Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisateurs IAM
Important
Les meilleures pratiques IAM recommandent de demander aux utilisateurs humains d'utiliser la fédération avec un fournisseur d'identité pour accéder à l'aide d'informations d'identification temporaires plutôt que d' AWS utiliser des utilisateurs IAM dotés d'informations d'identification à long terme.
Un utilisateur AWS Identity and Access Management (IAM) est une entité que vous créez dans AWS. L'utilisateur IAM représente l'utilisateur humain ou la charge de travail qui utilise l'utilisateur IAM pour interagir avec lui. AWS Un utilisateur se AWS compose d'un nom et d'informations d'identification.
Un utilisateur IAM doté d'autorisations d'administrateur n'est pas un Utilisateur racine d'un compte AWS. Pour de plus amples informations sur l'utilisateur racine, veuillez consulter Utilisateur racine d'un compte AWS.
Comment AWS identifier un utilisateur IAM
Lorsque vous créez un utilisateur IAM, IAM implémente les éléments suivants pour l'identifier :
-
Un « nom convivial » pour l'utilisateur IAM. Il s'agit du nom que vous avez spécifié lors de la création de l'utilisateur IAM, par exemple
RichardouAnaya. Ce sont les noms que vous voyez dans AWS Management Console. -
Un Amazon Resource Name (ARN) pour l'utilisateur IAM. Vous utilisez l'ARN lorsque vous devez identifier de manière unique l'utilisateur IAM dans l' AWS ensemble. Par exemple, vous pouvez utiliser un ARN pour spécifier l'utilisateur IAM en tant que
Principaldans la politique IAM d'un compartiment Amazon S3. L'ARN d'un utilisateur IAM peut se présenter comme suit :arn:aws:iam::account-ID-without-hyphens:user/Richard -
Un identifiant unique pour l'utilisateur IAM. Cet ID est renvoyé uniquement lorsque vous utilisez l'API, Tools for Windows PowerShell ou AWS CLI pour créer l'utilisateur IAM ; il ne figure pas dans la console.
Pour plus d'informations sur ces identifiants, consultez Identifiants IAM.
Utilisateurs IAM et informations d'identification
Vous pouvez y accéder de différentes manières AWS en fonction des informations d'identification de l'utilisateur IAM :
-
Mot de passe de la console : un mot de passe que l'utilisateur IAM peut entrer pour se connecter à des sessions interactives telles que l' AWS Management Console. La désactivation du mot de passe (accès à la console) pour un utilisateur IAM l'empêche de se connecter à l' AWS Management Console aide de ses informations d'identification. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé.
-
Clés d'accès : utilisées pour passer des appels programmatiques à AWS. Toutefois, il existe des alternatives plus sécurisées à envisager avant de créer des clés d'accès pour les utilisateurs IAM. Pour plus d'informations, consultez Considérations et alternatives relatives aux clés d'accès à long terme dans Références générales AWS. Si l'utilisateur IAM dispose de clés d'accès actives, celles-ci continuent de fonctionner et autorisent l'accès via les AWS CLI Outils pour Windows PowerShell, AWS l'API ou l'Application AWS Console Mobile.
-
Clés SSH à utiliser avec CodeCommit : clé publique SSH au format OpenSSH qui peut être utilisée pour s'authentifier auprès de. CodeCommit
-
Certificats de serveur : certificats SSL/TLS que vous pouvez utiliser pour vous authentifier auprès de certains services. AWS Nous vous recommandons d'utiliser AWS Certificate Manager (ACM) pour provisionner, gérer et déployer vos certificats de serveur. Utilisez IAM uniquement lorsque vous devez prendre en charge des connexions HTTPS dans une région non prise en charge par ACM. Pour savoir quelles régions prennent en charge ACM, consultez Points de terminaison et quotas AWS Certificate Manager dans Références générales AWS.
Vous pouvez choisir les informations d'identification qui conviennent à votre utilisateur IAM. Lorsque vous utilisez la AWS Management Console pour créer un utilisateur IAM, vous devez au moins choisir d'inclure un mot de passe ou des clés d'accès à la console. Par défaut, un tout nouvel utilisateur IAM créé à l'aide de l' AWS API AWS CLI or ne possède aucune information d'identification. Vous devez créer le type d'informations d'identification pour un utilisateur IAM en fonction de votre cas d'utilisation.
Vous disposez des options suivantes pour administrer les mots de passe, les clés d'accès et les dispositifs d'authentification multifactorielle (MFA) :
-
Gérer les mots de passe pour vos utilisateurs IAM. Créez et modifiez les mots de passe permettant d'accéder à AWS Management Console. Définissez une politique de mot de passe afin d'appliquer une complexité minimale pour les mots de passe. Autorisez les utilisateurs à modifier leurs propres mots de passe.
-
Gérer les clés d'accès pour vos utilisateurs IAM. Créez et mettez à jour les clés d'accès afin de permettre l'accès par programmation aux ressources de votre compte.
-
Activez l'authentification multifactorielle (MFA) pour l'utilisateur IAM. Selon les bonnes pratiques, nous vous recommandons d'exiger une authentification multifactorielle pour tous les utilisateurs IAM de votre compte. Avec MFA, les utilisateurs doivent fournir deux formes d'identification : tout d'abord, ils fournissent les informations d'identification faisant partie de leur identité utilisateur (un mot de passe ou une clé d'accès). En outre, ils fournissent un code numérique temporaire généré sur un matériel ou par une application sur un smartphone ou une tablette.
-
Recherche de mots de passe et clés d'accès inutilisés. Toute personne disposant d'un mot de passe ou de clés d'accès pour votre compte ou d'un utilisateur IAM de votre compte a accès à vos AWS ressources. En matière de sécurité, les bonnes pratiques consistent à supprimer les mots de passe et les clés d'accès dont les utilisateurs n'ont plus besoin.
-
Téléchargez un rapport d'informations d'identification pour votre compte. Vous pouvez générer et télécharger un rapport sur les informations d'identification qui répertorie tous les utilisateurs IAM de votre compte et le statut de leurs diverses informations d'identification, notamment leurs mots de passe, clés d'accès et dispositifs MFA. Pour les mots de passe et les clés d'accès, le rapport d'informations d'identification indique leur dernière date d'utilisation.
Rôles et autorisations IAM
Par défaut, un nouvel utilisateur IAM ne dispose d'aucune autorisation pour faire quoi que ce soit. Ils ne sont pas autorisés à effectuer des AWS opérations ou à accéder à des AWS ressources. Lorsque vous configurez des utilisateurs IAM individuels, il est également possible de leur affecter des autorisations individuellement. Vous pouvez attribuer des autorisations administratives à quelques utilisateurs, qui pourront ensuite administrer vos AWS ressources et même créer et gérer d'autres utilisateurs IAM. Dans la plupart des cas, toutefois, vous souhaitez limiter les autorisations d'un utilisateur aux seules tâches (AWS actions ou opérations) et aux ressources nécessaires à la tâche.
Prenons l'exemple d'un utilisateur nommé Diego. Lorsque vous créez l'utilisateur IAM Diego, vous lui créez un mot de passe et lui attachez des autorisations qui lui permettent de lancer une instance Amazon EC2 spécifique et de lire (GET) les informations d'une table dans une base de données Amazon RDS. Pour les procédures relatives à la création des utilisateurs et à l'octroi d'informations d'identification initiales, consultez Création d'un utilisateur IAM dans votre Compte AWS. Pour les procédures relatives à la modification des autorisations pour les utilisateurs existants, consultez Modification des autorisations pour un utilisateur IAM. Pour les procédures relatives à la modification des clés d'accès et du mot de passe de l'utilisateur, consultez Gestion des mots de passe utilisateur dans AWS et Gestion des clés d'accès pour les utilisateurs IAM.
Vous pouvez également ajouter une limite des autorisations à vos utilisateurs IAM. Une limite d'autorisations est une fonctionnalité avancée qui vous permet d'utiliser des politiques AWS gérées pour limiter le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un utilisateur ou à un rôle IAM. Pour plus d'informations sur les types de politiques et les utilisations, veuillez consulter Politiques et autorisations dans IAM.
Utilisateurs et comptes IAM
Chaque utilisateur IAM est associé à un seul et même Compte AWS. Les utilisateurs IAM étant définis au sein de votre entreprise Compte AWS, ils n'ont pas besoin de disposer d'un mode de paiement enregistré auprès AWS de. Toute AWS activité effectuée par les utilisateurs IAM sur votre compte est facturée sur votre compte.
Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour plus d’informations, consultez IAMet AWS STS quotas.
Utilisateurs IAM en tant que comptes de service
Un utilisateur IAM est une ressource dans IAM à laquelle des informations d'identification et ses autorisations sont associées. Un utilisateur IAM peut représenter une personne ou une application qui utilise ses informations d'identification pour exécuter des demandes AWS . En général, ceci est appelé un compte de service. Si vous choisissez d'utiliser les informations d'identification à long terme d'un utilisateur IAM dans votre application, n'incorporez pas directement les clés d'accès dans le code de votre application. Les AWS SDK et le vous AWS Command Line Interface permettent de placer les clés d'accès dans des emplacements connus afin de ne pas avoir à les conserver dans le code. Pour de plus amples informations, consultez Gestion correcte des clés d'accès utilisateur IAM (français non garanti) dans Références générales AWS. En tant que bonne pratique, vous pouvez également utiliser des informations d'identification de sécurité temporaires (rôles IAM) au lieu des clés d'accès à long terme.
