Comment les utilisateurs d'IAM se connectent à AWS - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment les utilisateurs d'IAM se connectent à AWS

Pour vous connecter en AWS Management Console tant qu'utilisateur IAM, vous devez fournir votre identifiant de compte ou votre alias de compte en plus de votre nom d'utilisateur et de votre mot de passe. Lorsque votre administrateur a créé votre utilisateur IAM dans la console, il a dû vous envoyer vos informations d'identification de connexion, notamment votre nom d'utilisateur et l'URL de la page de connexion à votre compte, qui inclut votre ID de compte ou votre alias de compte. 

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
Conseil

Pour créer un marque-page pour la page de connexion à votre compte dans votre navigateur web, vous devez saisir manuellement l'URL de connexion de votre compte lors de la création du marque-page. N'utilisez pas la fonction « Marquer cette page » de votre navigateur web, en raison des redirections qui risquent de masquer l'URL de connexion.

Vous pouvez également vous connecter au point de terminaison général suivant et saisir manuellement votre ID de compte ou votre alias de compte :

https://console.aws.amazon.com/

Pour plus de commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser le nom d'utilisateur IAM et les informations de compte. La prochaine fois que l'utilisateur accède à une page du AWS Management Console, la console utilise le cookie pour le rediriger vers la page de connexion au compte.

Vous n'avez accès qu'aux AWS ressources spécifiées par votre administrateur dans la politique associée à votre identité d'utilisateur IAM. Pour travailler dans la console, vous devez disposer des autorisations nécessaires pour effectuer les actions effectuées par la console, telles que la liste et la création de AWS ressources. Pour plus d’informations, consultez Gestion de l'accès aux AWS ressources et Exemples de politiques basées sur l'identité IAM.

Note

Si votre organisation dispose déjà d'un système d'identité, vous souhaiterez peut-être créer une option d'authentification unique (SSO). Le SSO permet aux utilisateurs d'accéder AWS Management Console à votre compte sans qu'ils aient besoin d'une identité d'utilisateur IAM. L'authentification unique élimine également la nécessité pour les utilisateurs de se connecter au site de votre organisation et de s'y connecter AWS séparément. Pour plus d’informations, consultez Activation de l'accès à la AWS console par un courtier d'identité personnalisé.

Enregistrement des informations de connexion dans CloudTrail

Si vous activez CloudTrail l'enregistrement des événements de connexion dans vos journaux, vous devez savoir comment CloudTrail choisit où enregistrer les événements.

  • Si les utilisateurs se connectent directement à une console, ils sont redirigés vers un point de terminaison de connexion international ou régional, si la console de service sélectionnée prend en charge les régions. Par exemple, la page d'accueil de la console principale prend en charge les régions, donc si vous vous connectez à l'URL suivante :

    https://alias.signin.aws.amazon.com/console

    vous êtes redirigé vers un point de connexion régional tel quehttps://us-east-2.signin.aws.amazon.com, ce qui entraîne une entrée de CloudTrail journal régional dans le journal régional de l'utilisateur :

    En revanche, la console Amazon S3 ne prend pas en charge les régions, donc si vous vous connectez à l'URL suivante

    https://alias.signin.aws.amazon.com/console/s3

    AWS vous redirige vers le point de terminaison de connexion global à l'adressehttps://signin.aws.amazon.com, ce qui entraîne une entrée de CloudTrail journal globale.

  • Vous pouvez demander manuellement un point de terminaison de connexion régional spécifique en vous connectant à la page d'accueil régionale de la console principale à l'aide d'une syntaxe d'URL similaire à ce qui suit :

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS vous redirige vers le point de connexion ap-southeast-1 régional et entraîne un événement de CloudTrail journal régional.

Pour plus d'informations sur IAM CloudTrail et IAM, consultez la section Journalisation des événements IAM avec. CloudTrail

Si les utilisateurs ont besoin d'un accès par programmation pour utiliser votre compte, vous pouvez créer une paire de clés d'accès (un ID de clé d'accès et une clé d'accès secrète) pour chaque utilisateur. Toutefois, il existe des alternatives plus sécurisées à envisager avant de créer des clés d'accès pour les utilisateurs. Pour plus d'informations, consultez Considérations et alternatives relatives aux clés d'accès à long terme dans Références générales AWS.