Créer un utilisateur IAM dans votre Compte AWS

Important

En guise de bonne pratique IAM, nous vous recommandons d'exiger des utilisateurs humains qu'ils se joignent à un fournisseur d'identité en utilisant la fédération pour accéder à AWS en utilisant des informations d'identification temporaires et non pas des utilisateurs IAM aves des informations d’identification à long terme.

Note

Si vous avez trouvé cette page parce que vous recherchez des informations sur le Product Advertising API pour vendre des produits Amazon sur votre site web, veuillez consulter la documentation du Product Advertising API version 5.0.

Si vous avez accédé à cette page via la console IAM, il est possible que votre compte n'inclut pas d'utilisateurs IAM, bien que vous soyez connecté. Vous pouvez vous être connecté en tant qu'Utilisateur racine d'un compte AWS à l'aide d'un rôle ou avec des informations d'identification temporaires. Pour en savoir plus sur ces identités IAM, consultez Identités IAM (utilisateurs, groupes d'utilisateurs et rôles).

Le processus de création d'un utilisateur et sa capacité à exécuter des tâches se compose des étapes suivantes :

1. Créez l'utilisateur dans la AWS Management Console, la AWS CLI, Tools for Windows PowerShell ou via une opération d'API AWS. Si vous créez l'utilisateur dans AWS Management Console, les étapes 1 à 4 sont gérées automatiquement en fonction de vos choix. Si vous créez les utilisateurs par programme, vous devez exécuter chacune de ces étapes individuellement.

2. Créez les informations d'identification pour l'utilisateur, en fonction du type d'accès dont il a besoin :

   • Activer l'accès à la console – facultatif : Si l'utilisateur doit accéder à la AWS Management Console, créez-lui un mot de passe. La désactivation de l'accès à la console pour un utilisateur l'empêche de se connecter à l'AWS Management Console à l'aide de son nom d'utilisateur et de son mot de passe. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé.

   Astuce

   Créez uniquement les informations d'identification dont a besoin l'utilisateur. Par exemple, pour un utilisateur exigeant un accès uniquement via l'AWS Management Console, ne créez pas de clés d'accès.

3. Donnez à l'utilisateur les autorisations concernant les tâches requises en l'ajoutant à un ou plusieurs groupes. Vous pouvez également accorder des autorisations en attachant des politiques d'autorisations directement à l'utilisateur. Toutefois, nous vous recommandons plutôt de placer vos utilisateurs dans des groupes et de gérer leurs autorisations par le biais de politiques attachées à ces groupes. Vous pouvez également utiliser une limite d'autorisations pour restreindre les autorisations dont peut disposer un utilisateur, même si cela n'est pas courant.

4. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant des balises. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des ressources IAM.

5. Fournissez à l'utilisateur les informations nécessaires à la connexion. Cela inclut le mot de passe et l'URL de la console de la page de connexion au compte sur laquelle l'utilisateur saisit ces informations d'identification. Pour plus d’informations, veuillez consulter Comment les utilisateurs IAM se connectent-ils à AWS ?.

6. (Facultatif) Configurez l'authentification multifacteur (MFA) pour l'utilisateur. MFA exige que l'utilisateur fournisse un code à utilisation unique chaque fois qu'il se connecte à AWS Management Console.

7. (Facultatif) Accordez aux utilisateurs les autorisations requises pour gérer leurs propres informations d'identification. (Par défaut, les utilisateurs ne sont pas autorisés à gérer leurs propres informations d'identification.) Pour plus d’informations, veuillez consulter Autorisation des utilisateurs IAM à modifier leurs propres mots de passe.

Pour plus d'informations sur les autorisations requises pour créer un utilisateur, consultez Autorisations requises pour accéder aux autres ressources IAM.

Création d'utilisateurs IAM (console)

Vous pouvez utiliser AWS Management Console pour créer des utilisateurs IAM.

Pour créer un utilisateur IAM (console)

1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

2. Sur la page d'accueil de la console, sélectionnez le service IAM.

3. Dans le volet de navigation, sélectionnez Utilisateurs, puis Ajouter des utilisateurs.

4. Sur la page Spécifier les détails de l'utilisateur, sous Détails de l'utilisateur, dans Nom d'utilisateur, entrez le nom du nouvel utilisateur. Il s'agit de son nom de connexion pour AWS.

   Note

   Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour plus d’informations, veuillez consulter Quotas IAM et AWS STS. Les noms d'utilisateur peuvent combiner jusqu'à 64 lettres, chiffres et caractères suivants : plus (+), égal (=), virgule (,), point (.), arobase (@), trait de soulignement (_) et tiret (-). Les noms doivent être uniques dans un compte. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux utilisateurs nommés TESTUSER et testuser. Lorsqu'un nom d'utilisateur est utilisé dans une politique ou dans le cadre d'un ARN, il est sensible à la casse. Lorsqu'un nom d'utilisateur apparaît aux clients dans la console, par exemple lors du processus de connexion, il n'est pas sensible à la casse.

5. Sélectionnez Fournir un accès utilisateur à la – AWS Management Console facultatif Cela génère des informations d'identification de AWS Management Console pour le nouvel utilisateur.

   Il vous est demandé si vous accordez l'accès à la console à un utilisateur. Nous vous recommandons de créer des utilisateurs dans IAM Identity Center plutôt que dans IAM.

   • Pour créer l'utilisateur dans IAM Identity Center, sélectionnez Spécifier un utilisateur dans Identity Center.

     Si vous n'avez pas activé IAM Identity Center, la sélection de cette option vous permet d'accéder à la page de service de la console pour le faire. Pour plus de détails sur cette procédure, consultez https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html dans le Guide de l'utilisateurAWS IAM Identity Center

     Si vous avez activé IAM Identity Center, sélectionnez cette option pour accéder à la page Spécifier un utilisateur dans IAM Identity Center. Pour plus de détails sur cette procédure, consultez https://docs.aws.amazon.com/singlesignon/latest/userguide/addusers.html dans le Guide de l'utilisateurAWS IAM Identity Center

   • Si vous ne pouvez pas utiliser IAM Identity Center, sélectionnez Je souhaite créer un utilisateur IAM et poursuivez cette procédure.

   1. Pour Mot de passe de la console, sélectionnez l'une des options suivantes :

      • Mot de passe généré automatiquement – L'utilisateur obtient un mot de passe généré de façon aléatoire qui correspond à la politique de mot de passe de compte. Vous pouvez afficher ou télécharger le mot de passe lorsque vous accédez à la page Récupérer le mot de passe.

      • Mot de passe personnalisé – L'utilisateur se voit attribuer le mot de passe que vous entrez dans la zone.

   2. (Facultatif) L'option Les utilisateurs doivent créer un nouveau mot de passe à leur prochaine connexion (recommandée) est sélectionnée par défaut afin d'obliger l'utilisateur à changer son mot de passe lors de sa première connexion.

      Note

      Si un administrateur a activé le paramètre de politique de mot de passe de compte (Autoriser les utilisateurs à modifier leur propre mot de passe), cette case à cocher ne sert à rien. Dans le cas contraire, il attache automatiquement une politique AWS gérée nommée IAMUserChangePassword aux nouveaux utilisateurs. La politique leur accorde l'autorisation de modifier leurs propres mots de passe.

6. Sélectionnez Suivant.

7. Sur la page Définir les autorisations, spécifiez la façon dont vous souhaitez attribuer des autorisations à cet utilisateur. Sélectionnez l'une des trois options suivantes :

   • Ajouter un utilisateur au groupe – Sélectionnez cette option si vous souhaitez attribuer l'utilisateur à un ou plusieurs groupes disposant déjà des politiques d'autorisations. IAM affiche une liste des groupes de votre compte ainsi que les politiques attachées. Vous pouvez sélectionner un ou plusieurs groupes existants, ou sélectionner Créer un groupe pour créer un groupe. Pour de plus amples informations, veuillez consulter Modification des autorisations pour un utilisateur IAM.

   • Copier les autorisations – Sélectionnez cette option pour copier toutes les appartenances au groupe, les politiques gérées attachées et les politiques en ligne intégrées et toutes les limites d'autorisations existantes d'un utilisateur existant vers de nouveaux utilisateurs. IAM affiche une liste des utilisateurs de votre compte. Sélectionnez celui dont les autorisations correspondent le plus aux besoins de votre nouvel utilisateur.

   • Attacher directement des politiques – Sélectionnez cette option pour consulter une liste des politiques gérées par AWS et par le client dans votre compte. Sélectionnez les politiques que vous souhaitez attacher à l'utilisateur ou sélectionnez Créer une politique pour ouvrir un nouvel onglet de navigateur et créer une toute nouvelle politique. Pour plus d'informations, consultez l'étape 4 de la procédure Création de politiques IAM. Après avoir créé la politique, fermez cet onglet et revenez à votre onglet d'origine pour ajouter la politique à l'utilisateur.

     Astuce

     Chaque fois que cela est possible, affectez vos stratégies à un groupe, puis faites de ces utilisateurs des membres des groupes appropriés.

8. (Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée.

   Ouvrez la section Définir une limite d'autorisations et sélectionnez Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations. IAM affiche une liste des politiques gérées par AWS et par le client dans votre compte. Sélectionnez la politique à utiliser pour la limite d'autorisations ou sélectionnez Créer une politique pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique. Pour plus d'informations, consultez l'étape 4 de la procédure Création de politiques IAM. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial pour sélectionner la politique à utiliser pour la limite d'autorisations.

9. Sélectionnez Suivant.

10. (Facultatif) Sur la page Vérifier et créer, sous Balises, sélectionnez Ajouter une nouvelle balise pour ajouter des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des ressources IAM.

11. Vérifiez tous les choix que vous avez faits jusqu'à présent. Une fois que vous êtes prêt à continuer, sélectionnez Créer un utilisateur.

12. Sur la page Récupérer le mot de passe, récupérez le mot de passe attribué à l'utilisateur :

    • Sélectionnez Afficher à côté du mot de passe pour afficher le mot de passe de l'utilisateur et l'enregistrer manuellement.

    • Sélectionnez Télécharger au format .csv pour télécharger les informations de connexion de l'utilisateur sous forme fichier .csv que vous pouvez enregistrer dans un emplacement sûr.

13. Sélectionnez Instructions de connexion par e-mail. Votre client de messagerie local s'ouvre avec un modèle que vous pouvez personnaliser et envoyer à l'utilisateur. Le modèle d'e-mail inclut les informations suivantes pour chaque utilisateur :

    • Nom utilisateur

    • URL de la page de connexion au compte. Utilisez l'exemple suivant, en remplaçant l'ID et l'alias de compte comme approprié :

      https://AWS-account-ID or alias.signin.aws.amazon.com/console

    Important

    Le mot de passe de l'utilisateur n'est pas inclus dans l'e-mail généré. Vous devez fournir le mot de passe à l'utilisateur d'une manière conforme aux normes de sécurité de votre organisation.

14. Si l'utilisateur a également besoin de clés d'accès, consultez Gestion des clés d'accès pour les utilisateurs IAM.

Création d'utilisateurs IAM (AWS CLI)

Vous pouvez utiliser la AWS CLI pour créer un utilisateur IAM.

Pour créer un utilisateur IAM (AWS CLI)

1. Créez un utilisateur.

   • aws iam create-user

2. (Facultatif) Donnez à utilisateur l'accès à l’interface AWS Management Console. Un mot de passe est requis. Vous devez également fournir à l'utilisateur l'URL de la page de connexion à votre compte.

   • aws iam create-login-profile

3. (Facultatif) Donnez à l'utilisateur à un accès par programme. Cela nécessite des clés d'accès.

   • aws iam create-access-key

   • Tools for Windows PowerShell :New-IAMAccessKey

   • API IAM : CreateAccessKey

     Important

     C'est votre seule occasion de visualiser ou télécharger les clés d'accès secrètes, et vous devez fournir ces informations à vos utilisateurs avant de pouvoir utiliser l'API d'AWS. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.

4. Ajoutez l'utilisateur à un ou plusieurs groupes. Les stratégies attachées aux groupes que vous spécifiez doivent accorder les autorisations appropriées à l'utilisateur.

   • aws iam add-user-to-group

5. (facultatif) Attachez une politique à l'utilisateur afin de définir ses autorisations. Remarque : Nous vous recommandons de gérer les autorisations d'un utilisateur en l'ajoutant à un groupe, puis en attachant une politique au groupe plutôt que directement au niveau de l'utilisateur.

   • aws iam attach-user-policy

6. (Facultatif) Ajoutez des attributs personnalisés à l'utilisateur en associant des balises. Pour plus d’informations, veuillez consulter Gestion des balises sur les utilisateurs IAM (AWS CLI ou API AWS).

7. (Facultatif) Accordez à l'utilisateur l'autorisation requise pour gérer ses propres informations d'identification. Pour plus d’informations, veuillez consulter AWS: permet aux utilisateurs IAM authentifiés par MFA de gérer leurs propres informations d'identification sur la page Informations d'identification de sécurité.

Création d'utilisateurs IAM (API AWS)

Vous pouvez utiliser l'API AWS pour créer un utilisateur IAM.

Pour créer un utilisateur IAM à partir de l'API AWS

1. Créez un utilisateur.

   • CreateUser

2. (Facultatif) Donnez à utilisateur l'accès à l’interface AWS Management Console. Un mot de passe est requis. Vous devez également fournir à l'utilisateur l'URL de la page de connexion à votre compte.

   • CreateLoginProfile

3. (Facultatif) Donnez à l'utilisateur à un accès par programme. Cela nécessite des clés d'accès.

   • CreateAccessKey

     Important

     C'est votre seule occasion de visualiser ou télécharger les clés d'accès secrètes, et vous devez fournir ces informations à vos utilisateurs avant de pouvoir utiliser l'API d'AWS. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.

4. Ajoutez l'utilisateur à un ou plusieurs groupes. Les stratégies attachées aux groupes que vous spécifiez doivent accorder les autorisations appropriées à l'utilisateur.

   • AddUserToGroup

5. (facultatif) Attachez une politique à l'utilisateur afin de définir ses autorisations. Remarque : Nous vous recommandons de gérer les autorisations d'un utilisateur en l'ajoutant à un groupe, puis en attachant une politique au groupe plutôt que directement au niveau de l'utilisateur.

   • AttachUserPolicy

6. (Facultatif) Ajoutez des attributs personnalisés à l'utilisateur en associant des balises. Pour plus d’informations, veuillez consulter Gestion des balises sur les utilisateurs IAM (AWS CLI ou API AWS).

7. (Facultatif) Accordez à l'utilisateur l'autorisation requise pour gérer ses propres informations d'identification. Pour de plus amples informations, veuillez consulter AWS: permet aux utilisateurs IAM authentifiés par MFA de gérer leurs propres informations d'identification sur la page Informations d'identification de sécurité.