Informations d'identification de sécurité temporaires dans IAM - AWS Identity and Access Management
AWS STS et AWS régionsScénarios courants d'informations d'identification temporaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Informations d'identification de sécurité temporaires dans IAM

Vous pouvez utiliser le AWS Security Token Service (AWS STS) pour créer et fournir à des utilisateurs de confiance des informations d'identification de sécurité temporaires qui peuvent contrôler l'accès à vos AWS ressources. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :

  • Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois les informations d'identification AWS expirées, il ne les reconnaît plus ou n'autorise aucun type d'accès à partir des demandes d'API effectuées avec elles.

  • Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.

Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :

  • Il n'est pas nécessaire de distribuer ou d'intégrer des informations de AWS sécurité à long terme dans une application.

  • Vous pouvez donner accès à vos AWS ressources aux utilisateurs sans avoir à définir leur AWS identité. Les informations d'identification temporaires sont à la base de la fédération des rôles et des identités.

  • Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.

AWS STS et AWS régions

Les informations d'identification de sécurité temporaires sont générées par AWS STS. Par défaut, AWS STS il s'agit d'un service global avec un seul point de terminaison àhttps://sts.amazonaws.com. Toutefois, vous pouvez également choisir d'effectuer des appels d' AWS STS API vers des points de terminaison situés dans toute autre région prise en charge. Cela permet de réduire la latence (décalage serveur) en envoyant des demandes aux serveurs situés dans une région géographiquement plus proche de vous. Quelle que soit la région d'où proviennent vos informations d'identification, elles fonctionnent dans le monde entier. Pour plus d'informations, veuillez consulter Gérer AWS STS dans un Région AWS.

Scénarios courants d'informations d'identification temporaires

Les informations d'identification temporaires sont utiles dans des scénarios impliquant la fédération d'identité, la délégation, l'accès entre comptes et les rôles IAM.

Fédération des identités

Vous pouvez gérer les identités de vos utilisateurs dans un système externe AWS et accorder aux utilisateurs qui se connectent à partir de ces systèmes l'accès pour effectuer AWS des tâches et accéder à vos AWS ressources. IAM prend en charge deux types de fédération d'identité. Dans les deux cas, les identités sont stockées à l'extérieur de AWS. La distinction réside dans l'endroit où se trouve le système externe : dans votre centre de données ou dans un tiers externe sur le Web. Pour plus d'informations sur les fournisseurs d'identité externes, consultez Fournisseurs d'identité et fédération.

  • Fédération SAML : vous pouvez authentifier les utilisateurs sur le réseau de votre organisation, puis leur fournir un accès AWS sans leur créer de nouvelles AWS identités ni leur demander de se connecter avec des informations d'identification différentes. C'est ce que l'on appelle l'approche d'authentification unique pour l'accès temporaire. AWS STS prend en charge les normes ouvertes telles que le langage SAML (Security Assertion Markup Language) 2.0, avec lequel vous pouvez utiliser Microsoft AD FS pour tirer parti de votre Microsoft Active Directory. SAML 2.0 vous permet également de gérer votre propre solution pour fédérer les identités des utilisateurs. Pour plus d’informations, consultez Fédération SAML 2.0.

    • Courtier de fédération personnalisé : vous pouvez utiliser le système d'authentification de votre organisation pour accorder l'accès aux AWS ressources. Pour obtenir un exemple de scénario, consultez Activation de l'accès à la AWS console par un courtier d'identité personnalisé.

    • Federation using SAML 2.0 (Fédération à l'aide de SAML 2.0) : vous pouvez utiliser le système d'authentification de votre organisation et SAML pour accorder l'accès aux ressources AWS . Pour obtenir des informations et un exemple de scénario, consultez Fédération SAML 2.0.

  • Fédération OpenID Connect (OIDC) — Vous pouvez autoriser les utilisateurs à se connecter en utilisant un fournisseur d'identité tiers connu tel que Login with Amazon, Facebook, Google ou tout autre fournisseur compatible OIDC 2.0 pour votre application mobile ou Web. Vous n'avez pas besoin de créer de code de connexion personnalisé ni de gérer vos propres identités d'utilisateur. L'utilisation de la fédération OIDC vous aide à Compte AWS garantir votre sécurité, car vous n'avez pas à distribuer des informations de sécurité à long terme, telles que des clés d'accès utilisateur IAM, avec votre application. Pour plus d’informations, consultez Fédération OIDC.

    AWS STS La fédération OIDC prend en charge Login with Amazon, Facebook, Google et tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC).

    Note

    Pour les applications mobiles, nous vous recommandons d'utiliser Amazon Cognito. Vous pouvez utiliser ce service avec AWS les SDK pour le développement mobile afin de créer des identités uniques pour les utilisateurs et de les authentifier afin de sécuriser l'accès à vos AWS ressources. Amazon Cognito prend en charge les mêmes fournisseurs d'identité AWS STS, prend également en charge l'accès non authentifié (invité) et vous permet de migrer les données utilisateur lorsqu'un utilisateur se connecte. Amazon Cognito fournit également des opérations d'API pour la synchronisation des données utilisateur afin de les conserver à mesure que les utilisateurs passent d'un périphérique à l'autre. Pour plus d'informations, consultez Authentification avec Amplify dans la documentation Amplify.

Rôles pour l'accès entre comptes

De nombreuses organisations gèrent plusieurs Compte AWS. À l'aide des rôles et de l'accès entre comptes, vous pouvez définir des identités utilisateur dans un compte et utiliser ces identités pour accéder aux ressources AWS dans d'autres comptes qui appartiennent à votre organisation. Cette procédure s'appelle la délégation pour un accès temporaire. Pour de plus amples informations sur la création de rôles entre comptes, veuillez consulter la rubrique Création d'un rôle pour la délégation d'autorisations à un utilisateur IAM.. Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, veuillez consulter Qu'est-ce que l'Analyseur d'accès IAM ?.

Rôles pour Amazon EC2

Si vous exécutez des applications sur des instances Amazon EC2 et que ces applications doivent accéder à des ressources AWS , vous pouvez fournir des informations d'identification de sécurité temporaires à vos instances lorsque vous les lancez. Ces informations d'identification de sécurité temporaires sont disponibles pour toutes les applications qui s'exécutent sur l'instance, vous n'avez donc pas besoin de stocker des informations d'identification à long terme sur l'instance. Pour plus d’informations, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2.

Autres AWS services

Vous pouvez utiliser des informations d'identification de sécurité temporaires pour accéder à la plupart AWS des services. Pour obtenir une liste des services qui acceptent les informations d'identification de sécurité temporaires, consultez la section AWS services qui fonctionnent avec IAM.