Création d'un rôle pour accorder des autorisations à un utilisateur IAM - AWS Identity and Access Management
Création d'un rôle IAM (console)Création d'un rôle IAM (AWS CLI)Création d'un rôle IAM (AWS API)Création d'un rôle IAM (AWS CloudFormation)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle pour accorder des autorisations à un utilisateur IAM

Vous pouvez utiliser les rôles IAM pour accéder à vos AWS ressources. Avec les rôles IAM, vous pouvez établir des relations de confiance entre votre compte de confiance et d'autres comptes de AWS confiance. Le compte d'approbation est propriétaire des ressources auxquelles les utilisateurs ont accès , tandis que le compte approuvé contient les utilisateurs devant accéder aux ressources. Toutefois, il est possible qu'un autre compte détienne une ressource dans votre compte. Par exemple, le compte de confiance peut autoriser le compte approuvé à créer de nouvelles ressources, telles que la création de nouveaux objets dans un compartiment Amazon S3. Dans ce cas, le compte qui crée la ressource la détient et contrôle les personnes pouvant y accéder.

Une fois que vous avez créé la relation de confiance, un utilisateur IAM ou une application du compte sécurisé peut utiliser l'opération d'AssumeRoleAPI AWS Security Token Service (AWS STS). Cette opération fournit des informations de sécurité temporaires qui permettent d'accéder aux AWS ressources de votre compte.

Les deux comptes peuvent être contrôlés par vous-même, ou le compte contenant les utilisateurs peut être contrôlé par un tiers. Si l'autre compte associé aux utilisateurs est un compte Compte AWS que vous ne contrôlez pas, vous pouvez utiliser l'externalIdattribut. L'ID externe peut être n'importe quel mot ou nombre convenu avec l'administrateur du compte tiers. Cette option ajoute automatiquement une condition à la politique d'approbation. Cette condition permet à l'utilisateur d'endosser le rôle uniquement si la demande inclut l'élément approprié sts:ExternalID. Pour de plus amples informations, veuillez consulter Accès à des Comptes AWS appartenant à des tiers.

Pour plus d'informations sur la façon d'utiliser les rôles pour déléguer des autorisations, consultez Termes et concepts relatifs aux rôles. Pour en savoir plus sur l'utilisation d'un rôle de service afin de permettre aux services l'accès aux ressources de votre compte, consultez Création d’un rôle pour la délégation d’autorisations à un service AWS.

Création d'un rôle IAM (console)

Vous pouvez utiliser le AWS Management Console pour créer un rôle qu'un utilisateur IAM peut assumer. Supposons, par exemple, que votre organisation en dispose Comptes AWS de plusieurs pour isoler un environnement de développement d'un environnement de production. Pour des informations générales sur la création d'un rôle autorisant les utilisateurs du compte de développement à accéder aux ressources du compte de production, consultez Exemple de scénario utilisant des comptes de développement et de production distincts.

Autorisations minimales

Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :

  • access-analyzer:ValidatePolicy

  • iam:AttachRolePolicy

  • iam:CreatePolicy

  • iam:CreateRole

  • iam:GetAccountSummary

  • iam:GetPolicy

  • iam:GetPolicyVersion

  • iam:GetRole

  • iam:ListAccountAliases

  • iam:ListAttachedRolePolicies

  • iam:ListOpenIDConnectProviders

  • iam:ListPolicies

  • iam:ListRolePolicies

  • iam:ListRoles

  • iam:ListRoleTags

  • iam:ListSAMLProviders

Afficher plusAfficher moins
IAM console

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation de la console, choisissez Rôles, puis Créer un rôle.

  3. Choisissez le type du rôle de l'Compte AWS.

  4. Pour créer un rôle pour votre compte, choisissez This account (Ce compte). Pour créer un rôle pour un autre compte, choisissez Another Compte AWS (Autre ) et saisissez l'Account ID (ID de compte) auquel vous voulez octroyer l'accès à vos ressources.

    L'administrateur du compte spécifié peut accorder l'autorisation d'endosser ce rôle à n'importe quel utilisateur IAM de ce compte. Pour ce faire, l'administrateur attache une politique à l'utilisateur ou à un groupe qui donne l'autorisation pour l'action sts:AssumeRole. Cette politique doit spécifier l'ARN du rôle comme Resource.

  5. Si vous accordez des autorisations aux utilisateurs d'un compte que vous ne contrôlez pas et si les utilisateurs ont l'intention d'assumer ce rôle par programmation, alors sélectionnez Require external ID (Demander un ID externe). L'ID externe peut être n'importe quel mot ou nombre convenu avec l'administrateur du compte tiers. Cette option ajoute automatiquement une condition à la politique d'approbation. Cette condition permet à l'utilisateur d'endosser le rôle uniquement si la demande inclut l'élément approprié sts:ExternalID. Pour de plus amples informations, veuillez consulter Accès à des Comptes AWS appartenant à des tiers.

    Important

    Le choix de cette option restreint l'accès au rôle uniquement par le biais AWS CLI des outils pour Windows PowerShell ou de l' AWS API. Cela est dû au fait que vous ne pouvez pas utiliser la AWS console pour passer à un rôle dont la politique de confiance est assortie d'une externalId condition. Vous pouvez néanmoins créer ce type d'accès par programmation, en écrivant un script ou une application à l'aide du kit SDK approprié. Pour plus d'informations et un exemple de script, consultez How to Enable Cross-Account Access to the AWS Management Console sur AWS Security Blog.

  6. Si vous souhaitez restreindre le rôle aux utilisateurs qui se connectent via une authentification MFA, sélectionnez Demander l'authentification MFA. Cela ajoute une condition à la politique d'approbation du rôle qui exige une authentification MFA. Un utilisateur qui veut endosser le rôle doit se connecter avec un mot de passe unique temporaire à partir d'un dispositif MFA configuré. Sans authentification MFA, les utilisateurs ne peuvent pas endosser le rôle. Pour plus d'informations sur l'authentification MFA, consultez AWS Authentification multifactorielle dans IAM

  7. Choisissez Suivant.

  8. IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez Créer une politique pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour de plus amples informations, veuillez consulter Création de politiques IAM. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case en regard des politiques d’autorisations que vous souhaitez octroyer à toute personne endossant le rôle. Si vous préférez, vous pouvez ne sélectionner aucune stratégie pour le moment, puis les attacher au rôle ultérieurement. Par défaut, un rôle ne dispose d'aucune autorisation.

  9. (Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée.

    Ouvrez la section Set permissions boundary (Définir une limite d'autorisations) et choisissez Use a permissions boundary to control the maximum role permissions (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). Sélectionnez la politique à utiliser comme limite d'autorisations.

  10. Choisissez Suivant.

  11. Dans le champ Role name (Nom de rôle), saisissez un nom pour votre rôle. Les noms de rôles doivent être uniques au sein de votre Compte AWS. Lorsqu'un nom de rôle est utilisé dans une politique ou dans le cadre d'un ARN, il est sensible à la casse. Lorsque le nom d'un rôle apparaît aux clients dans la console, par exemple lors du processus de connexion, il n'est pas sensible à la casse. Différentes entités peuvent référencer le rôle et il n'est donc pas possible de modifier son nom après sa création.

  12. (Facultatif) Pour Description, saisissez une description pour le nouveau rôle.

  13. Choisissez Edit (Modifier) dans les sections Step 1: Select trusted entities (Étape 1 : sélection d'entités de confiance) ou Step 2: Add permissions (Étape 2 : ajouter des autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle. Vous serez renvoyé aux pages précédentes pour effectuer les modifications.

  14. (Facultatif) Ajoutez des métadonnées au rôle en associant les identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balises pour les ressources AWS Identity and Access Management.

  15. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

    Important

    N'oubliez pas que ceci ne représente que la première moitié de la configuration requise. Vous devez également accorder aux utilisateurs individuels du compte approuvé des autorisations permettant de basculer vers le rôle dans la console ou d'endosser le rôle par programmation. Pour plus d'informations sur cette étape, consultez Octroi d’autorisations à un utilisateur pour endosser un rôle.

Création d'un rôle IAM (AWS CLI)

La création d'un rôle à partir de AWS CLI implique plusieurs étapes. Lorsque vous utilisez la console pour créer un rôle, la plupart des étapes sont effectuées pour vous, mais AWS CLI vous devez effectuer chaque étape vous-même de manière explicite. Vous devez créer le rôle et lui attribuer une politique d'autorisations. Vous pouvez également définir la limite d'autorisations pour votre rôle.

Pour créer un rôle pour l'accès entre comptes (AWS CLI)

  1. Créez un rôle : aws iam create-role

  2. Associez une politique d'autorisations gérées au rôle : aws iam attach-role-policy

    or

    Créez une politique d'autorisation intégrée pour le rôle : aws iam put-role-policy

  3. (Facultatif) Ajoutez des attributs personnalisés au rôle en associant des balises : aws iam tag-role

    Pour de plus amples informations, veuillez consulter Gestion des balises sur les rôles IAM (AWS CLI ou API AWS).

  4. (Facultatif) Définissez la limite des autorisations pour le rôle : aws iam put-role-permissions-boundary

    Une limite d'autorisations contrôle les autorisations maximum dont un rôle peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.

L'exemple suivant illustre les deux premières étapes les plus courantes pour créer un rôle entre comptes dans un environnement simple. Cet exemple permet à tout utilisateur du compte 123456789012 d'endosser le rôle et d'afficher le compartiment Amazon S3 example_bucket. Cet exemple suppose également que vous utilisiez un ordinateur client exécutant Windows et que vous ayez déjà configuré votre interface de ligne de commande à l'aide des informations d'identification et de la région de votre compte. Pour plus d'informations, voir Configuration de l'interface de ligne de AWS commande.

Dans cet exemple, incluez la politique de confiance suivante dans la première commande lors de la création du rôle. Cette politique de confiance permet aux utilisateurs du compte 123456789012 d'endosser le rôle à l'aide de l'opération AssumeRole, mais uniquement s'ils fournissent l'authentification MFA à l'aide des paramètres SerialNumber et TokenCode. Pour plus d'informations sur l'authentification MFA, consultez AWS Authentification multifactorielle dans IAM.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Principal": { "AWS": "arn:aws:iam::123456789012:root" },
          "Action": "sts:AssumeRole",
          "Condition": { "Bool": { "aws:MultiFactorAuthPresent": "true" } }
      }
  ]
}
Important

Si votre élément Principal contient l'ARN d'un rôle ou utilisateur IAM spécifique, alors cet ARN devient un ID du principal unique lorsque la politique est enregistrée. Cela permet de réduire le risque d'escalade des autorisations par la suppression et la nouvelle création du rôle ou de l'utilisateur. Cet ID n'est pas fréquent dans la console, car il existe également une transformation inverse, pour revenir à l'ARN, lorsque la politique d'approbation est affichée. Toutefois, si vous supprimez le rôle ou l'utilisateur, l'ID principal apparaît dans la console car il n'est plus AWS possible de le mapper à un ARN. Par conséquent, si vous supprimez et recréez un utilisateur ou rôle référencé dans l'élément Principal d'une politique de confiance, vous devez modifier le rôle afin de remplacer l'ARN.

Lorsque vous utilisez la deuxième commande, vous devez attacher au rôle une politique gérée existante. La politique d'autorisations suivante permet à toute personne endossant le rôle d'exécuter uniquement l'action ListBucket sur le compartiment Amazon S3 example_bucket.

{
  "Version": "2012-10-17",
  "Statement": [
      {
          "Effect": "Allow",
          "Action": "s3:ListBucket",
          "Resource": "arn:aws:s3:::example_bucket"
      }
  ]
}

Pour créer ce rôle Test-UserAccess-Role, vous devez d'abord enregistrer la précédente politique de confiance avec le nom trustpolicyforacct123456789012.json dans le dossier policies de votre disque local C:. Enregistrez ensuite la politique d'autorisation précédente en tant que politique gérée par le client dans votre Compte AWS nomPolicyForRole. Vous pouvez ensuite utiliser les commandes suivantes pour créer le rôle et attacher la politique gérée.

# Create the role and attach the trust policy file that allows users in the specified account to assume the role.
$ aws iam create-role --role-name Test-UserAccess-Role --assume-role-policy-document file://C:\policies\trustpolicyforacct123456789012.json

# Attach the permissions policy (in this example a managed policy) to the role to specify what it is allowed to do.
$ aws iam attach-role-policy --role-name Test-UserAccess-Role --policy-arn arn:aws:iam::123456789012:policy/PolicyForRole
Important

N'oubliez pas que ceci ne représente que la première moitié de la configuration requise. Vous devez également accorder à des utilisateurs individuels du compte approuvé les autorisations permettant de changer de rôle. Pour plus d'informations sur cette étape, consultez Octroi d’autorisations à un utilisateur pour endosser un rôle.

Une fois que vous avez créé le rôle et que vous lui avez accordé les autorisations nécessaires pour effectuer des AWS tâches ou accéder aux AWS ressources, tous les utilisateurs du 123456789012 compte peuvent assumer le rôle. Pour de plus amples informations, veuillez consulter Basculer vers un rôle IAM (AWS CLI).

Création d'un rôle IAM (AWS API)

La création d'un rôle à partir de l' AWS API implique plusieurs étapes. Lorsque vous utilisez la console pour créer un rôle, la plupart des étapes sont exécutées automatiquement pour vous, mais avec l'API vous devez exécuter explicitement chaque étape vous-même. Vous devez créer le rôle et lui attribuer une politique d'autorisations. Vous pouvez également définir la limite d'autorisations pour votre rôle.

Pour créer un rôle dans le code (AWS API)

  1. Créez un rôle : CreateRole

    Vous pouvez spécifier un emplacement de fichier pour la politique d'approbation du rôle.

  2. Associez une politique d'autorisation gérée au rôle : AttachRolePolicy

    or

    Créez une politique d'autorisation intégrée pour le rôle : PutRolePolicy

    Important

    N'oubliez pas que ceci ne représente que la première moitié de la configuration requise. Vous devez également accorder à des utilisateurs individuels du compte approuvé les autorisations permettant de changer de rôle. Pour plus d'informations sur cette étape, consultez Octroi d’autorisations à un utilisateur pour endosser un rôle.

  3. (Facultatif) Ajoutez des attributs personnalisés à l'utilisateur en attachant des balises : TagRole

    Pour de plus amples informations, veuillez consulter Gestion des balises sur les utilisateurs IAM (AWS CLI ou API AWS).

  4. (Facultatif) Définissez la limite des autorisations pour le rôle : PutRolePermissionsBoundary

    Une limite d'autorisations contrôle les autorisations maximum dont un rôle peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.

Une fois que vous avez créé le rôle et que vous lui avez accordé les autorisations nécessaires pour effectuer des AWS tâches ou accéder aux AWS ressources, vous devez accorder des autorisations aux utilisateurs du compte pour leur permettre d'assumer le rôle. Pour plus d'informations sur l'endossement d'un rôle, consultez Basculer vers un rôle IAM (API AWS).

Création d'un rôle IAM (AWS CloudFormation)

Pour plus d'informations sur la création d'un rôle IAM dans AWS CloudFormation, consultez la référence sur les ressources et les propriétés et les exemples dans le guide de l'AWS CloudFormation utilisateur.

Pour plus d'informations sur les modèles IAM dans AWS CloudFormation, consultez les extraits de AWS Identity and Access Management modèles dans le Guide de l'AWS CloudFormation utilisateur.