Scénarios courants pour les rôles : utilisateurs, applications et services - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Scénarios courants pour les rôles : utilisateurs, applications et services

Avec la plupart des fonctions AWS, vous disposez généralement de deux manières d'utiliser un rôle : de manière interactive dans la console IAM ou par programmation avec la AWS CLI, les Tools for Windows PowerShell ou l'API.

  • Les utilisateurs IAM de votre compte qui utilisent la console IAM peuvent basculer vers un rôle leur permettant d'utiliser temporairement les autorisation du rôle dans la console. Les utilisateurs abandonnent leurs autorisations d'origine et acceptent les autorisations attribuées au rôle. Lorsque les utilisateurs quittent le rôle, leurs autorisations d'origine sont restaurées.

  • Une application ou un service offert par AWS (comme Amazon EC2) peut endosser un rôle en demandant des informations d'identification de sécurité temporaires pour un rôle lui permettant d'effectuer des demandes par programmation à AWS. Vous utilisez ce rôle ainsi pour éviter de partager ou de conserver des informations d'identification de sécurité à long terme (par exemple, en créant un utilisateur IAM) pour chaque entité qui doit accéder à une ressource.

Note

Ce manuel utilise les phrases passer à un rôle et endosser un rôle de manière interchangeable.

La forme d'utilisation des rôles la plus simple consiste à accorder à vos utilisateurs IAM l'autorisation de basculer vers des rôles que vous créez au sein de votre propre entreprise ou d'une autre Compte AWS. Ils peuvent changer de rôles facilement à l'aide de la console IAM pour utiliser des autorisations dont vous ne souhaitez pas qu'ils disposent d'ordinaire et il leur suffit de quitter le rôle pour renoncer à ces autorisations. Cela permet d'empêcher un accès accidentel à des ressources sensibles ou leur modification involontaire.

Pour utiliser les rôles de manière plus complexe, comme accorder l'accès à des applications et des services, ou à des utilisateurs externes fédérés, vous pouvez appeler l'API AssumeRole. Cet appel d'API renvoie un ensemble d'informations d'identification temporaires que l'application peut utiliser dans les appels d'API suivants. Les tentatives d'actions avec les informations d'identification temporaires ne disposent que des autorisations accordées par le rôle associé. Une application n'a pas besoin de « quitter » le rôle de la même manière qu'un utilisateur dans la console. L'application arrête simplement d'utiliser les informations d'identification temporaires et reprend ses appels avec les informations d'identification d'origine.

Les utilisateurs fédérés se connectent à l'aide d'informations d'identification émises par un fournisseur d'identité (IdP). AWS fournit ensuite des informations d'identification temporaires à l'IdP approuvé, qu'il devra transmettre à l'utilisateur pour qu'il les inclue dans les demandes de ressources AWS ultérieures. Ces informations d'identification fournissent des autorisations accordées au rôle attribué.

Cette section présente les scénarios suivants :