Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Créez un rôle pour la délégation d'autorisations à un IAM utilisateur
Vous pouvez utiliser IAM des rôles pour déléguer l'accès à vos AWS ressources. IAMLes rôles vous permettent d'établir des relations d'approbation entre votre compte d'approbation et d'autres comptes AWS approuvés. Le compte d'approbation est propriétaire des ressources auxquelles les utilisateurs ont accès , tandis que le compte approuvé contient les utilisateurs devant accéder aux ressources. Toutefois, il est possible qu'un autre compte détienne une ressource dans votre compte. Par exemple, le compte de confiance peut autoriser le compte approuvé à créer de nouvelles ressources, telles que la création de nouveaux objets dans un compartiment Amazon S3. Dans ce cas, le compte qui crée la ressource la détient et contrôle les personnes pouvant y accéder.
Après avoir créé la relation de confiance, un IAM utilisateur ou une application du compte sécurisé peut utiliser l'AssumeRole
APIopération AWS Security Token Service (AWS STS). Cette opération fournit des informations d'identification de sécurité temporaires permettant d'accéder aux AWS ressources de votre compte.
Les deux comptes peuvent être contrôlés par vous-même, ou le compte contenant les utilisateurs peut être contrôlé par un tiers. Si l'autre compte contenant les utilisateurs est un Compte AWS que vous ne contrôlez pas, vous pouvez utiliser l'externalId
attribut. L'ID externe peut être n'importe quel mot ou nombre convenu avec l'administrateur du compte tiers. Cette option ajoute automatiquement une condition à la politique d'approbation. Cette condition permet à l'utilisateur d'endosser le rôle uniquement si la demande inclut l'élément approprié sts:ExternalID
. Pour de plus amples informations, veuillez consulter Accès à des Comptes AWS sites appartenant à des tiers.
Pour plus d'informations sur la façon d'utiliser les rôles pour déléguer des autorisations, consultez Termes et concepts relatifs aux rôles. Pour en savoir plus sur l'utilisation d'un rôle de service afin de permettre aux services l'accès aux ressources de votre compte, consultez Création d'un rôle pour déléguer des autorisations à un AWS service.
Création d'un rôle IAM (console)
Vous pouvez utiliser l' AWS Management Console pour créer un rôle qu'un IAM utilisateur peut assumer. Par exemple, supposons que votre organisation dispose de plusieurs Comptes AWS pour isoler un environnement de développement d'un environnement de production. Pour des informations générales sur la création d'un rôle autorisant les utilisateurs du compte de développement à accéder aux ressources du compte de production, consultez Exemple de scénario utilisant des comptes de développement et de production distincts.
Autorisations minimales
Pour effectuer les étapes suivantes, vous devez au moins disposer des IAM autorisations suivantes :
-
access-analyzer:ValidatePolicy
-
iam:AttachRolePolicy
-
iam:CreatePolicy
-
iam:CreateRole
-
iam:GetAccountSummary
-
iam:GetPolicy
-
iam:GetPolicyVersion
-
iam:GetRole
-
iam:ListAccountAliases
-
iam:ListAttachedRolePolicies
-
iam:ListOpenIDConnectProviders
-
iam:ListPolicies
-
iam:ListRolePolicies
-
iam:ListRoles
-
iam:ListRoleTags
-
iam:ListSAMLProviders
Pour créer un rôle (console)
Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation de la console, choisissez Rôles, puis Créer un rôle.
-
Choisissez le type du rôle de l'Compte AWS.
-
Pour créer un rôle pour votre compte, choisissez This account (Ce compte). Pour créer un rôle pour un autre compte, choisissez Another Compte AWS (Autre ) et saisissez l'Account ID (ID de compte) auquel vous voulez octroyer l'accès à vos ressources.
L'administrateur du compte spécifié peut accorder l'autorisation d'assumer ce rôle à n'importe quel IAM utilisateur de ce compte. Pour ce faire, l'administrateur attache une politique à l'utilisateur ou à un groupe qui donne l'autorisation pour l'action
sts:AssumeRole
. Cette politique doit spécifier que le ARN rôle est leResource
. -
Si vous accordez des autorisations aux utilisateurs d'un compte que vous ne contrôlez pas et si les utilisateurs ont l'intention d'assumer ce rôle par programmation, alors sélectionnez Require external ID (Demander un ID externe). L'ID externe peut être n'importe quel mot ou nombre convenu avec l'administrateur du compte tiers. Cette option ajoute automatiquement une condition à la politique d'approbation. Cette condition permet à l'utilisateur d'endosser le rôle uniquement si la demande inclut l'élément approprié
sts:ExternalID
. Pour de plus amples informations, veuillez consulter Accès à des Comptes AWS sites appartenant à des tiers.Important
Si vous choisissez cette option, l'accès au rôle ne peut se faire que via la AWS CLI, Tools for Windows PowerShell et. AWS API Cela est dû au fait que vous ne pouvez pas utiliser la AWS console pour assumer un rôle dont la stratégie d'approbation comporte une
externalId
condition. Vous pouvez néanmoins créer ce type d'accès par programmation, en écrivant un script ou une application à l'aide de l'approprié. SDK Pour plus d'informations et un exemple de script, consultez How to Enable Cross-Account Access to the AWS Management Console dans leBlog sur la AWS sécurité. -
Si vous souhaitez restreindre le rôle aux utilisateurs qui se connectent via une authentification à facteurs multiples (MFA), sélectionnez Demander MFA. Cela ajoute une condition à la stratégie d'approbation du rôle qui exige une MFA authentification. Un utilisateur qui veut assumer le rôle doit se connecter avec un mot de passe unique temporaire à partir d'un MFA appareil configuré. Sans MFA authentification, les utilisateurs ne peuvent pas assumer le rôle. Pour plus d'informations surMFA, consultez AWS Authentification multifactorielle dans IAM
-
Choisissez Suivant.
-
IAMinclut une liste des politiques AWS gérées par et des politiques gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez Créer une politique pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour de plus amples informations, veuillez consulter Création de IAM politiques. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case en regard des stratégies d'autorisations que vous souhaitez octroyer à toute personne assumant le rôle. Si vous préférez, vous pouvez ne sélectionner aucune stratégie pour le moment, puis les attacher au rôle ultérieurement. Par défaut, un rôle ne dispose d'aucune autorisation.
-
(Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée.
Ouvrez la section Set permissions boundary (Définir une limite d'autorisations) et choisissez Use a permissions boundary to control the maximum role permissions (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). Sélectionnez la politique à utiliser comme limite d'autorisations.
-
Choisissez Suivant.
-
Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle. Les noms de rôle doivent être uniques dans votre Compte AWS. Lorsqu'un nom de rôle est utilisé dans une politique ou dans le cadre d'une politiqueARN, il est sensible à la casse. Lorsque le nom d'un rôle apparaît aux clients dans la console, par exemple lors du processus de connexion, il n'est pas sensible à la casse. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.
-
(Facultatif) Pour Description, saisissez une description pour le nouveau rôle.
-
Choisissez Edit (Modifier) dans les sections Step 1: Select trusted entities (Étape 1 : sélection d'entités de confiance) ou Step 2: Add permissions (Étape 2 : ajouter des autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle. Vous serez renvoyé aux pages précédentes pour effectuer les modifications.
-
(Facultatif) Ajoutez des métadonnées au rôle en associant les identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation de balises dansIAM, consultezTags pour les AWS Identity and Access Management ressources.
-
Passez en revue les informations du rôle, puis choisissez Créer un rôle.
Important
N'oubliez pas que ceci ne représente que la première moitié de la configuration requise. Vous devez également accorder aux utilisateurs individuels du compte approuvé des autorisations permettant de basculer vers le rôle dans la console ou d'endosser le rôle par programmation. Pour plus d'informations sur cette étape, consultez Accorder à un utilisateur l'autorisation de changer de rôle.
Création d'un IAM rôle (AWS CLI)
La création d'un rôle à partir de l' AWS CLI comporte plusieurs étapes. Lorsque vous créez un rôle à partir de la console, la plupart des étapes sont exécutées automatiquement pour vous, mais AWS CLI vous devez exécuter explicitement chaque étape vous-même. Vous devez créer le rôle et lui attribuer une politique d'autorisations. Vous pouvez également définir la limite d'autorisations pour votre rôle.
Pour créer un rôle pour l'accès entre comptes (AWS CLI)
-
Créez un rôle : aws iam create-role
-
Attachez une stratégie d'autorisations gérée au rôle : aws iam attach-role-policy
or
Créez une stratégie d'autorisations en ligne pour le rôle : aws iam put-role-policy
-
(Facultatif) Ajoutez des attributs personnalisés au rôle en associant des balises : aws iam tag-role
Pour de plus amples informations, veuillez consulter Gestion des tags sur IAM les rôles (AWS CLI ou AWS API).
-
(Facultatif) Définissez la limite des autorisations pour le rôle : aws iam put-role-permissions-boundary
Une limite d'autorisations contrôle les autorisations maximum dont un rôle peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.
L'exemple suivant illustre les deux premières étapes les plus courantes pour créer un rôle entre comptes dans un environnement simple. Cet exemple permet à tout utilisateur du compte 123456789012
d'endosser le rôle et d'afficher le compartiment Amazon S3 example_bucket
. Cet exemple suppose également que vous utilisiez un ordinateur client exécutant Windows et que vous ayez déjà configuré votre interface de ligne de commande à l'aide des informations d'identification et de la région de votre compte. Pour de plus amples informations, veuillez consulter Configuration de l'interface de ligne de AWS commande.
Dans cet exemple, incluez la politique de confiance suivante dans la première commande lors de la création du rôle. Cette stratégie d'approbation permet aux utilisateurs du 123456789012
compte d'assumer le rôle à l'aide de l'AssumeRole
opération, mais uniquement s'ils fournissent l'MFAauthentification à l'aide SerialNumber
des TokenCode
paramètres et. Pour plus d'informations surMFA, voirAWS Authentification multifactorielle dans IAM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::123456789012:root" }, "Action": "sts:AssumeRole", "Condition": { "Bool": { "aws:MultiFactorAuthPresent": "true" } } } ] }
Important
Si votre Principal
élément contient l'ARNpour un IAM rôle ou utilisateur spécifique, alors ARN il devient un ID du mandataire unique lorsque la stratégie est enregistrée. Cela permet de réduire le risque d'escalade des autorisations par la suppression et la nouvelle création du rôle ou de l'utilisateur. Cet ID n'est pas fréquent dans la console, car il existe également une transformation inverse, pour revenir à la ARN date d'affichage de la stratégie d'approbation. Toutefois, si vous supprimez le rôle ou l'utilisateur, l'ID du principal s'affiche dans la console car ne AWS peut plus le faire correspondre à unARN. Par conséquent, si vous supprimez et recréez un utilisateur ou un rôle référencé dans l'Principal
élément d'une politique d'approbation, vous devez modifier le rôle afin de remplacer leARN.
Lorsque vous utilisez la deuxième commande, vous devez attacher au rôle une politique gérée existante. La politique d'autorisations suivante permet à toute personne endossant le rôle d'exécuter uniquement l'action ListBucket
sur le compartiment Amazon S3 example_bucket
.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "s3:ListBucket", "Resource": "arn:aws:s3:::example_bucket" } ] }
Pour créer ce rôle Test-UserAccess-Role
, vous devez d'abord enregistrer la précédente politique de confiance avec le nom trustpolicyforacct123456789012.json
dans le dossier policies
de votre disque local C:
. Ensuite, enregistrez la précédente politique d'autorisations sous la forme d'une politique gérée par le client dans votre Compte AWS sous le nomPolicyForRole
. Vous pouvez ensuite utiliser les commandes suivantes pour créer le rôle et attacher la politique gérée.
# Create the role and attach the trust policy file that allows users in the specified account to assume the role. $
aws iam create-role --role-name Test-UserAccess-Role --assume-role-policy-document file://C:\policies\trustpolicyforacct123456789012.json
# Attach the permissions policy (in this example a managed policy) to the role to specify what it is allowed to do. $
aws iam attach-role-policy --role-name Test-UserAccess-Role --policy-arn arn:aws:iam::123456789012:policy/PolicyForRole
Important
N'oubliez pas que ceci ne représente que la première moitié de la configuration requise. Vous devez également accorder à des utilisateurs individuels du compte approuvé les autorisations permettant de changer de rôle. Pour plus d'informations sur cette étape, consultez Accorder à un utilisateur l'autorisation de changer de rôle.
Après avoir créé le rôle et lui avoir accordé les autorisations d'exécuter AWS des tâches ou d'accéder aux AWS
ressources, tout utilisateur du 123456789012
compte peut assumer le rôle. Pour de plus amples informations, veuillez consulter Basculer vers un IAM rôle (AWS CLI).
Création d'un IAM rôle (AWS API)
La création d'un rôle à partir de l' AWS APIcomporte plusieurs étapes. Lorsque vous créez un rôle à partir de la console, la plupart des étapes sont exécutées automatiquement pour vous, mais API vous devez exécuter explicitement chaque étape vous-même. Vous devez créer le rôle et lui attribuer une politique d'autorisations. Vous pouvez également définir la limite d'autorisations pour votre rôle.
Pour créer un rôle dans le code (AWS API)
-
Créez un rôle : CreateRole
Vous pouvez spécifier un emplacement de fichier pour la politique d'approbation du rôle.
-
Attachez une stratégie d'autorisation gérée au rôle : AttachRolePolicy
or
Créez une stratégie d'autorisation en ligne pour le rôle : PutRolePolicy
Important
N'oubliez pas que ceci ne représente que la première moitié de la configuration requise. Vous devez également accorder à des utilisateurs individuels du compte approuvé les autorisations permettant de changer de rôle. Pour plus d'informations sur cette étape, consultez Accorder à un utilisateur l'autorisation de changer de rôle.
-
(Facultatif) Ajoutez des attributs personnalisés à l'utilisateur en associant des balises : TagRole
Pour de plus amples informations, veuillez consulter Gestion des tags sur IAM les utilisateurs (AWS CLI ou AWS API).
-
(Facultatif) Définissez la limite des autorisations pour le rôle : PutRolePermissionsBoundary
Une limite d'autorisations contrôle les autorisations maximum dont un rôle peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.
Après avoir créé le rôle et lui avoir accordé les autorisations d'exécuter AWS des tâches ou d'accéder aux AWS ressources, vous devez accorder des autorisations aux utilisateurs du compte pour leur permettre d'assumer le rôle. Pour plus d'informations sur l'endossement d'un rôle, consultez Basculer vers un IAM rôle (AWS API).
Création d'un IAM rôle (AWS CloudFormation)
Pour plus d'informations sur la création d'un IAM rôle dans AWS CloudFormation, consultez la référence relative aux ressources et aux propriétés ainsi que les exemples du Guide de AWS CloudFormation l'utilisateur.
Pour plus d'informations sur les IAM modèles dans AWS CloudFormation, consultez les extraits de AWS Identity and Access Management modèles dans le Guide de l'AWS CloudFormation utilisateur.