Utilisateurs IAM - AWS Identity and Access Management

Utilisateurs IAM

Un utilisateur AWS (IAM) est une entité que vous créez dans AWS Identity and Access Management pour représenter la personne ou le service qui l'utilise pour interagir avec AWS. Dans AWS, un utilisateur se compose d'un nom et d'informations d'identification.

Un utilisateur IAM doté d'autorisations d'administrateur est différent de l'utilisateur racine Compte AWS. Pour de plus amples informations sur l'utilisateur racine, veuillez consulter AWSUtilisateur racine d'un compte.

Important

Si vous avez trouvé cette page parce que vous recherchez des informations sur le Product Advertising API pour vendre des produits Amazon sur votre site web, veuillez consulter la documentation du Product Advertising API version 5.0.

Comment AWS identifie un utilisateur IAM

Lorsque vous créez un utilisateur, IAM implémente les éléments suivants pour l'identifier :

  • Un « nom convivial » pour l'utilisateur. Il s'agit du nom que vous avez spécifié lors de la création de l'utilisateur, par exemple Richard ou Anaya. Ce sont les noms que vous voyez dans AWS Management Console.

  • Un Amazon Resource Name (ARN) pour l'utilisateur. Vous utilisez l'ARN pour identifier l'utilisateur de manière unique dans l'ensemble de l’interface AWS. Par exemple, vous pouvez utiliser un ARN pour spécifier l'utilisateur en tant que Principal dans la politique IAM d'un compartiment Amazon S3. L'ARN d'un utilisateur IAM peut se présenter comme suit :

    arn:aws:iam::account-ID-without-hyphens:user/Richard

  • Un identifiant unique pour l'utilisateur. Cet ID est renvoyé uniquement lors de la création de l'utilisateur à l'aide de l'API, des Tools for Windows PowerShell ou de la AWS CLI ; il n'est pas visible dans la console.

Pour plus d'informations sur ces identifiants, consultez Identifiants IAM.

Utilisateurs et informations d'identification

Vous pouvez accéder à AWS de différentes façons selon les informations d'identification de l'utilisateur :

  • Mot de passe de la console : un mot de passe que l'utilisateur peut entrer pour se connecter à des sessions interactives telles qu'AWS Management Console. La désactivation du mot de passe d'un utilisateur (accès à la console) l'empêche de se connecter à l'AWS Management Console à l'aide de son nom d'utilisateur et de son mot de passe. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé.

  • Clés d'accès : combinaison d'un ID de clé d'accès et d'une clé d'accès secrète. Vous pouvez en attribuer deux à la fois à un utilisateur. Elles permettent d'effectuer des appels par programmation vers AWS. Si l'utilisateur a des clés d'accès actives, elles continuent de fonctionner et autorisent l'accès via la AWS CLI, Tools for Windows PowerShell, l'API AWS ou l'AWS Console Mobile Application.

  • Clés SSH à utiliser avec CodeCommit : une clé publique SSH au format OpenSSH qui peut être utilisée pour vous authentifier auprès de CodeCommit.

  • Certificats de serveur : certificats SSL/TLS que vous pouvez utiliser pour vous authentifier auprès de certains services AWS. Nous vous recommandons d'utiliser AWS Certificate Manager (ACM) pour mettre en service, gérer et déployer vos certificats de serveur. Utilisez IAM uniquement lorsque vous devez prendre en charge des connexions HTTPS dans une région non prise en charge par ACM. Pour savoir quelles régions prennent en charge ACM, consultez Points de terminaison et quotas AWS Certificate Manager dans la Référence générale AWS.

Vous pouvez choisir les informations d'identification qui conviennent à votre utilisateur IAM. Lorsque vous utilisez la AWS Management Console pour créer un utilisateur, vous devez au moins choisir d'inclure un mot de passe ou des clés d'accès à la console. Par défaut, un nouvel utilisateur IAM créé à l'aide de la AWS CLI ou de l'API AWS n'a aucune information d'identification d'aucune sorte. Vous devez créer le type d'informations d'identification d'un utilisateur IAM en fonction des besoins de votre utilisateur.

Il est possible d'exploiter les options suivantes pour administrer les mots de passe, clés d'accès et dispositifs MFA :

  • Gérer les mots de passe pour vos utilisateurs IAM. Créez et modifiez les mots de passe permettant d'accéder à AWS Management Console. Définissez une politique de mot de passe afin d'appliquer une complexité minimale pour les mots de passe. Autorisez les utilisateurs à modifier leurs propres mots de passe.

  • Gérer les clés d'accès pour vos utilisateurs IAM. Créez et mettez à jour les clés d'accès afin de permettre l'accès par programmation aux ressources de votre compte.

  • Vous pouvez améliorer la sécurité des informations d'identification de l'utilisateur en activant l'authentification multifacteur (MFA) pour celui-ci. Avec MFA, les utilisateurs doivent fournir deux formes d'identification : Tout d'abord, ils fournissent les informations d'identification faisant partie de leur identité utilisateur (un mot de passe ou une clé d'accès). En outre, ils fournissent un code numérique temporaire généré sur un matériel ou par une application sur un smartphone ou une tablette.

  • Recherche de mots de passe et clés d'accès inutilisés. Toute personne qui dispose d'un mot de passe ou de clés d'accès pour votre compte ou un utilisateur IAM de votre compte peut accéder à vos ressources AWS. En matière de sécurité, les bonnes pratiques consistent à supprimer les mots de passe et les clés d'accès dont les utilisateurs n'ont plus besoin.

  • Téléchargez un rapport d'informations d'identification pour votre compte. Vous pouvez générer et télécharger un rapport sur les informations d'identification qui répertorie tous les utilisateurs IAM de votre compte et le statut de leurs diverses informations d'identification, notamment leurs mots de passe, clés d'accès et dispositifs MFA. Pour les mots de passe et les clés d'accès, le rapport d'informations d'identification indique leur dernière date d'utilisation.

Utilisateurs et autorisations

Par défaut, un nouvel utilisateur IAM ne dispose d'aucune autorisation. L'utilisateur n'est pas autorisé à exécuter d'opérations AWS ou à accéder aux ressources AWS. Lorsque vous configurez des utilisateurs IAM individuels, il est également possible de leur affecter des autorisations individuellement. Vous pouvez ainsi affecter des autorisations administratives à quelques utilisateurs qui peuvent ensuite administrer vos ressources AWS et même créer et gérer d'autres utilisateurs IAM. Dans la plupart des cas, il est toutefois préférable de limiter les autorisations d'un utilisateur aux seules tâches (actions ou opérations AWS) et ressources nécessaires au travail.

Prenons l'exemple d'un utilisateur nommé Diego. Lorsque vous créez l'utilisateur IAM Diego, vous pouvez créer un mot de passe pour cet utilisateur. Vous pouvez également attacher à l'utilisateur IAM des autorisations lui permettant de lancer une instance Amazon EC2 spécifique et de lire des informations (GET) à partir de la table d'une base de données Amazon RDS. Pour les procédures relatives à la création des utilisateurs et à l'octroi d'informations d'identification initiales, consultez Création d'un utilisateur IAM dans votre compte AWS. Pour les procédures relatives à la modification des autorisations pour les utilisateurs existants, consultez Modification des autorisations pour un utilisateur IAM. Pour les procédures relatives à la modification des clés d'accès et du mot de passe de l'utilisateur, consultez Gestion des mots de passe des utilisateurs dans AWS et Gestion des clés d'accès pour les utilisateurs IAM.

Vous pouvez également ajouter une limite d'autorisations à vos utilisateurs. Une limite d'autorisations est une fonction avancée qui vous permet d'utiliser des politiques gérées AWS pour limiter les autorisations maximales qu'une politique basée sur les identités peut accorder à un utilisateur ou à un rôle. Pour plus d'informations sur les types de politiques et les utilisations, consultez Politiques et autorisations dans IAM.

Utilisateurs et comptes

Chaque utilisateur IAM est associé à un seul et même compte AWS. Dans la mesure où les utilisateurs sont définis au sein de votre compte AWS, il n'est pas nécessaire d'enregistrer un moyen de paiement pour ceux-ci dans AWS. Toute activité AWS effectuée par les utilisateurs de votre compte est facturée à votre compte.

Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour plus d’informations, veuillez consulter IAM et quotas AWS STS, exigences relatives aux noms et limites de caractères.

Utilisateurs en tant que comptes de service

Un utilisateur IAM est une ressource dans IAM à laquelle des informations d'identification et ses autorisations sont associées. Un utilisateur IAM peut représenter une personne ou une application qui utilise ses informations d'identification pour exécuter des demandes AWS. En général, ceci est appelé un compte de service. Si vous choisissez d'utiliser les informations d'identification à long terme d'un utilisateur IAM dans votre application, n'incorporez pas directement les clés d'accès dans le code de votre application. Les kits SDK AWS et AWS Command Line Interface vous autorisent à placer les clés d'accès à des emplacements connus afin que vous n'ayez pas besoin de les garder dans le code. Pour de plus amples informations, veuillez consulter Gestion correcte des clés d'accès utilisateur IAM dans la Référence générale AWS. En tant que bonne pratique, vous pouvez également utiliser des informations d'identification de sécurité temporaires (rôles IAM) au lieu des clés d'accès à long terme.