de conformité. Vous pouvez utiliser les rapports pour auditer les effets des exigences en matière de cycle de vie des informations d'identification, comme la mise à jour de mot de passe et de clé d'accès. Vous pouvez fournir les rapports à un auditeur externe ou accorder des autorisations à un auditeur pour qu'il télécharge les rapports directement.

Vous pouvez générer un rapport sur les informations d'identification à quelques heures d'intervalle. Lorsque vous demandez un rapport, IAM vérifie d'abord si un rapport pour l'Compte AWS a été généré au cours des quatre dernières heures. Le cas échéant, le rapport le plus récent est téléchargé. Si le rapport le plus récent pour le compte a été généré il y a plus de quatre heures ou qu'il n'y a pas eu d'autres rapport généré précédemment pour le compte, IAM génère et télécharge un nouveau rapport.

Autorisations nécessaires

Les autorisations suivantes sont nécessaires pour créer et télécharger des rapports :

  • Pour créer un rapport sur les informations d'identification : iam:GenerateCredentialReport

  • Pour télécharger le rapport : iam:GetCredentialReport

Présentation du format du rapport

Les rapports sur les informations d'identification sont formatés comme des fichiers CSV (valeurs séparées par une virgule). Vous pouvez ouvrir les fichiers CSV avec des logiciels de feuilles de calcul courants pour effectuer des analyses ou vous pouvez créer une application qui consomme les fichiers CSV par programmation et effectue des analyses personnalisées.

Le fichier CSV contient les colonnes suivantes :

utilisateur

Nom convivial de l'utilisateur.

arn

Amazon Resource Name (ARN) de l'utilisateur. Pour plus d'informations sur les ARN, consultez ARN IAM.

user_creation_time

Date et heure de création de l'utilisateur, au format de date et d'heure ISO 8601.

password_enabled

Lorsqu'un utilisateur dispose d'un mot de passe, cette valeur est TRUE. Sinon, c'est la valeur FALSE. La valeur pour l'Utilisateur racine d'un compte AWS est toujours not_supported.

password_last_used

Date et heure auxquelles le mot de passe du Utilisateur racine d'un compte AWS ou de l'utilisateur a été utilisé pour la dernière fois pour se connecter à un site web AWS, au format de date et d'heure ISO 8601. Les sites web AWS qui capturent l'heure de la dernière connexion d'un utilisateur sont la AWS Management Console, les forums de discussion AWS et l'AWS Marketplace. Quand un mot de passe est utilisé plusieurs fois dans un intervalle de 5 minutes, seule la première utilisation est enregistrée dans ce champ.

  • La valeur de ce champ est no_information dans les cas suivants :

    • Le mot de passe de l'utilisateur n'a jamais été utilisé.

    • Aucune donnée de connexion n'est associée au mot de passe, comme lorsque le mot de passe de l'utilisateur n'a pas été utilisé depuis le 20 octobre 2014, date de début du suivi de cette information par IAM.

  • La valeur de ce champ est N/A (non applicable) lorsque l'utilisateur ne dispose pas de mot de passe.

Important

En raison d'un problème de service, les données de dernière d'utilisation du mot de passe n'incluent pas l'utilisation du mot de passe entre le 3 mai 2018 et le 23 mai 2018 22:50 14:08 PDT (heure du Pacifique). Cela a un impact sur les dates de dernière connexion affichées dans la console IAM et les dates de dernière utilisation du mot de passe dans le rapport sur les informations d'identification IAM, renvoyées par l'opération d'API GetUser. Si des utilisateurs se sont connectés au cours de la période concernée, la date de dernière d'utilisation du mot de passe renvoyée est la date de la dernière connexion de l'utilisateur avant le 3 mai 2018. Pour les utilisateurs qui se sont connectés après le 23 mai 2018 14:08 PDT, la date de dernière utilisation du mot de passe renvoyée est exacte.

Si vous utilisez les informations de dernière utilisation du mot de passe pour identifier les informations d'identification inutilisées en vue de leur suppression, par exemple pour supprimer des utilisateurs qui ne se sont pas connectés à AWS au cours des 90 derniers jours, nous vous recommandons d'ajuster votre fenêtre d'évaluation pour inclure les dates après le 23 mai 2018. Sinon, si vos utilisateurs utilisent des clés d'accès pour accéder à AWS par programmation, vous pouvez vous référer aux informations de dernière d'utilisation de clé d'accès, car celles-ci sont exactes pour toutes les dates.

password_last_changed

Date et heure de la dernière définition du mot de passe de l'utilisateur, au format de date et d'heure ISO 8601. Si l'utilisateur ne dispose pas d'un mot de passe, la valeur de ce champ est N/A (non applicable). La valeur de l'Compte AWS (root) est toujours not_supported.

password_next_rotation

Lorsque le compte dispose d'une politique de mot de passe qui nécessite la rotation du mot de passe, ce champ contient la date et l'heure, au format de date et d'heure ISO 8601, auxquelles l'utilisateur doit définir un nouveau mot de passe. La valeur de l'Compte AWS (root) est toujours not_supported.

mfa_active

Lorsqu'un périphérique d'authentification multi-facteur (MFA) a été activé pour l'utilisateur, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE.

access_key_1_active

Lorsque l'utilisateur dispose d'une clé d'accès et que l'état de celle-ci est Active, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE.

access_key_1_last_rotated

Date et heure, au format de date et d'heure ISO 8601, auxquelles la clé d'accès de l'utilisateur a été créée ou modifiée pour la dernière fois. Si l'utilisateur ne dispose pas d'une clé d'accès active, la valeur de ce champ est N/A (non applicable).

access_key_1_last_used_date

Date et heure, au format de date et d'heure ISO 8601, auxquelles la clé d'accès de l'utilisateur a été utilisée pour la dernière fois pour se connecter à une demande d'API AWS. Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ.

La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une clé d'accès.

  • La clé d'accès n'a jamais été utilisée.

  • La clé d'accès n'a pas été utilisée depuis le 22 avril 2015, date de début du suivi de cette information par IAM.

access_key_1_last_used_region

Région AWS dans laquelle la clé d'accès a été utilisée pour la dernière fois. Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ.

La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une clé d'accès.

  • La clé d'accès n'a jamais été utilisée.

  • La clé d'accès a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

  • Le dernier service utilisé n'est pas spécifique à une région, comme Amazon S3.

access_key_1_last_used_service

Dernier service AWS auquel la clé d'accès a permis d'accéder. La valeur de ce champ utilise l'espace de noms du service (par exemple, s3 pour Amazon S3 et ec2 pour Amazon EC2). Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ.

La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une clé d'accès.

  • La clé d'accès n'a jamais été utilisée.

  • La clé d'accès a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

access_key_2_active

Lorsque l'utilisateur dispose d'une seconde clé d'accès et que l'état de celle-ci est Active, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE.

Note

Les utilisateurs peuvent avoir jusqu'à deux clés d'accès, afin de faciliter la rotation en mettant d'abord à jour la clé, puis en supprimant la clé précédente. Pour plus d'informations sur la mise à jour des clés d'accès, veuillez consulter Mise à jour des clés d'accès.

access_key_2_last_rotated

Date et heure, au format de date et d'heure ISO 8601, de la création ou de la dernière mise à jour de la deuxième clé d'accès de l'utilisateur. Si l'utilisateur ne dispose pas d'une seconde clé d'accès active, la valeur de ce champ est N/A (non applicable).

access_key_2_last_used_date

Date et heure, au format de date et d'heure ISO 8601, auxquelles la seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois pour se connecter à une demande d'API AWS. Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ.

La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une seconde clé d'accès.

  • La seconde clé d'accès de l'utilisateur n'a jamais été utilisée.

  • La seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

access_key_2_last_used_region

Région AWS dans laquelle la seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois. Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une seconde clé d'accès.

  • La seconde clé d'accès de l'utilisateur n'a jamais été utilisée.

  • La seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

  • Le dernier service utilisé n'est pas spécifique à une région, comme Amazon S3.

access_key_2_last_used_service

Dernier service AWS auquel la seconde clé d'accès de l'utilisateur a permis d'accéder. La valeur de ce champ utilise l'espace de noms du service (par exemple, s3 pour Amazon S3 et ec2 pour Amazon EC2). Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une seconde clé d'accès.

  • La seconde clé d'accès de l'utilisateur n'a jamais été utilisée.

  • La seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

cert_1_active

Lorsque l'utilisateur dispose d'un certificat de signature X.509 et que l'état de celui-ci est Active, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE.

cert_1_last_rotated

Date et heure, au format de date et d'heure ISO 8601, auxquelles le certificat de signature de l'utilisateur a été créé ou modifié pour la dernière fois. Si l'utilisateur ne dispose pas d'un certificat de signature actif, la valeur de ce champ est N/A (non applicable).

cert_2_active

Lorsque l'utilisateur dispose d'un second certificat de signature X.509 et que l'état de celui-ci est Active, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE.

Note

Les utilisateurs peuvent disposer de deux certificats de signature X.509 afin de faciliter la rotation des certificats.

cert_2_last_rotated

Date et heure, au format de date et d'heure ISO 8601, auxquelles le second certificat de signature de l'utilisateur a été créé ou modifié pour la dernière fois. Si l'utilisateur ne dispose pas d'un second certificat de signature actif, la valeur de ce champ est N/A (non applicable).

Obtention de rapports d'informations d'identification (console)

Vous pouvez utiliser AWS Management Console pour télécharger un rapport sur les informations d'identification sous forme de fichier CSV (valeurs séparées par une virgule).

Pour télécharger un rapport sur les informations d'identification (console)

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, sélectionnez Rapport sur les informations d'identification.

  3. Choisissez Télécharger le rapport.

Obtention de rapports d'informations d'identification (AWS CLI)

Pour télécharger un rapport sur les informations d'identification (AWS CLI)

  1. Générez un rapport sur les informations d'identification. AWS stocke un seul rapport. Si un rapport existe, la génération d'un rapport sur les informations d'identification remplace le rapport précédent. aws iam generate-credential-report

  2. Affichez le dernier rapport généré : aws iam get-credential-report

Obtention de rapports sur les informations d'identification (API AWS)

Pour télécharger un rapport sur les informations d'identification (API AWS)

  1. Générez un rapport sur les informations d'identification. AWS stocke un seul rapport. Si un rapport existe, la génération d'un rapport sur les informations d'identification remplace le rapport précédent. GenerateCredentialReport

  2. Affichez le dernier rapport généré : GetCredentialReport