Modifier les autorisations d'un IAM utilisateur - AWS Gestion de l’identité et des accès
Afficher l'accès des utilisateursGénérer une politique basée sur l'activité d'accès d'un utilisateurAjout d'autorisations à un utilisateur (console)Modification des autorisations pour un utilisateur (console)Suppression d'une politique d'autorisations d'un utilisateur (console)Suppression de la limite d'autorisations d'un utilisateur (console)Ajouter et supprimer les autorisations d'un utilisateur (AWS CLI ou AWS API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Modifier les autorisations d'un IAM utilisateur

Vous pouvez modifier les autorisations d'un IAM utilisateur de votre site en Compte AWS modifiant son appartenance à un groupe, en copiant les autorisations d'un utilisateur existant, en attachant des politiques directement à un utilisateur ou en définissant une limite d'autorisation. Une limite d'autorisations contrôle les autorisations maximum dont un utilisateur peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.

Pour plus d'informations sur les autorisations requises pour modifier les autorisations d'un utilisateur, consultez Autorisations requises pour accéder aux autres ressources IAM.

Afficher l'accès des utilisateurs

Avant de modifier les autorisations d'un utilisateur, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez Affiner les autorisations dans AWS en utilisant les dernières informations consultées.

Générer une politique basée sur l'activité d'accès d'un utilisateur

Vous pouvez parfois accorder des autorisations à une IAM entité (utilisateur ou rôle) au-delà de ce dont elle a besoin. Pour vous aider à affiner les autorisations que vous accordez, vous pouvez générer une IAM politique basée sur l'activité d'accès d'une entité. IAMAccess Analyzer examine vos AWS CloudTrail journaux et génère un modèle de politique contenant les autorisations qui ont été utilisées par l'entité dans la plage de dates que vous avez spécifiée. Vous pouvez utiliser le modèle pour créer une politique gérée avec des autorisations détaillées, puis l'associer à l'IAMentité. Ainsi, vous accordez uniquement les autorisations dont l'utilisateur ou le rôle a besoin pour interagir avec les AWS ressources correspondant à votre cas d'utilisation spécifique. Pour en savoir plus, consultez la section Génération de politiques IAM Access Analyzer.

Ajout d'autorisations à un utilisateur (console)

IAMpropose trois méthodes pour ajouter des politiques d'autorisation à un utilisateur :

  • Add user to group (Ajouter un utilisateur à un groupe) : faites de l'utilisateur un membre d'un groupe. Les politiques du groupe sont attachées à l'utilisateur.

  • Copy permissions from existing user (Copier les autorisations d'un utilisateur existant) : copiez toutes les appartenances à un groupe, toutes les politiques gérées attachées, les politiques en ligne et toutes les limites d'autorisations existantes d'un utilisateur source.

  • Attach policies directly to user (Attacher directement des politiques à l'utilisateur) : attachez directement une politique gérée à l'utilisateur. Pour faciliter la gestion des autorisations, affectez vos stratégies à un groupe, puis faites de ces utilisateurs des membres des groupes appropriés.

Important

Si l'utilisateur dispose d'une limite d'autorisations, alors vous ne pouvez pas ajouter à un utilisateur plus d'autorisations que le permet la limite.

Ajout d'autorisations en ajoutant l'utilisateur à un groupe

L'ajout d'un utilisateur à un groupe affecte immédiatement l'utilisateur.

Pour ajouter des autorisations à un utilisateur en ajoutant celui-ci à un groupe

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Vérifiez l'appartenance actuelle des utilisateurs au groupe dans la colonne Groupes de la console. Au besoin, ajoutez la colonne à la table des utilisateurs en procédant comme suit :

    1. Au-dessus de la table à l'extrême droite, choisissez le symbole des paramètres ( Settings icon ).

    2. Dans la boîte de dialogue Manage Columns (Gérer les colonnes), sélectionnez la colonne Groupes. Sinon, vous pouvez également désactiver la case à cocher des en-têtes de colonnes que vous ne souhaitez pas voir s'afficher dans la table des utilisateurs.

    3. Choisissez Fermer pour revenir à la liste des utilisateurs.

    La colonne Groupes vous indique à quels groupes les utilisateurs appartiennent. La colonne inclut jusqu'à deux noms de groupes. Si l'utilisateur est membre d'au moins trois groupes, les deux premiers sont affichés (par ordre alphabétique) et le nombre d'appartenances supplémentaires à un groupe est inclus. Par exemple, si l'utilisateur fait partie du Groupe A, du Groupe B, du Groupe C et du Groupe D, le champ contient la valeur Group A, Group B + 2 more. Pour afficher le nombre total de groupes auxquels l'utilisateur appartient, vous pouvez ajouter la colonne Group count (Nombre de groupes) à la table de l'utilisateur.

  4. Choisissez le nom de l'utilisateur dont vous souhaitez modifier les autorisations.

  5. Choisissez l'onglet Autorisations, puis Add permissions (Ajouter des autorisations). Choisissez Add user to group (ajouter un utilisateur au groupe).

  6. Activez la case à cocher pour chaque groupe que l'utilisateur doit rejoindre. La liste affiche le nom de chaque groupe et les politiques que l'utilisateur reçoit s'il devient membre de ce groupe.

  7. (Facultatif) Outre la sélection de groupes existants, vous pouvez choisir Créer un groupe pour définir un nouveau groupe :

    1. Dans le nouvel onglet, pour Nom du groupe d'utilisateurs, saisissez le nom de votre nouveau groupe.

      Note

      Le nombre et la taille des IAM ressources d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter IAMet AWS STS quotas. Les noms de groupe peuvent combiner jusqu'à 128 lettres, chiffres et caractères suivants : plus (+), égal (=), virgule (,), point (.), arobase (@) et tiret (-). Les noms doivent être uniques dans un compte. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux groupes nommés TESTGROUPet testgroup.

    2. Activez une ou plusieurs cases à cocher pour les politiques gérées que vous souhaitez attacher au groupe. Vous pouvez également créer une politique gérée en choisissant Créer une politique. Le cas échéant, revenez dans la fenêtre ou l'onglet du navigateur une fois la nouvelle politique créée. Choisissez Refresh (Actualiser), puis choisissez la nouvelle politique à attacher à votre groupe. Pour de plus amples informations, veuillez consulter Définissez des IAM autorisations personnalisées avec des politiques gérées par le client.

    3. Choisissez Créer un groupe d'utilisateurs.

    4. Revenez à l'onglet initial, actualisez votre liste de groupes. Puis cochez la case correspondant à votre nouveau groupe.

  8. Choisissez Suivant pour afficher la liste des membres du groupe à ajouter à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

Ajout d'autorisations en copiant celles d'un autre utilisateur

La copie d'autorisations affecte immédiatement l'utilisateur.

Pour ajouter des autorisations à un utilisateur en copiant celles d'un autre utilisateur

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Utilisateurs, choisissez le nom de l'utilisateur dont vous souhaitez modifier les autorisations, puis choisissez l'onglet Autorisations.

  3. Choisissez Add permissions (Ajouter des autorisations), puis choisissez Copy permissions from existing user (Copier des autorisations d'un utilisateur existant). La liste affiche les utilisateurs disponibles ainsi que leur appartenance à un groupe et les politiques attachées. Si la liste complète des groupes ou des politiques ne tient pas sur une seule ligne, vous pouvez choisir le lien vers et n plus. Un nouvel onglet de navigateur s'affiche avec une liste complète des politiques (onglet Autorisations) et des groupes (onglet Groupes).

  4. Sélectionnez le bouton radio en regard de l'utilisateur dont vous voulez copier les autorisations.

  5. Choisissez Suivant pour afficher la liste des modifications apportées à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

Ajout d'autorisations en attachant les politiques directement à l'utilisateur

L'attachement de politiques affecte immédiatement l'utilisateur.

Pour ajouter des autorisations à un utilisateur en attachant directement les politiques gérées

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Utilisateurs, choisissez le nom de l'utilisateur dont vous souhaitez modifier les autorisations, puis choisissez l'onglet Autorisations.

  3. Choisissez Ajouter des autorisations, puis Attacher directement des stratégies.

  4. Cochez une ou plusieurs cases pour les politiques gérées que vous souhaitez attacher à l'utilisateur. Vous pouvez également créer une politique gérée en choisissant Créer une politique. Dans ce cas, revenez dans l'onglet ou la fenêtre du navigateur une fois la nouvelle politique créée. Choisissez Refresh (Actualiser), puis cochez la case en regard de la nouvelle politique pour l'attacher à votre utilisateur. Pour de plus amples informations, veuillez consulter Définissez des IAM autorisations personnalisées avec des politiques gérées par le client.

  5. Choisissez Suivant pour afficher la liste des politiques attachées à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

Définition de la limite d'autorisations pour un utilisateur

La définition d'une limite d'autorisations affecte immédiatement l'utilisateur.

Pour définir la limite d'autorisations pour un utilisateur

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez modifier la limite d'autorisations.

  4. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Limite d'autorisations, puis choisissez Définir une limite d'autorisations.

  5. Sélectionnez la politique que vous souhaitez utiliser pour la limite d'autorisations.

  6. Choisissez Set boundary (Définir une limite).

Modification des autorisations pour un utilisateur (console)

IAMvous permet de modifier les autorisations associées à un utilisateur de la manière suivante :

  • Edit a permissions policy (Modifier une politique d'autorisations) : modifiez la politique en ligne d'un utilisateur, la politique en ligne du groupe de l'utilisateur ou une politique gérée attachée directement à l'utilisateur ou à partir d'un groupe. Si l'utilisateur dispose d'une limite d'autorisations, alors vous ne pouvez pas fournir plus d'autorisations que le permet la politique utilisée comme limite d'autorisations de l'utilisateur.

  • Changing the permissions boundary (Modification de la limite d'autorisations) : modifiez la politique utilisée comme limite d'autorisations pour l'utilisateur. Cette action peut développer ou limiter les autorisations maximum dont dispose un utilisateur.

Modification d'une politique d'autorisations attachée à un utilisateur

La modification d'autorisations affecte immédiatement l'utilisateur.

Pour modifier les politiques gérées attachées d'un utilisateur

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez modifier la politique d'autorisations.

  4. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Permissions policies (Politiques d'autorisations).

  5. Choisissez le nom de la politique que vous souhaitez modifier pour en afficher les détails. Choisissez l'onglet Utilisation de la politique pour afficher d'autres entités qui pourraient être affectées par la modification de la politique.

  6. Choisissez l'onglet Autorisations et examinez les autorisations accordées par la politique. Puis choisissez Modifier la politique.

  7. Modifiez la politique et résolvez les recommandations sur la validation des politiques. Pour de plus amples informations, veuillez consulter Modifier les IAM politiques.

  8. Choisissez Examiner une politique, examinez le récapitulatif de la politique, puis choisissez Enregistrer les modifications.

Modification de la limite d'autorisations pour un utilisateur

La modification d'une limite d'autorisations affecte immédiatement l'utilisateur.

Pour modifier la politique utilisée afin de définir la limite d'autorisations pour un utilisateur

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez modifier la limite d'autorisations.

  4. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Permissions boundary (Limite d'autorisations), puis choisissez Change boundary (Modifier une limite).

  5. Sélectionnez la politique que vous souhaitez utiliser pour la limite d'autorisations.

  6. Choisissez Set boundary (Définir une limite).

Suppression d'une politique d'autorisations d'un utilisateur (console)

La suppression d'une politique affecte immédiatement l'utilisateur.

Pour supprimer les autorisations accordées aux IAM utilisateurs

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez supprimer la limite d'autorisations.

  4. Choisissez l’onglet Permissions (Autorisations).

  5. Si vous souhaitez supprimer les autorisations en supprimant une politique existante, affichez le type pour comprendre comment l'utilisateur obtient cette politique avant de choisir Supprimer pour supprimer celle-ci :

    • Si la politique s'applique en raison de l'appartenance à un groupe, choisissez Supprimer pour supprimer l'utilisateur du groupe. N'oubliez pas que vous pouvez avoir plusieurs politiques attachées à un seul groupe. Si vous supprimez un utilisateur d'un groupe, il perd l'accès à toutes les politiques qu'il reçoit par le biais de cette appartenance au groupe.

    • Si la politique est une politique gérée attachée directement à l'utilisateur, choisissez Supprimer pour détacher la politique de l'utilisateur. Cela n'affecte pas la politique elle-même ni aucune autre entité à laquelle la politique pourrait être attachée.

    • S'il s'agit d'une stratégie intégrée en ligne, le choix de X supprime la politique deIAM. Les politiques en ligne attachées directement à un utilisateur existent uniquement sur cet utilisateur.

Suppression de la limite d'autorisations d'un utilisateur (console)

La suppression d'une limite d'autorisations affecte immédiatement l'utilisateur.

Pour supprimer la limite d'autorisations d'un utilisateur

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom de l'utilisateur dont vous souhaitez supprimer la limite d'autorisations.

  4. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Permissions boundary (Limite d'autorisations), puis choisissez Remove boundary (Supprimer une limite).

  5. Choisissez Supprimer la limite pour confirmer la suppression de la limite d'autorisations.

Ajouter et supprimer les autorisations d'un utilisateur (AWS CLI ou AWS API)

Pour ajouter ou supprimer des autorisations par programme, vous devez ajouter ou supprimer l'appartenance au groupe, attacher ou détacher les politiques gérées, ou ajouter ou supprimer les politiques en ligne. Pour plus d’informations, consultez les rubriques suivantes :