Comment les utilisateurs IAM se connectent-ils à AWS ?
Pour vous connecter à la AWS Management Console en tant qu'utilisateur IAM, vous devez fournir votre ID de compte ou votre alias de compte en plus de votre nom d'utilisateur et de votre mot de passe. Lorsque votre administrateur a créé votre utilisateur IAM dans la console, il a dû vous envoyer vos informations d'identification de connexion, notamment votre nom d'utilisateur et l'URL de la page de connexion à votre compte, qui inclut votre ID de compte ou votre alias de compte.
https://
My_AWS_Account_ID
.signin.aws.amazon.com/console/
Conseil
Pour créer un marque-page pour la page de connexion à votre compte dans votre navigateur web, vous devez saisir manuellement l'URL de connexion de votre compte lors de la création du marque-page. N'utilisez pas la fonction « Marquer cette page » de votre navigateur web, en raison des redirections qui risquent de masquer l'URL de connexion.
Vous pouvez également vous connecter au point de terminaison général suivant et saisir manuellement votre ID de compte ou votre alias de compte :
https://console.aws.amazon.com/
Pour plus de commodité, la page de connexion à AWS utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et vos informations de compte. Ultérieurement, lorsque l'utilisateur accède à une page de la AWS Management Console, celle-ci utilise le cookie pour rediriger l'utilisateur vers la page de connexion au compte.
Vous avez uniquement accès aux ressources AWS que votre administrateur spécifie dans la politique attachée à votre identité d'utilisateur IAM. Pour travailler dans la console, vous devez disposer des autorisations nécessaires pour effectuer les actions que la console exécute, telles que l'affichage et la création de ressources AWS. Pour plus d'informations, consultez Gestion de l'accès pour les ressources AWS et Exemples de politiques basées sur l'identité IAM.
Note
Si votre organisation dispose déjà d'un système d'identité, vous souhaiterez peut-être créer une option d'authentification unique (SSO). L'authentification unique permet aux utilisateurs d'accéder à la AWS Management Console pour votre compte même s'ils ne disposent pas d'une identité d'utilisateur IAM. Grâce à l'authentification unique, les utilisateurs n'ont plus non plus besoin de se connecter au site de votre organisation d'un côté et à AWS de l'autre. Pour plus d’informations, veuillez consulter Activation de l'accès de broker d'identité personnalisé à la console AWS.
Journalisation des détails de connexion dans CloudTrail
Si vous activez CloudTrail de façon à consigner les événements de connexion dans vos journaux, vous devez savoir comment CloudTrail choisit l'emplacement de consignation des événements.
-
Si les utilisateurs se connectent directement à une console, ils sont redirigés vers un point de terminaison de connexion international ou régional, si la console de service sélectionnée prend en charge les régions. Par exemple, la page d'accueil de la console principale prend en charge les régions, donc si vous vous connectez à l'URL suivante :
https://alias.signin.aws.amazon.com/console
Vous êtes redirigé vers un point de terminaison de connexion régional tel que
https://us-east-2.signin.aws.amazon.com
, ce qui entraîne une entrée de journal CloudTrail régionale dans le journal de la région de l'utilisateur :En revanche, la console Amazon S3 ne prend pas en charge les régions, donc si vous vous connectez à l'URL suivante
https://alias.signin.aws.amazon.com/console/s3
AWS vous redirige vers le point de terminaison de connexion international à l'adresse
https://signin.aws.amazon.com
, ce qui crée une entrée de journal CloudTrail internationale. -
Vous pouvez demander manuellement un point de terminaison de connexion régional spécifique en vous connectant à la page d'accueil régionale de la console principale à l'aide d'une syntaxe d'URL similaire à ce qui suit :
https://alias.signin.aws.amazon.com/console?region=ap-southeast-1
AWS vous redirige vers le point de terminaison de connexion régional
ap-southeast-1
, ce qui crée un événement de journal CloudTrail régional.
Pour de plus amples informations sur CloudTrail et IAM, veuillez consulter Journalisation des événements IAM avec CloudTrail.
Si les utilisateurs ont besoin d'un accès par programmation pour utiliser votre compte, vous pouvez créer une paire de clés d'accès (un ID de clé d'accès et une clé d'accès secrète) pour chaque utilisateur. Toutefois, il existe des alternatives plus sécurisées à envisager avant de créer des clés d'accès pour les utilisateurs. Pour plus d'informations, consultez Considérations et alternatives relatives aux clés d'accès à long terme dans Références générales AWS.