Gestion des mots de passe des utilisateurs IAM - AWS Identity and Access Management
Création, modification ou suppression d'un mot de passe utilisateur IAM (console)Création, modification ou suppression d'un mot de passe utilisateur IAM (AWS CLI)Création, modification ou suppression d'un mot de passe utilisateur IAM (AWS API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des mots de passe des utilisateurs IAM

Les utilisateurs IAM qui utilisent les ressources AWS Management Console pour travailler avec AWS des ressources doivent disposer d'un mot de passe pour se connecter. Vous pouvez créer, modifier ou supprimer un mot de passe pour un utilisateur IAM dans votre compte AWS .

Une fois que vous avez attribué un mot de passe à un utilisateur, celui-ci peut se connecter à l' AWS Management Console aide de l'URL de connexion de votre compte, qui ressemble à ceci : 

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Pour plus d'informations sur la manière dont les utilisateurs IAM se connectent au AWS Management Console, consultez la section Comment se connecter AWS dans le guide de l'Connexion à AWS utilisateur.

Même si vos utilisateurs ont leurs propres mots de passe, ils toujours besoin de votre autorisation pour accéder à vos ressources AWS . Par défaut, un utilisateur ne dispose d'aucune autorisation. Pour accorder à vos utilisateurs les autorisations dont ils ont besoin, vous leur attribuez des politiques ou aux groupes dont ils font partie. Pour plus d'informations sur la création d'utilisateurs et de groupes, consultez Identités IAM (utilisateurs, groupes d'utilisateurs et rôles). Pour plus d'informations sur l'utilisation de stratégies pour l'octroi d'autorisations, consultez Modification des autorisations pour un utilisateur IAM.

Vous pouvez accorder aux utilisateurs l'autorisation de modifier leurs propres mots de passe. Pour plus d’informations, consultez Autorisation des utilisateurs IAM à modifier leurs propres mots de passe. Pour plus d'informations sur la façon dont les utilisateurs accèdent à la page de connexion à votre compte, consultez Connexion à AWS dans le Guide de l'utilisateur Connexion à AWS .

Création, modification ou suppression d'un mot de passe utilisateur IAM (console)

Vous pouvez utiliser le AWS Management Console pour gérer les mots de passe de vos utilisateurs IAM.

Lorsque les utilisateurs quittent votre organisation ou n'ont plus besoin d'y AWS accéder, il est important de retrouver les informations d'identification qu'ils utilisaient et de s'assurer qu'elles ne sont plus opérationnelles. Idéalement, supprimez les informations d'identification qui ne sont plus requises. Il est toujours possible de les recréer ultérieurement, si nécessaire. Vous devez au moins modifier les informations d'identification afin que les anciens utilisateurs ne soient plus en mesure de s'en servir.

Pour ajouter un mot de passe pour un utilisateur IAM (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez créer le mot de passe.

  4. Cliquez sur l'onglet Informations d'identification de sécurité, puis sous Connexion à la console, sélectionnez Activer l'accès à la console.

  5. Dans Activer l'accès à la console, dans le champ Mot de passe de la console, choisissez si IAM doit générer un mot de passe ou créer un mot de passe personnalisé :

    • Pour qu'IAM génère un mot de passe, sélectionnez Autogenerated password (Mot de passe généré automatiquement).

    • Pour créer un mot de passe personnalisé, choisissez Custom password (Mot de passe personnalisé), puis tapez le mot de passe.

      Note

      Le mot de passe que vous créez doit respecter la politique de mot de passe du compte.

  6. Pour obliger l'utilisateur à créer un nouveau mot de passe au moment de la connexion, sélectionnez L'utilisateur doit créer un nouveau mot de passe à la prochaine connexion. Choisissez ensuite Activer l'accès à la console.

    Important

    Si vous sélectionnez l'option L'utilisateur doit créer un nouveau mot de passe à la prochaine connexion, vérifiez que l'utilisateur est bien autorisé à modifier son mot de passe. Pour plus d’informations, consultez Autorisation des utilisateurs IAM à modifier leurs propres mots de passe.

  7. Pour afficher le mot de passe afin de le partager avec l'utilisateur, choisissez Afficher dans la boîte de dialogue du mot de passe de la console.

    Important

    Pour des raisons de sécurité, vous ne pouvez pas accéder au mot de passe après avoir effectué cette étape, mais vous pouvez créer un nouveau mot de passe à tout moment.

Pour changer le mot de passe d'un utilisateur IAM (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez changer le mot de passe.

  4. Cliquez sur l'onglet Informations d'identification de sécurité, puis sous Connexion à la console, sélectionnez Gérer l'accès à la console.

  5. Dans Gérer l'accès à la console, choisissez Réinitialiser le mot de passe si ce n'est déjà fait. Si l'accès à la console est désactivé, aucun mot de passe n'est requis.

  6. Pour accéder à la console, choisissez si IAM doit générer un mot de passe ou créer un mot de passe personnalisé :

    • Pour qu'IAM génère un mot de passe, sélectionnez Autogenerated password (Mot de passe généré automatiquement).

    • Pour créer un mot de passe personnalisé, choisissez Custom password (Mot de passe personnalisé), puis tapez le mot de passe.

      Note

      Le mot de passe que vous créez doit respecter la politique de mot de passe du compte, si une politique est définie actuellement.

  7. Pour obliger l'utilisateur à créer un nouveau mot de passe au moment de la connexion, sélectionnez L'utilisateur doit créer un nouveau mot de passe à la prochaine connexion.

    Important

    Si vous sélectionnez l'option L'utilisateur doit créer un nouveau mot de passe à la prochaine connexion, vérifiez que l'utilisateur est bien autorisé à modifier son mot de passe. Pour plus d’informations, consultez Autorisation des utilisateurs IAM à modifier leurs propres mots de passe.

  8. Pour révoquer les sessions de console actives de l'utilisateur, choisissez Révoquer les sessions de console actives. Choisissez ensuite Apply(Applisuer).

    Lorsque vous révoquez des sessions de console actives pour un utilisateur, IAM associe une nouvelle politique intégrée à l'utilisateur qui refuse toutes les autorisations pour toutes les actions. Il inclut une condition qui applique les restrictions uniquement si la session a été créée avant le moment où vous révoquez les autorisations, ainsi qu'environ 30 secondes dans le futur. Si l'utilisateur crée une nouvelle session après que vous ayez révoqué les autorisations, la politique de refus ne s'applique pas à cet utilisateur. Si un utilisateur révoque ses propres sessions de console actives à l'aide de cette méthode, il sera immédiatement déconnecté du AWS Management Console.

    Important

    Pour révoquer avec succès les sessions de console actives d'un utilisateur, vous devez disposer de l'PutUserPolicyautorisation pour cet utilisateur. Cela vous permet d'associer la politique AWSRevokeOlderSessions intégrée à l'utilisateur.

  9. Pour afficher le mot de passe afin de le partager avec l'utilisateur, choisissez Afficher dans la boîte de dialogue du mot de passe de la console.

    Important

    Pour des raisons de sécurité, vous ne pouvez pas accéder au mot de passe après avoir effectué cette étape, mais vous pouvez créer un nouveau mot de passe à tout moment.

Supprimer (désactiver) le mot de passe d'un utilisateur IAM (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez supprimer le mot de passe.

  4. Cliquez sur l'onglet Informations d'identification de sécurité, puis sous Connexion à la console, sélectionnez Gérer l'accès à la console.

  5. Dans Gérer l'accès à la console, choisissez Désactiver l'accès à la console si ce n'est déjà fait. Si l'accès à la console est désactivé, aucun mot de passe n'est requis.

  6. Pour révoquer les sessions de console actives de l'utilisateur, choisissez Révoquer les sessions de console actives. Choisissez ensuite Désactiver l'accès.

    Important

    Pour révoquer avec succès les sessions de console actives d'un utilisateur, vous devez disposer de l'PutUserPolicyautorisation pour cet utilisateur. Cela vous permet d'associer la politique AWSRevokeOlderSessions intégrée à l'utilisateur.

    Lorsque vous révoquez des sessions de console actives pour un utilisateur, IAM intègre une nouvelle politique intégrée à l'utilisateur IAM qui refuse toutes les autorisations pour toutes les actions. Il inclut une condition qui applique les restrictions uniquement si la session a été créée avant le moment où vous révoquez les autorisations, ainsi qu'environ 30 secondes dans le futur. Si l'utilisateur crée une nouvelle session après que vous ayez révoqué les autorisations, la politique de refus ne s'applique pas à cet utilisateur. Si un utilisateur révoque ses propres sessions de console actives à l'aide de cette méthode, il sera immédiatement déconnecté du AWS Management Console.

Important

Vous pouvez empêcher un utilisateur IAM d'accéder au AWS Management Console en supprimant son mot de passe. Cela les empêche de se connecter à l' AWS Management Console aide de leurs identifiants de connexion. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé. Si l'utilisateur dispose de clés d'accès actives, elles continuent de fonctionner et autorisent l' AWS CLI accès via les Outils pour Windows PowerShell, l' AWS API ou l'Application AWS Console Mobile.

Création, modification ou suppression d'un mot de passe utilisateur IAM (AWS CLI)

Vous pouvez utiliser l' AWS CLI API pour gérer les mots de passe de vos utilisateurs IAM.

Pour créer un mot de passe (AWS CLI)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : aws iam get-login-profile

  2. Pour créer un mot de passe, exécutez cette commande : aws iam create-login-profile

Pour modifier le mot de passe d'un utilisateur (AWS CLI)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : aws iam get-login-profile

  2. Pour modifier un mot de passe, exécutez cette commande : aws iam update-login-profile

Pour supprimer (désactiver) le mot de passe d'un utilisateur (AWS CLI)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : aws iam get-login-profile

  2. (Facultatif) Pour déterminer quand un mot de passe a été utilisé pour la dernière fois, exécutez cette commande : aws iam get-user

  3. Pour supprimer un mot de passe, exécutez cette commande : aws iam delete-login-profile

Important

Lorsque vous supprimez le mot de passe d'un utilisateur, ce dernier ne peut plus se connecter à l’interface AWS Management Console. Si l'utilisateur dispose de clés d'accès actives, elles continuent de fonctionner et autorisent l'accès via les appels de fonction AWS CLI PowerShell, Outils pour Windows ou AWS API. Lorsque vous utilisez les AWS CLI outils pour Windows PowerShell ou l' AWS API pour supprimer un utilisateur de votre compte Compte AWS, vous devez d'abord supprimer le mot de passe à l'aide de cette opération. Pour plus d’informations, consultez Suppression d'un utilisateur IAM (AWS CLI).

Pour révoquer les sessions de console actives d'un utilisateur avant une heure spécifiée ()AWS CLI

  1. Pour intégrer une politique en ligne qui révoque les sessions de console actives d'un utilisateur IAM avant une heure spécifiée, utilisez la politique en ligne suivante et exécutez cette commande : aws iam put-user-policy

    Cette politique intégrée refuse toutes les autorisations et inclut la clé de lois : TokenIssue Heure condition. Il révoque les sessions de console actives de l'utilisateur avant l'heure spécifiée dans l'Conditionélément de la politique intégrée. Remplacez la valeur de la clé de aws:TokenIssueTime condition par votre propre valeur.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Facultatif) Pour répertorier les noms des politiques intégrées à l'utilisateur IAM, exécutez cette commande : aws iam list-user-policies

  3. (Facultatif) Pour afficher la politique intégrée nommée intégrée à l'utilisateur IAM, exécutez cette commande : aws iam get-user-policy

Création, modification ou suppression d'un mot de passe utilisateur IAM (AWS API)

Vous pouvez utiliser l' AWS API pour gérer les mots de passe de vos utilisateurs IAM.

Pour créer un mot de passe (AWS API)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, appelez cette opération : GetLoginProfile

  2. Pour créer un mot de passe, appelez cette opération : CreateLoginProfile

Pour modifier le mot de passe d'un utilisateur (AWS API)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, appelez cette opération : GetLoginProfile

  2. Pour modifier un mot de passe, procédez comme suit : UpdateLoginProfile

Pour supprimer (désactiver) le mot de passe d'un utilisateur (AWS API)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : GetLoginProfile

  2. (Facultatif) Pour déterminer quand un mot de passe a été utilisé pour la dernière fois, exécutez cette commande : GetUser

  3. Pour supprimer un mot de passe, exécutez cette commande : DeleteLoginProfile

Important

Lorsque vous supprimez le mot de passe d'un utilisateur, ce dernier ne peut plus se connecter à l’interface AWS Management Console. Si l'utilisateur dispose de clés d'accès actives, elles continuent de fonctionner et autorisent l'accès via les appels de fonction AWS CLI PowerShell, Outils pour Windows ou AWS API. Lorsque vous utilisez les AWS CLI outils pour Windows PowerShell ou l' AWS API pour supprimer un utilisateur de votre compte Compte AWS, vous devez d'abord supprimer le mot de passe à l'aide de cette opération. Pour plus d’informations, consultez Suppression d'un utilisateur IAM (AWS CLI).

Pour révoquer les sessions de console actives d'un utilisateur avant une heure spécifiée (AWS API)

  1. Pour intégrer une politique en ligne qui révoque les sessions de console actives d'un utilisateur IAM avant une heure spécifiée, utilisez la stratégie en ligne suivante et exécutez cette commande : PutUserPolicy

    Cette politique intégrée refuse toutes les autorisations et inclut la clé de lois : TokenIssue Heure condition. Il révoque les sessions de console actives de l'utilisateur avant l'heure spécifiée dans l'Conditionélément de la politique intégrée. Remplacez la valeur de la clé de aws:TokenIssueTime condition par votre propre valeur.

    {
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Facultatif) Pour répertorier les noms des politiques intégrées à l'utilisateur IAM, exécutez cette commande : ListUserPolicies

  3. (Facultatif) Pour afficher la politique intégrée nommée intégrée à l'utilisateur IAM, exécutez cette commande : GetUserPolicy