Définition d'une politique de mot de passe du compte pour les utilisateurs IAM - AWS Identity and Access Management
Règles relatives à la définition d'une politique de mot de passeAutorisations requises pour définir une politique de mot de passePolitique de mot de passe par défautOptions de politique de mot de passe personnaliséDéfinition d'une politique de mot de passe (console)Définition d'une politique de mot de passe (AWS CLI)Définition d'une politique de mot de passe (AWS API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Définition d'une politique de mot de passe du compte pour les utilisateurs IAM

Vous pouvez définir une politique de mot de passe personnalisée Compte AWS pour définir les exigences de complexité et les périodes de rotation obligatoires pour les mots de passe de vos utilisateurs IAM. Si vous ne définissez pas de politique de mot de passe personnalisée, les mots de passe des utilisateurs IAM doivent respecter la politique de AWS mot de passe par défaut. Pour plus d’informations, consultez Options de politique de mot de passe personnalisé.

Règles relatives à la définition d'une politique de mot de passe

La politique de mot de passe IAM ne s'applique pas au Utilisateur racine d'un compte AWS mot de passe ou aux clés d'accès utilisateur IAM. Si un mot de passe expire, l'utilisateur IAM ne peut pas se connecter AWS Management Console mais peut continuer à utiliser ses clés d'accès.

Lorsque vous créez ou modifiez une politique de mot de passe, la plupart de ses paramètres sont appliqués la fois suivante où vos utilisateurs modifient leurs mots de passe. Toutefois, certains des paramètres sont appliqués immédiatement. Par exemple :

  • Lorsque les exigences de longueur minimale et de type de caractères sont modifiés, les nouveaux paramètres sont appliqués à la prochaine modification des mots de passe. Les utilisateurs ne sont pas contraints à modifier leurs mots de passe, même si ceux-ci ne respectent pas la politique de mot de passe modifiée.

  • Lorsque vous définissez une période d'expiration de mot de passe, celle-ci est appliquée immédiatement. Par exemple, supposons que vous définissez une période d'expiration de mot de passe de 90 jours. Dans ce cas, le mot de passe expire pour tous les utilisateurs IAM dont le mot de passe existant date de plus de 90 jours. Ces utilisateurs sont tenus de modifier leur mot de passe la première fois qu'ils se connectent.

Vous ne pouvez pas créer de « politique de verrouillage » pour empêcher l'accès d'un utilisateur à un compte après un nombre défini de tentatives de connexion ayant échoué. Pour renforcer votre sécurité, nous vous recommandons de combiner des politiques de mot de passe d'un niveau de sécurité élevé à la Multi-Factor Authentication (MFA). Pour plus d'informations sur l'authentification MFA, consultez Utilisation de l'authentification multifactorielle (MFA) dans AWS.

Autorisations requises pour définir une politique de mot de passe

Vous devez configurer les autorisations pour permettre à une entité IAM (utilisateur ou rôle) d'afficher ou de modifier sa politique de mot de passe de compte. Vous pouvez inclure les actions de politique de mot de passe suivantes dans une politique IAM :

  • iam:GetAccountPasswordPolicy : permet à l'entité d'afficher la politique de mot de passe pour son compte

  • iam:DeleteAccountPasswordPolicy : permet à l'entité de supprimer la politique de mot de passe personnalisée pour son compte et de revenir à la politique de mot de passe par défaut

  • iam:UpdateAccountPasswordPolicy : permet à l'entité de créer ou de modifier la politique de mot de passe personnalisée pour son compte

La politique suivante permet un accès complet pour afficher et modifier la politique de mot de passe du compte. Pour apprendre à créer une politique IAM à l'aide de cet exemple de document de politique JSON, consultez Création de politiques à l'aide de l'éditeur JSON.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "FullAccessPasswordPolicy",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:DeleteAccountPasswordPolicy",
                "iam:UpdateAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

Pour plus d'informations sur les autorisations requises par les utilisateurs IAM pour modifier leur propre mot de passe, veuillez consulter Autorisation des utilisateurs IAM à modifier leurs propres mots de passe.

Politique de mot de passe par défaut

Si un administrateur ne définit pas de politique de mot de passe personnalisée, les mots de passe des utilisateurs IAM doivent respecter la politique de AWS mot de passe par défaut.

La politique de mot de passe par défaut exige les conditions suivantes :

  • Longueur minimale du mot de passe de 8 caractères et longueur maximale de 128 caractères

  • Au minimum trois des types de caractères suivants : majuscules, minuscules, chiffres et les caractères non alphanumériques (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')

  • Ne pas être identique à votre Compte AWS nom ou à votre adresse e-mail

  • Mot de passe sans expiration

Options de politique de mot de passe personnalisé

Lorsque vous configurez une politique de mot de passe personnalisée pour votre compte, vous pouvez spécifier les conditions suivantes :

  • Password minimum length (Longueur minimale du mot de passe) : vous pouvez spécifier une longueur minimale de 6 caractères et une longueur maximale de 128 caractères.

  • Password strength (Niveau de sécurité du mot de passe) : vous pouvez cocher l'une des cases suivantes pour définir le niveau de sécurité de vos mots de passe utilisateur IAM :

    • Exiger au moins une lettre majuscule de l'alphabet latin (A–Z)

    • Exiger au moins une lettre minuscule de l'alphabet latin (a–z)

    • Nécessite au moins un chiffre

    • Exiger au moins un caractère non alphanumérique ! @ # $ % ^ & * ( ) _ + - = [ ] { } | '

  • Turn on password expiration (Activer l'expiration du mot de passe) : vous pouvez sélectionner et spécifier une durée minimale de 1 jour et une durée maximale de 1 095 jours pendant laquelle les mots de passe utilisateur IAM sont valides après leur définition. Par exemple, si vous spécifiez un délai d'expiration de 90 jours, cela a un impact immédiat sur tous vos utilisateurs. Pour les utilisateurs dont le mot de passe date de plus de 90 jours, ils doivent définir un nouveau mot de passe lorsqu'ils se connectent à la console après la modification. Les utilisateurs dont le mot de passe est vieux de 75 à 89 jours reçoivent un AWS Management Console avertissement concernant l'expiration de leur mot de passe. Les utilisateurs IAM peuvent modifier leur mot de passe à tout moment s'ils en ont l'autorisation. Lorsqu'ils définissent un nouveau mot de passe, la date d’expiration est réinitialisée. Un utilisateur IAM ne peut avoir qu'un mot de passe valide à la fois.

  • L'expiration du mot de passe nécessite une réinitialisation par l'administrateur : sélectionnez cette option pour empêcher les utilisateurs IAM de l'utiliser AWS Management Console pour mettre à jour leur propre mot de passe après son expiration. Avant de sélectionner cette option, vérifiez que votre Compte AWS a plusieurs utilisateurs disposant des autorisations d'administrateur nécessaires pour réinitialiser les mots de passe utilisateur IAM. Les administrateurs disposant de l'autorisation iam:UpdateLoginProfile peuvent réinitialiser les mots de passe des utilisateurs IAM. Les utilisateurs IAM disposant de l'autorisation iam:ChangePassword et de clés d'accès actives peuvent réinitialiser leur propre mot de passe de console utilisateur IAM de manière programmatique. Si vous décochez cette case, les utilisateurs IAM dont les mots de passe ont expiré doivent tout de même définir un nouveau mot de passe avant de pouvoir accéder à la AWS Management Console.

  • Allow users to change their own password (Autoriser les utilisateurs à modifier leur propre mot de passe) : vous pouvez permettre à tous les utilisateurs IAM de votre compte d'utiliser la console IAM pour modifier leur mot de passe. Cela permet aux utilisateurs d'accéder à l'action iam:ChangePassword uniquement pour leur propre utilisateur et à l'action iam:GetAccountPasswordPolicy. Cette option n'associe aucune politique d'autorisations à chaque utilisateur. IAM applique plutôt les autorisations au niveau du compte pour tous les utilisateurs. Vous pouvez également n'autoriser que certains utilisateurs à gérer leurs propres mots de passe. Pour ce faire, décochez cette case. Pour plus d'informations sur l'utilisation de politiques visant à limiter les utilisateurs pouvant gérer les mots de passe, consultez la section Autorisation des utilisateurs IAM à modifier leurs propres mots de passe.

  • Prevent password reuse (Empêcher la réutilisation d'un mot de passe) : vous pouvez empêcher les utilisateurs IAM de réutiliser un certain nombre de mots de passe précédents. Vous pouvez spécifier le nombre de mots de passe précédents qui ne peuvent pas être réutilisés, entre 1 et 24 mots de passe.

Définition d'une politique de mot de passe (console)

Vous pouvez utiliser le AWS Management Console pour créer, modifier ou supprimer une politique de mot de passe personnalisée.

Pour créer une politique de mot de passe personnalisée (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Paramètres du compte.

  3. Dans la section Password policy (Politique de mot de passe), sélectionnez Edit (Modifier).

  4. Choisissez Custom (Personnalisé) pour utiliser une politique de mot de passe personnalisée.

  5. Sélectionnez les options que vous souhaitez appliquer à votre politique de mot de passe, puis sélectionnez Enregistrer les modifications.

  6. Confirmez que vous souhaitez définir la politique de mot de passe personnalisée en sélectionnant Définir personnalisé.

Pour modifier une politique de mot de passe personnalisée (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Paramètres du compte.

  3. Dans la section Password policy (Politique de mot de passe), sélectionnez Edit (Modifier).

  4. Sélectionnez les options que vous souhaitez appliquer à votre politique de mot de passe, puis sélectionnez Enregistrer les modifications.

  5. Confirmez que vous souhaitez définir la politique de mot de passe personnalisée en sélectionnant Définir personnalisé.

Pour supprimer une politique de mot de passe personnalisée (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Paramètres du compte.

  3. Dans la section Password policy (Politique de mot de passe), sélectionnez Edit (Modifier).

  4. Choisissez IAM default (IAM par défaut) pour supprimer la politique de mot de passe personnalisée, puis Save changes (Enregistrer les modifications).

  5. Confirmez que vous souhaitez définir la politique de mot de passe IAM par défaut en sélectionnant Définir personnalisé.

Définition d'une politique de mot de passe (AWS CLI)

Vous pouvez utiliser le AWS Command Line Interface pour définir une politique de mot de passe.

Pour gérer la politique de mot de passe de compte personnalisée à partir du AWS CLI

Exécutez les commandes suivantes :

Définition d'une politique de mot de passe (AWS API)

Vous pouvez utiliser les opérations de AWS l'API pour définir une politique de mot de passe.

Pour gérer la politique de mot de passe de compte personnalisée à partir de l' AWS API

Appelez les opérations suivantes :