Modifier les autorisations d'un IAM utilisateur - AWS Identity and Access Management
Afficher l'accès des utilisateursGénérer une politique basée sur l'activité d'accès d'un utilisateurAjout d'autorisations à un utilisateur (console)Modification des autorisations pour un utilisateur (console)Pour supprimer une politique d'autorisation d'un utilisateur (console)Pour supprimer la limite d'autorisations d'un utilisateur (console)Ajouter et supprimer les autorisations d'un utilisateur (AWS CLI ou AWS API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modifier les autorisations d'un IAM utilisateur

Vous pouvez modifier les autorisations d'un IAM utilisateur de votre site en Compte AWS modifiant son appartenance à un groupe, en copiant les autorisations d'un utilisateur existant, en attachant des politiques directement à un utilisateur ou en définissant une limite d'autorisation. Une limite d'autorisations contrôle les autorisations maximum dont un utilisateur peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.

Pour plus d'informations sur les autorisations requises pour modifier les autorisations d'un utilisateur, consultez Autorisations requises pour accéder aux autres ressources IAM.

Afficher l'accès des utilisateurs

Avant de modifier les autorisations d'un utilisateur, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez Affiner les autorisations en AWS utilisant les dernières informations consultées.

Générer une politique basée sur l'activité d'accès d'un utilisateur

Vous pouvez parfois accorder des autorisations à une IAM entité (utilisateur ou rôle) au-delà de ce dont elle a besoin. Pour vous aider à affiner les autorisations que vous accordez, vous pouvez générer une IAM politique basée sur l'activité d'accès d'une entité. IAMAccess Analyzer examine vos AWS CloudTrail journaux et génère un modèle de politique contenant les autorisations qui ont été utilisées par l'entité dans la plage de dates que vous avez spécifiée. Vous pouvez utiliser le modèle pour créer une politique gérée avec des autorisations détaillées, puis l'associer à l'IAMentité. Ainsi, vous accordez uniquement les autorisations dont l'utilisateur ou le rôle a besoin pour interagir avec les AWS ressources correspondant à votre cas d'utilisation spécifique. Pour en savoir plus, consultez la section Génération de politiques IAM Access Analyzer.

Ajout d'autorisations à un utilisateur (console)

IAMpropose trois méthodes pour ajouter des politiques d'autorisation à un utilisateur :

  • Ajouter l'IAMutilisateur à un IAM groupe : faites de l'utilisateur un membre d'un groupe. Les politiques du groupe sont attachées à l'utilisateur.

  • Copier les autorisations d'un IAM utilisateur existant : copiez toutes les adhésions aux groupes, les politiques gérées associées, les politiques intégrées et toutes les limites d'autorisations existantes de l'utilisateur source.

  • Attacher des politiques directement à l'IAMutilisateur : attachez une politique gérée directement à l'utilisateur. Pour faciliter la gestion des autorisations, associez vos politiques à un groupe, puis IAM associez les utilisateurs aux groupes appropriés.

Important

Si l'utilisateur dispose d'une limite d'autorisations, vous ne pouvez pas lui ajouter d'autorisations supérieures à celles autorisées par la limite d'autorisations.

Pour ajouter des autorisations en ajoutant l'IAMutilisateur à un groupe

L'ajout IAM d'un utilisateur à un IAM groupe met immédiatement à jour les autorisations de l'utilisateur avec les autorisations définies pour le groupe.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisateurs, choisissez le nom de l'IAMutilisateur.

  5. Sélectionnez l'onglet Groupes pour afficher la liste des groupes qui incluent l'utilisateur actuel.

  6. Choisissez Ajouter un utilisateur aux groupes.

  7. Activez la case à cocher pour chaque groupe que l'utilisateur doit rejoindre. La liste affiche le nom de chaque groupe et les politiques que l'utilisateur reçoit s'il devient membre de ce groupe.

  8. (Facultatif) Vous pouvez choisir Créer un groupe pour définir un nouveau groupe. Cela est utile si vous souhaitez ajouter l'utilisateur à un groupe auquel sont associées des politiques différentes de celles des groupes existants :

    1. Dans le nouvel onglet, pour Nom du groupe d'utilisateurs, saisissez le nom de votre nouveau groupe.

      Note

      Le nombre et la taille des IAM ressources d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter IAMet AWS STS quotas. Les noms de groupe peuvent combiner jusqu'à 128 lettres, chiffres et caractères suivants : plus (+), égal (=), virgule (,), point (.), arobase (@) et tiret (-). Les noms doivent être uniques dans un compte. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux groupes nommés TESTGROUPet testgroup.

    2. Activez une ou plusieurs cases à cocher pour les politiques gérées que vous souhaitez attacher au groupe. Vous pouvez également créer une politique gérée en choisissant Créer une politique. Le cas échéant, revenez dans la fenêtre ou l'onglet du navigateur une fois la nouvelle politique créée. Choisissez Refresh (Actualiser), puis choisissez la nouvelle politique à attacher à votre groupe. Pour de plus amples informations, veuillez consulter Définissez des IAM autorisations personnalisées avec des politiques gérées par le client.

    3. Choisissez Créer un groupe d'utilisateurs.

    4. Revenez à l'onglet initial, actualisez votre liste de groupes. Puis cochez la case correspondant à votre nouveau groupe.

  9. Choisissez Ajouter un utilisateur au (x) groupe (s).

La console affiche un message d'état vous informant que l'utilisateur a été ajouté aux groupes que vous avez spécifiés.

Pour ajouter des autorisations en copiant depuis un autre IAM utilisateur

Si vous choisissez d'ajouter des autorisations à un IAM utilisateur en copiant les autorisations, IAM copie toutes les adhésions à des groupes, les politiques gérées associées, les politiques intégrées et toutes les limites d'autorisations existantes de l'utilisateur spécifié et les applique immédiatement à l'utilisateur actuellement sélectionné.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisateurs, choisissez le nom de l'IAMutilisateur.

  5. Dans l'onglet Autorisations, choisissez et sélectionnez Ajouter des autorisations.

  6. Sur la page Ajouter des autorisations, choisissez Copier les autorisations. La liste affiche IAM les utilisateurs disponibles ainsi que leur appartenance à un groupe et les politiques associées.

  7. Sélectionnez le bouton radio en regard de l'utilisateur dont vous voulez copier les autorisations.

  8. Choisissez Suivant pour afficher la liste des modifications apportées à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

La console affiche un message d'état vous informant que les autorisations ont été copiées depuis l'IAMutilisateur que vous avez spécifié.

Pour ajouter des autorisations en attachant des politiques directement à l'IAMutilisateur

Vous pouvez associer une politique gérée directement à un IAM utilisateur. Les autorisations mises à jour sont appliquées immédiatement.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisateurs, choisissez le nom de l'IAMutilisateur.

  5. Dans l'onglet Autorisations, choisissez et sélectionnez Ajouter des autorisations.

  6. Sur la page Ajouter des autorisations, choisissez Joindre directement les politiques. La liste des politiques d'autorisations affiche les politiques disponibles ainsi que leurs types de politiques et les entités associées.

  7. Sélectionnez le bouton radio à côté du nom de la politique que vous souhaitez joindre.

  8. Choisissez Suivant pour afficher la liste des modifications apportées à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

La console affiche un message d'état vous informant que la politique a été ajoutée à l'IAMutilisateur que vous avez spécifié.

Pour définir la limite des autorisations pour un IAM utilisateur

Une limite d'autorisations est une fonctionnalité avancée de gestion des AWS autorisations utilisée pour définir le maximum d'autorisations qu'un IAM utilisateur peut avoir. La définition d'une limite d'autorisations restreint immédiatement les autorisations de IAM l'utilisateur à cette limite, quelles que soient les autres autorisations accordées.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisateurs, choisissez le nom de l'IAMutilisateur dont vous souhaitez modifier les limites d'autorisations.

  5. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Limite d'autorisations, puis choisissez Définir une limite d'autorisations.

  6. Sur la page Définir les limites des autorisations, sous Politiques d'autorisations, sélectionnez la politique que vous souhaitez utiliser pour la limite des autorisations.

  7. Choisissez Set boundary (Définir une limite).

La console affiche un message d'état vous informant que la limite des autorisations a été ajoutée.

Modification des autorisations pour un utilisateur (console)

IAMvous permet de modifier les autorisations associées à un utilisateur de la manière suivante :

  • Edit a permissions policy (Modifier une politique d'autorisations) : modifiez la politique en ligne d'un utilisateur, la politique en ligne du groupe de l'utilisateur ou une politique gérée attachée directement à l'utilisateur ou à partir d'un groupe. Si l'utilisateur dispose d'une limite d'autorisations, alors vous ne pouvez pas fournir plus d'autorisations que le permet la politique utilisée comme limite d'autorisations de l'utilisateur.

  • Changing the permissions boundary (Modification de la limite d'autorisations) : modifiez la politique utilisée comme limite d'autorisations pour l'utilisateur. Cette action peut développer ou limiter les autorisations maximum dont dispose un utilisateur.

Modification d'une politique d'autorisations attachée à un utilisateur

La modification des autorisations met immédiatement à jour l'accès de l'utilisateur.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisateurs, choisissez le nom de l'IAMutilisateur dont vous souhaitez modifier les limites d'autorisations.

  5. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Limite des autorisations.

  6. Choisissez le nom de la politique que vous souhaitez modifier pour en afficher les détails. Choisissez l'onglet Entités jointes pour afficher les autres entités (IAMutilisateurs, groupes et rôles) susceptibles d'être affectées si vous modifiez la politique.

  7. Choisissez l'onglet Autorisations et examinez les autorisations accordées par la politique. Pour modifier les autorisations, choisissez Modifier.

  8. Modifiez la politique et résolvez les recommandations sur la validation des politiques. Pour de plus amples informations, veuillez consulter Modifier les IAM politiques.

  9. Choisissez Suivant, consultez le résumé de la politique, puis sélectionnez Enregistrer les modifications.

La console affiche un message d'état vous informant que la politique a été mise à jour.

Pour modifier la limite des autorisations d'un utilisateur

La modification d'une limite d'autorisation met immédiatement à jour l'accès de l'utilisateur.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisateurs, choisissez le nom de l'IAMutilisateur dont vous souhaitez modifier les limites d'autorisations.

  5. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Permissions boundary (Limite d'autorisations), puis choisissez Change boundary (Modifier une limite).

  6. Sélectionnez la politique que vous souhaitez utiliser pour la limite d'autorisations.

  7. Choisissez Set boundary (Définir une limite).

La console affiche un message d'état vous informant que la limite des autorisations a été modifiée.

Pour supprimer une politique d'autorisation d'un utilisateur (console)

La suppression d'une politique d'autorisation met immédiatement à jour l'accès de l'utilisateur.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Choisissez le nom de l'utilisateur dont vous souhaitez supprimer les politiques d'autorisation.

  5. Choisissez l’onglet Permissions (Autorisations).

  6. Si vous souhaitez supprimer des autorisations en supprimant une politique existante, consultez la colonne Joint via pour comprendre comment l'utilisateur obtient cette politique avant de choisir Supprimer pour supprimer la politique :

    • Si la politique s'applique en raison de l'appartenance à un groupe, choisissez Supprimer pour supprimer l'utilisateur du groupe. N'oubliez pas que vous pouvez avoir plusieurs politiques attachées à un seul groupe. Si vous supprimez un utilisateur d'un groupe, il perd l'accès à toutes les politiques qu'il reçoit par le biais de cette appartenance au groupe.

    • Si la politique est une politique gérée attachée directement à l'utilisateur, choisissez Supprimer pour détacher la politique de l'utilisateur. Cela n'affecte pas la politique elle-même ni aucune autre entité à laquelle la politique pourrait être attachée.

    • S'il s'agit d'une stratégie intégrée en ligne, le fait de choisir Supprimer supprime la politique deIAM. Les politiques en ligne attachées directement à un utilisateur existent uniquement sur cet utilisateur.

Si la politique a été accordée à l'utilisateur par le biais d'une adhésion à un groupe, la console affiche un message d'état vous informant que l'IAMutilisateur a été retiré du IAM groupe. Si la politique est directement jointe ou intégrée, le message d'état vous informe que la politique a été supprimée.

Pour supprimer la limite d'autorisations d'un utilisateur (console)

La suppression de la limite d'autorisation met immédiatement à jour l'accès de l'utilisateur.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion àAWS .

  2. Sur la page d'accueil de la console, sélectionnez le IAM service.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisateurs, choisissez le nom de l'IAMutilisateur dont vous souhaitez supprimer la limite d'autorisation.

  5. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Limite des autorisations.

  6. Choisissez Change boundary (Modifier une limite). Pour confirmer que vous souhaitez supprimer la limite des autorisations, dans la boîte de dialogue de confirmation, choisissez Supprimer la limite.

La console affiche un message d'état vous informant que la limite des autorisations a été supprimée.

Ajouter et supprimer les autorisations d'un utilisateur (AWS CLI ou AWS API)

Pour ajouter ou supprimer des autorisations par programme, vous devez ajouter ou supprimer l'appartenance au groupe, attacher ou détacher les politiques gérées, ou ajouter ou supprimer les politiques en ligne. Pour plus d’informations, consultez les rubriques suivantes :