Octroi d'autorisations pour créer des informations d'identification de sécurité temporaires - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroi d'autorisations pour créer des informations d'identification de sécurité temporaires

Par défaut, les utilisateurs IAM n'ont pas l'autorisation de créer des informations d'identification de sécurité temporaires pour des utilisateurs fédérés et les rôles. Vous devez utiliser une politique pour fournir ces autorisations à vos utilisateurs. Bien que vous puissiez accorder des autorisations directement à un utilisateur, nous vous recommandons vivement d'accorder des autorisations à un groupe. Cela facilite la gestion des autorisations. Lorsqu'un utilisateur n'a plus besoin d'effectuer les tâches associées aux autorisations, il vous suffit de le supprimer du groupe. Si un autre utilisateur doit effectuer cette tâche, ajoutez-le au groupe pour lui accorder les autorisations.

Pour accorder à un groupe IAM l'autorisation de créer des informations d'identification de sécurité temporaires pour des utilisateurs fédérés ou des groupes, vous attachez une politique qui accorde un ou plusieurs des privilèges suivants :

  • Pour que des utilisateurs fédérés accèdent à un rôle IAM, accordez l'accès à AWS STS AssumeRole.

  • Pour les utilisateurs fédérés qui n'ont pas besoin de rôle, accordez l'accès à AWS STS GetFederationToken.

Pour plus d'informations sur les différences entre les opérations d'API AssumeRole et GetFederationToken, consultez Demande d'informations d'identification temporaires de sécurité.

Les utilisateurs IAM peuvent également appeler GetSessionToken pour créer des informations d'identification de sécurité temporaires. Aucune autorisation n'est requise pour qu'un utilisateur puisse appeler GetSessionToken. Le but principal de cette opération est d'authentifier l'utilisateur à l'aide de l'authentification MFA. Vous ne pouvez pas utiliser les politiques pour contrôler l'authentification. Cela signifie que vous ne pouvez pas empêcher les utilisateurs IAM d'appeler GetSessionToken pour créer des informations d'identification temporaires.

Exemple de politique qui accorde l'autorisation d'endosser un rôle

L'exemple de politique suivant accorde l'autorisation d'appeler AssumeRole pour le UpdateApp rôle dans Compte AWS 123123123123. Quand AssumeRole est utilisé, l'utilisateur (ou l'application) qui crée les informations d'identification de sécurité pour le compte d'un utilisateur fédéré ne peut déléguer aucune autorisation non spécifiée dans la politique d'autorisation de rôle. 

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:AssumeRole",
    "Resource": "arn:aws:iam::123123123123:role/UpdateAPP"
  }]
}
Exemple de politique qui accorde l'autorisation de créer des informations d'identification de sécurité temporaires pour un utilisateur fédéré

L'exemple de politique suivant donne l'autorisations d'accéder à GetFederationToken.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": "*"
  }]
}
Important

Lorsque vous accordez à un utilisateur IAM l'autorisation de créer des informations d'identification de sécurité temporaires pour des utilisateurs fédérés avec GetFederationToken, sachez que cela lui autorise à déléguer ses propres autorisations. Pour plus d'informations sur la délégation d'autorisations entre les utilisateurs IAM et consultez Comptes AWS. Exemples de politiques pour la délégation d'accès Pour plus d'informations sur le contrôle des autorisations dans les informations d'identification de sécurité temporaires, consultez Contrôle des autorisations affectées aux informations d'identification de sécurité temporaires.

Exemple de politique qui accorde à un utilisateur une autorisation limitée de créer des informations d'identification de sécurité temporaires pour des utilisateurs fédérés

Lorsque vous laissez un utilisateur IAM appeler GetFederationToken, il s'agit d'une bonne pratique pour limiter les autorisations que l'utilisateur IAM peut déléguer. Par exemple, la politique suivante explique comment autoriser un utilisateur IAM à créer des informations d'identification de sécurité temporaires uniquement pour des utilisateurs fédérés dont les noms commencent par Manager.

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": "sts:GetFederationToken",
    "Resource": ["arn:aws:sts::123456789012:federated-user/Manager*"]
  }]
}