Informations d'identification de sécurité temporaires dans IAM - AWS Identity and Access Management

Informations d'identification de sécurité temporaires dans IAM

Vous pouvez utiliser AWS Security Token Service (AWS STS) pour créer et fournir aux utilisateurs de confiance des informations d'identification de sécurité temporaires permettant de contrôler l'accès à vos ressources AWS. Les informations d'identification de sécurité temporaires ont un fonctionnement presque identique à celui des informations d'identification des clés d'accès à long terme que vos utilisateurs IAM peuvent utiliser, à quelques différences près :

  • Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois que les informations d'identification arrivent à expiration, AWS ne les reconnaît plus ou n'autorise plus aucun accès aux demandes d'API effectuées avec elles.

  • Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.

Ces différences offrent les avantages suivants à utiliser des informations d'identification temporaires :

  • Vous n'avez pas besoin de distribuer ou d'intégrer des informations d'identification de sécurité AWS à long terme avec une application.

  • Vous pouvez fournir aux utilisateurs l'accès à vos ressources AWS sans devoir définir une identité AWS pour eux. Les informations d'identification temporaires servent de base aux rôles et à la fédération d'identité.

  • Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Vous n'avez donc pas besoin de les faire tourner ou de les révoquer de manière explicite une fois celles-ci devenues inutiles. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.

Régions AWS STS et AWS

Les informations d'identification de sécurité temporaires sont générées par AWS STS. Par défaut, AWS STS est un service global avec un point de terminaison unique à l'adresse https://sts.amazonaws.com. Toutefois, vous pouvez choisir également d'effectuer des appels d'API AWS STS aux points de terminaison dans une autre région prise en charge. Cela permet de réduire la latence (décalage serveur) en envoyant des demandes aux serveurs situés dans une région géographiquement plus proche de vous. Quelle que soit la région d'où proviennent vos informations d'identification, elles fonctionnent dans le monde entier. Pour plus d’informations, veuillez consulter Gestion de AWS STS dans une région AWS.

Scénarios courants d'informations d'identification temporaires

Les informations d'identification temporaires sont utiles dans des scénarios impliquant la fédération d'identité, la délégation, l'accès entre comptes et les rôles IAM.

Fédération des identités

Vous pouvez gérer vos identités utilisateur dans un système externe situé en dehors d'AWS et accorder aux utilisateur qui se connectent depuis ces systèmes un accès leur permettant d'effectuer des tâches AWS et d'accéder à vos ressources AWS. IAM prend en charge deux types de fédération d'identité. Dans les deux cas, les identités sont stockées en dehors d' AWS. La distinction réside dans l'endroit où se trouve le système externe : dans votre centre de données ou dans un tiers externe sur le Web. Pour plus d'informations sur les fournisseurs d'identité externes, consultez Fournisseurs d'identité et fédération.

  • Enterprise identity federation (Fédération d'identité d'entreprise) – vous pouvez authentifier les utilisateurs du réseau de votre organisation, puis leur accorder l'accès à AWS sans créer de nouvelles identités AWS pour eux ni leur imposer de se connecter avec un nom d'utilisateur et un mot de passe distincts. Cette procédure s'appelle l'authentification unique (SSO) pour un accès temporaire. AWS STS prend en charge les normes ouvertes telles que Security Assertion Markup Language (SAML) 2.0, qui vous permet d'utiliser Microsoft AD FS pour tirer parti de votre annuaire Microsoft Active Directory. SAML 2.0 vous permet également de gérer votre propre solution pour fédérer les identités des utilisateurs. Pour plus d’informations, veuillez consulter À propos de la fédération SAML 2.0.

    • Custom federation broker (Broker de fédération personnalisé) – vous pouvez utiliser le système d'authentification de votre organisation pour accorder l'accès aux ressources AWS. Pour obtenir un exemple de scénario, consultez Activation de l'accès de broker d'identité personnalisé à la console AWS.

    • Federation using SAML 2.0 (Fédération à l'aide de SAML 2.0) – vous pouvez utiliser le système d'authentification de votre organisation et SAML pour accorder l'accès aux ressources AWS. Pour obtenir des informations et un exemple de scénario, consultez À propos de la fédération SAML 2.0.

  • Web identity federation (Fédération d'identité web) – vous pouvez autoriser vos utilisateurs à se connecter à un fournisseur d'identité tiers reconnu comme Login with Amazon, Facebook, Google ou tout autre fournisseur compatible avec OpenID Connect (OIDC) 2.0. Vous pouvez échanger les informations d'identification de ce fournisseur avec des informations d'identification temporaires pour utiliser les ressources de votre compte AWS. Cette procédure s'appelle la fédération d'identité web pour un accès temporaire. Lorsque vous utilisez la fédération d'identité web pour votre application mobile ou web, vous n'avez pas besoin de créer un code de connexion personnalisé ni de gérer vos propres identités utilisateur. La fédération d'identité web vous permet de mieux sécuriser votre compte AWS, car vous n'avez pas à distribuer d'informations d'identification de sécurité à long terme, comme des clés d'accès d'utilisateur IAM, dans votre application. Pour plus d’informations, veuillez consulter À propos de la fédération d'identité web.

    AWS STSLa fédération d'identité web prend en charge Login with Amazon, Facebook, Google et tout fournisseur d'identité compatible avec OpenID Connect (OIDC).

    Note

    Pour les applications mobiles, nous vous recommandons d'utiliser Amazon Cognito. Vous pouvez utiliser ce service avec l'outil AWS Mobile SDK pour iOS et l'outil AWS Mobile SDK pour Android et Fire OS pour créer des identités uniques pour les utilisateurs et les authentifier pour un accès sécurisé à vos ressources AWS. Amazon Cognito prend en charge les mêmes fournisseurs d'identité que AWS STS. Il prend également en charge l'accès non authentifié (invité), et vous permet de migrer les données utilisateur lorsqu'un utilisateur se connecte. Amazon Cognito fournit également des opérations d'API pour la synchronisation des données utilisateur afin de les conserver à mesure que les utilisateurs passent d'un périphérique à l'autre. Pour plus d'informations, consultez les ressources suivantes :

Rôles pour l'accès entre comptes

De nombreuses organisations gèrent plusieurs comptes AWS. À l'aide des rôles et de l'accès entre comptes, vous pouvez définir des identités utilisateur dans un compte et utiliser ces identités pour accéder aux ressources AWS dans d'autres comptes qui appartiennent à votre organisation. Cette procédure s'appelle la délégation pour un accès temporaire. Pour de plus amples informations sur la création de rôles entre comptes, veuillez consulter Création d'un rôle pour la délégation d'autorisations à un utilisateur IAM.. Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, consultez Qu'est-ce qu'IAM Access Analyzer ?.

Rôles pour Amazon EC2

Si vous exécutez des applications sur des instances Amazon EC2 et que ces applications doivent accéder à des ressources AWS, vous pouvez fournir des informations d'identification de sécurité temporaires à vos instances lorsque vous les lancez. Ces informations d'identification de sécurité temporaires sont disponibles pour toutes les applications qui s'exécutent sur l'instance, vous n'avez donc pas besoin de stocker des informations d'identification à long terme sur l'instance. Pour plus d’informations, veuillez consulter Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2.

Autres services AWS

Vous pouvez utiliser des informations d'identification de sécurité temporaires pour accéder à la plupart des services AWS. Pour obtenir une liste des services qui acceptent les informations d'identification de sécurité temporaires, consultez la section AWSServices qui fonctionnent avec IAM.