IAMutilisateurs - AWS Gestion de l’identité et des accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMutilisateurs

Important

IAMles meilleures pratiques recommandent d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à l' AWS aide d'informations d'identification temporaires plutôt que d'utiliser des IAM utilisateurs dotés d'informations d'identification à long terme. Nous vous recommandons de n'utiliser des IAM utilisateurs que pour des cas d'utilisation spécifiques non pris en charge par les utilisateurs fédérés.

Un utilisateur AWS Identity and Access Management (IAM) est une entité que vous créez dans AWS. L'IAMutilisateur représente l'utilisateur humain ou la charge de travail avec IAM laquelle il interagit AWS. Un utilisateur se AWS compose d'un nom et d'informations d'identification.

Un IAM utilisateur doté d'autorisations d'administrateur n'est pas la même chose que le Utilisateur racine d'un compte AWS. Pour de plus amples informations sur l'utilisateur racine, veuillez consulter Utilisateur racine d'un compte AWS.

Comment AWS identifie un IAM utilisateur

Lorsque vous créez un IAM utilisateur, IAM créez les méthodes suivantes pour identifier cet utilisateur :

  • Un « nom convivial » pour l'IAMutilisateur, qui est le nom que vous avez spécifié lors de la création de l'IAMutilisateur, tel que Richard ouAnaya. Ce sont les noms que vous voyez dans AWS Management Console.

  • Un nom de ressource Amazon (ARN) pour l'IAMutilisateur. Vous utilisez le ARN lorsque vous avez besoin d'identifier de manière unique l'IAMutilisateur dans l'ensemble AWS. Par exemple, vous pouvez utiliser an ARN pour spécifier l'IAMutilisateur en tant que a Principal dans une IAM politique pour un compartiment Amazon S3. ARNPour un IAM utilisateur, cela peut ressembler à ce qui suit :

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Identifiant unique pour l'IAMutilisateur. Cet identifiant est renvoyé uniquement lorsque vous utilisez API les outils pour Windows PowerShell ou AWS CLI pour créer l'IAMutilisateur ; il ne figure pas dans la console.

Pour plus d'informations sur ces identifiants, consultez Identifiants IAM.

IAMutilisateurs et informations d'identification

Vous pouvez y accéder AWS de différentes manières en fonction des informations IAM d'identification de l'utilisateur :

  • Mot de passe de console : mot de passe que l'IAMutilisateur peut saisir pour se connecter à des sessions interactives telles que le AWS Management Console. La désactivation du mot de passe (accès à la console) d'un IAM utilisateur l'empêche de se connecter à l' AWS Management Console aide de ses informations de connexion. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé.

  • Clés d'accès : utilisées pour passer des appels programmatiques à AWS. Cependant, il existe des alternatives plus sûres à envisager avant de créer des clés d'accès pour IAM les utilisateurs. Pour plus d'informations, consultez Considérations et alternatives relatives aux clés d'accès à long terme dans Références générales AWS. Si l'IAMutilisateur dispose de clés d'accès actives, elles continuent de fonctionner et autorisent l' AWS CLI accès via Outils pour Windows PowerShell ou l'Application AWS Console Mobile. AWS API

  • SSHclés à utiliser avec CodeCommit : clé SSH publique au SSH format ouvert qui peut être utilisée pour s'authentifier auprès CodeCommit de.

  • Certificats de serveur :SSL/TLScertificats que vous pouvez utiliser pour vous authentifier auprès de certains AWS services. Nous vous recommandons d'utiliser AWS Certificate Manager (ACM) pour provisionner, gérer et déployer vos certificats de serveur. À utiliser IAM uniquement lorsque vous devez prendre en charge HTTPS les connexions dans une région qui n'est pas prise en charge parACM. Pour savoir quelles régions sont prises en chargeACM, consultez la section AWS Certificate Manager Points de terminaison et quotas dans le Références générales AWS.

Vous pouvez choisir les informations d'identification qui conviennent à votre IAM utilisateur. Lorsque vous utilisez le AWS Management Console pour créer un IAM utilisateur, vous devez choisir d'inclure au moins un mot de passe de console ou des clés d'accès. Par défaut, un nouvel IAM utilisateur créé à l'aide du AWS CLI ou ne AWS API possède aucune information d'identification. Vous devez créer le type d'informations d'identification pour un IAM utilisateur en fonction de votre cas d'utilisation.

Vous disposez des options suivantes pour administrer les mots de passe, les clés d'accès et les dispositifs d'authentification multifactorielle (MFA) :

IAMutilisateurs et autorisations

Par défaut, un nouvel IAM utilisateur n'est pas autorisé à faire quoi que ce soit. Ils ne sont pas autorisés à effectuer des AWS opérations ou à accéder à des AWS ressources. L'avantage d'avoir des IAM utilisateurs individuels est que vous pouvez attribuer des autorisations individuellement à chaque utilisateur. Vous pouvez attribuer des autorisations administratives à quelques utilisateurs, qui pourront ensuite administrer vos AWS ressources et même créer et gérer d'autres IAM utilisateurs. Dans la plupart des cas, toutefois, vous souhaitez limiter les autorisations d'un utilisateur aux seules tâches (AWS actions ou opérations) et aux ressources nécessaires à la tâche.

Prenons l'exemple d'un utilisateur nommé Diego. Lorsque vous créez l'IAMutilisateurDiego, vous lui créez un mot de passe et vous lui associez des autorisations qui lui permettent de lancer une EC2 instance Amazon spécifique et de lire (GET) les informations d'une table d'une RDS base de données Amazon. Pour les procédures relatives à la création des utilisateurs et à l'octroi d'informations d'identification initiales, consultez Créez un IAM utilisateur dans votre Compte AWS. Pour les procédures relatives à la modification des autorisations pour les utilisateurs existants, consultez Modifier les autorisations d'un IAM utilisateur. Pour les procédures relatives à la modification des clés d'accès et du mot de passe de l'utilisateur, consultez Gérez les mots de passe des utilisateurs dans AWS et Gérer les clés d'accès pour IAM les utilisateurs.

Vous pouvez également ajouter une limite d'autorisations à vos IAM utilisateurs. Une limite d'autorisations est une fonctionnalité avancée qui vous permet d'utiliser des politiques AWS gérées pour limiter le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un IAM utilisateur ou à un rôle. Pour plus d'informations sur les types de politiques et les utilisations, veuillez consulter Politiques et autorisations dans AWS Identity and Access Management.

IAMutilisateurs et comptes

Chaque IAM utilisateur est associé à un seul et unique utilisateur Compte AWS. Les IAM utilisateurs étant définis au sein de votre Compte AWS entreprise, ils n'ont pas besoin de disposer d'un mode de paiement enregistré auprès de AWS. Toute AWS activité effectuée par IAM les utilisateurs sur votre compte est facturée sur votre compte.

Le nombre et la taille des IAM ressources d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter IAMet AWS STS quotas.

IAMutilisateurs en tant que comptes de service

Un IAM utilisateur est une ressource associée à IAM des informations d'identification et à des autorisations. Un IAM utilisateur peut représenter une personne ou une application qui utilise ses informations d'identification pour effectuer des AWS demandes. En général, ceci est appelé un compte de service. Si vous choisissez d'utiliser les informations d'identification à long terme d'un IAM utilisateur dans votre application, n'intégrez pas les clés d'accès directement dans le code de votre application. Le AWS SDKs et le vous AWS Command Line Interface permettent de placer les clés d'accès dans des emplacements connus afin de ne pas avoir à les conserver dans le code. Pour plus d'informations, voir Gérer correctement les clés IAM d'accès utilisateur dans le Références générales AWS. Il est également recommandé d'utiliser des informations d'identification de sécurité temporaires (IAMrôles) au lieu de clés d'accès à long terme.