Comment IAM fonctionne - AWS Identity and Access Management
Composantes d'une demandeComment les directeurs sont authentifiésPrincipes de base des politiques d'autorisation et d'autorisation

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment IAM fonctionne

AWS Identity and Access Management fournit l'infrastructure nécessaire pour contrôler l'authentification et l'autorisation pour votre Compte AWS.

Tout d'abord, un utilisateur humain ou une application utilise ses informations de connexion pour s'authentifier auprès d' AWS. IAMassocie les informations de connexion à un principal (un utilisateur, un IAM utilisateur fédéré, un IAM rôle ou une application) approuvé par le Compte AWS et authentifie l'autorisation d'accès. AWS

Ensuite, IAM fait une demande pour accorder au principal l'accès aux ressources. IAMaccorde ou refuse l'accès en réponse à une demande d'autorisation. Par exemple, lorsque vous vous connectez pour la première fois à la console et que vous vous trouvez sur la page d'accueil de la console, vous n'accédez pas à un service spécifique. Lorsque vous sélectionnez un service, vous envoyez une demande d'autorisation IAM pour ce service. IAMvérifie que votre identité figure dans la liste des utilisateurs autorisés, détermine les politiques qui contrôlent le niveau d'accès accordé et évalue toute autre politique susceptible d'être en vigueur. Les personnes en Compte AWS qui vous avez confiance peuvent faire des demandes d'autorisation en votre sein Compte AWS ou en qui vous avez confiance.

Une fois autorisé, le principal peut effectuer des actions ou des opérations sur les ressources de votre Compte AWS. Par exemple, le principal peut lancer une nouvelle Amazon Elastic Compute Cloud instance, modifier l'appartenance à un IAM groupe ou supprimer Amazon Simple Storage Service des buckets. Le schéma suivant illustre ce processus à travers l'IAMinfrastructure :

Ce diagramme montre comment un principal est authentifié et autorisé par le IAM service à effectuer des actions ou des opérations sur d'autres AWS services ou ressources.

Composantes d'une demande

Lorsqu'un principal essaie d'utiliser le AWS Management Console AWS API, le ou le AWS CLI, ce principal envoie une demande à AWS. La demande inclut les informations suivants :

  • Actions ou opérations : actions ou opérations que le principal souhaite effectuer, par exemple une action dans le AWS Management Console ou une opération dans le AWS CLI ou AWS API.

  • Ressources : objet de AWS ressource sur lequel le principal demande d'effectuer une action ou une opération.

  • Principal : personne ou application qui utilise une entité (utilisateur ou rôle) pour envoyer la demande. Les informations concernant le principal incluent les politiques d'autorisation.

  • Données d'environnement : informations sur l'adresse IP, l'agent utilisateur, le statut SSL activé et l'horodatage.

  • Données relatives aux ressources : données relatives à la ressource demandée, telles que le nom d'une table DynamoDB ou une balise sur une instance Amazon. EC2

AWS rassemble les informations de la demande dans un contexte de demande, qui IAM évalue pour autoriser la demande.

Comment les directeurs sont authentifiés

Un directeur se connecte à AWS l'aide de ses informations d'identification qui IAM s'authentifient pour permettre au principal d'envoyer une demande à AWS. Certains services, tels qu'Amazon S3 et Amazon AWS STS, autorisent des demandes spécifiques émanant d'utilisateurs anonymes. Cependant, ils font exception à la règle. Chaque type d'utilisateur passe par une authentification.

  • Utilisateur root — Vos informations de connexion utilisées pour l'authentification sont l'adresse e-mail que vous avez utilisée pour créer le Compte AWS et le mot de passe que vous avez spécifié à ce moment-là.

  • Utilisateur fédéré : votre fournisseur d'identité vous authentifie et lui transmet vos informations d'identification AWS, vous n'avez pas à vous connecter directement à. AWS IAMIdentity Center et IAM Supporte les utilisateurs fédérés.

  • Utilisateurs connectés Répertoire AWS IAM Identity Center (non fédérés) : les utilisateurs créés directement dans le répertoire par défaut IAM d'Identity Center se connectent via le portail d' AWS accès et fournissent leur nom d'utilisateur et leur mot de passe.

  • IAMutilisateur — Vous vous connectez en fournissant votre identifiant de compte ou alias, votre nom d'utilisateur et votre mot de passe. Pour authentifier les charges de travail depuis le bloc opératoire API AWS CLI, vous pouvez utiliser des informations d'identification temporaires en assumant un rôle ou vous pouvez utiliser des informations d'identification à long terme en fournissant votre clé d'accès et votre clé secrète.

    Pour en savoir plus sur les IAM entités, reportez-vous aux sections IAMutilisateurs etIAMrôles.

AWS vous recommande d'utiliser l'authentification multifactorielle (MFA) avec tous les utilisateurs afin de renforcer la sécurité de votre compte. Pour en savoir plusMFA, consultezAWS Authentification multifactorielle dans IAM.

Principes de base des politiques d'autorisation et d'autorisation

L'autorisation signifie que le principal dispose des autorisations requises pour traiter sa demande. Au cours de l'autorisation, IAM identifie les politiques qui s'appliquent à la demande à l'aide des valeurs issues du contexte de la demande. Ensuite, il utilise les politiques pour déterminer s'il autorise ou refuse la demande. IAMstocke la plupart des politiques d'autorisation sous forme de JSONdocuments qui spécifient les autorisations pour les entités principales.

Plusieurs types de politiques peuvent affecter une demande d'autorisation. Pour autoriser vos utilisateurs à accéder aux AWS ressources de votre compte, vous pouvez utiliser des politiques basées sur l'identité. Les politiques basées sur les ressources peuvent accorder un accès entre comptes. Pour effectuer une demande dans un autre compte, une politique de l'autre compte doit vous permettre d'accéder à la ressource et l'IAMentité que vous utilisez pour effectuer la demande doit disposer d'une politique basée sur l'identité qui autorise la demande.

IAMvérifie chaque politique qui s'applique au contexte de votre demande. IAMl'évaluation des politiques utilise un refus explicite, ce qui signifie que si une seule politique d'autorisation inclut une action refusée, IAM refuse l'intégralité de la demande et arrête l'évaluation. Les demandes étant refusées par défaut, les politiques d'autorisation applicables doivent autoriser chaque partie de votre demande IAM à autoriser votre demande. La logique d'évaluation d'une demande au sein d'un seul compte suit les règles de base suivantes :

  • Par défaut, toutes les demandes sont refusées. (En général, les demandes effectuées à l'aide des informations d'identification du Utilisateur racine d'un compte AWS pour les ressources de ce compte sont toujours autorisées.)

  • Une autorisation explicite dans une politique d'autorisations (basée sur l'identité ou les ressources) remplace cette valeur par défaut.

  • L'existence d'une organisationSCP, d'une limite d'IAMautorisations ou d'une politique de session remplace l'autorisation. S'il existe une ou plusieurs de ces sortes de politiques, elles doivent toutes autoriser la demande. Dans le cas contraire, il est implicitement refusé.

  • Un refus explicite dans une politique remplace toute autorisation contenue dans une politique.

Pour en savoir plus, consultez Logique d’évaluation de stratégies.

Après avoir IAM authentifié et autorisé le principal, il IAM approuve les actions ou les opérations figurant dans sa demande en évaluant la politique d'autorisation qui s'applique au principal. Chaque AWS service définit les actions (opérations) qu'il prend en charge et inclut les actions que vous pouvez effectuer sur une ressource, telles que l'affichage, la création, la modification et la suppression de cette ressource. La politique d'autorisation qui s'applique au principal doit inclure les actions nécessaires pour effectuer une opération. Pour en savoir plus sur la façon dont les politiques IAM d'autorisation sont évaluées, consultezLogique d’évaluation de stratégies.

Le service définit un ensemble d'actions qu'un directeur peut effectuer sur chaque ressource. Lorsque vous créez des politiques d'autorisation, veillez à inclure les actions que vous souhaitez que l'utilisateur puisse effectuer. Par exemple, IAM prend en charge plus de 40 actions pour une ressource utilisateur, y compris les actions de base suivantes :

  • CreateUser

  • DeleteUser

  • GetUser

  • UpdateUser

En outre, vous pouvez définir des conditions dans votre politique d'autorisation qui fournissent l'accès aux ressources lorsque la demande répond aux conditions spécifiées. Par exemple, vous pouvez souhaiter qu'une déclaration de politique entre en vigueur après une date précise ou pour contrôler l'accès lorsqu'une valeur spécifique apparaît dans unAPI. Pour définir les conditions, vous utilisez l'IAMJSONéléments de politique : opérateurs de conditionsConditionélément d'une déclaration de politique.

Une IAM fois les opérations approuvées dans une demande, le principal peut utiliser les ressources associées de votre compte. Une ressource est une objet existant au sein d'un service. Les exemples incluent une EC2 instance Amazon, un IAM utilisateur et un compartiment Amazon S3. Si le principal crée une demande pour effectuer une action sur une ressource qui n'est pas incluse dans la politique d'autorisation, le service refuse la demande. Par exemple, si vous êtes autorisé à supprimer un IAM rôle mais que vous demandez la suppression d'un IAM groupe, la demande échoue si vous n'êtes pas autorisé à supprimer IAM des groupes. Pour en savoir plus sur les actions, les ressources et les clés de condition prises en charge par les différents AWS services, consultez Actions, ressources et clés de condition pour les AWS services.