En quoi consiste IAM ? - AWS Identity and Access Management
Vidéo de présentation d'IAMFonctions d'IAMAccéder à IAM

En quoi consiste IAM ?

AWS Identity and Access Management (IAM) est un service web qui vous permet de contrôler l'accès aux ressources AWS. Avec IAM, vous pouvez gérer de manière centralisée les autorisations qui contrôlent les ressources AWS auxquelles les utilisateurs peuvent accéder. Vous pouvez utiliser IAM pour contrôler les personnes qui s'authentifient (sont connectées) et sont autorisées (disposent d'autorisations) à utiliser des ressources.

Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les Services AWS et ressources du compte. Cette identité est appelée utilisateur root du Compte AWS. Vous pouvez y accéder en vous connectant à l'aide de l'adresse électronique et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur root pour vos tâches quotidiennes. Protégez vos informations d'identification d'utilisateur root et utilisez-les pour effectuer les tâches que seul l'utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu'utilisateur root, consultez Tâches nécessitant des informations d'identification d'utilisateur root dans le Guide de référence d'AWS Account Management.

Table des matières

Vidéo de présentation d'IAM

AWS Training and Certification fournit une introduction vidéo de 10 minutes à IAM :

Introduction à AWS Identity and Access Management

Fonctions d'IAM

IAM vous offre les fonctions suivantes :

Partager l'accès à votre Compte AWS

Vous pouvez accorder à d'autres utilisateurs l'autorisation d'administrer et d'utiliser les ressources de votre compte AWS sans avoir à partager votre mot de passe ou clé d'accès.

Autorisations granulaires

Vous pouvez accorder différentes autorisations à différents utilisateurs concernant différentes ressources. Par exemple, vous pouvez autoriser certains utilisateurs à accéder à Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift et à d'autres services AWS. Pour d'autres utilisateurs, vous pouvez autoriser un accès en lecture seule à certains compartiments S3 ou l'autorisation d'administrer certaines instances EC2 seulement, ou encore un accès à vos informations de facturation uniquement.

Accès sécurisé aux ressources AWS pour les applications s'exécutant sur Amazon EC2

Vous pouvez utiliser les fonctions IAM pour fournir en toute sécurité des informations d'identification pour les applications s'exécutant sur des instances EC2. Ces informations d'identification fournissent des autorisations afin que votre application puisse accéder à d'autres ressources AWS. Il s'agit notamment des compartiments S3 et des tables DynamoDB.

Une authentification multifactorielle (MFA)

Vous pouvez ajouter une authentification à deux facteurs à votre compte et aux utilisateurs individuels pour une sécurité renforcée. Avec l'authentification MFA, vos utilisateurs ou vous-même fournissez non seulement un mot de passe ou une clé d'accès pour utiliser votre compte, mais aussi un code généré par un dispositif configuré spécialement. Si vous utilisez déjà une clé de sécurité FIDO avec d'autres services et qu'elle dispose d'une configuration prise en charge par AWS, vous pouvez utiliser WebAuthn pour la sécurité MFA. Pour de plus amples informations, veuillez consulter Configurations prises en charge pour l'utilisation des clés de sécurité FIDO.

Fédération des identités

Vous pouvez autoriser des utilisateurs disposant déjà de mots de passe ailleurs, par exemple, dans votre réseau d'entreprise ou auprès d'un fournisseur d'identité Internet, à obtenir un accès temporaire à votre Compte AWS.

Informations d'identité par sécurité

Si vous utilisez AWS CloudTrail, vous recevez des enregistrements de journaux incluant des informations sur les utilisateurs effectuant des demandes concernant les ressources de votre compte. Ces informations sont basées sur les identités IAM.

Conformité PCI DSS

IAM prend en charge le traitement, le stockage et la transmission des données de cartes bancaires par un commerçant ou un fournisseur de services et a été validé comme étant conforme à la norme PCI (Payment Card Industry) DSS (Data Security Standard). Pour plus d'informations sur PCI DSS, et notamment sur la manière de demander une copie du package de conformité PCI AWS, veuillez consulter PCI DSS, niveau 1.

Intégré à différents services AWS

Pour obtenir une liste des services AWS utilisant IAM, veuillez consulter Services AWS qui fonctionnent avec IAM.

Cohérence à terme

IAM, comme d'autres services AWS, est éventuellement cohérent. IAM garantit une haute disponibilité en répliquant les données sur plusieurs serveurs dans les centres de données d'Amazon du monde entier. Si une demande de modification de certaines données aboutit, la modification est validée et stockée en toute sécurité. En revanche, cette modification doit être répliquée dans IAM, ce qui peut prendre un certain temps. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure ce type de modifications IAM dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications IAM dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent. Pour de plus amples informations, veuillez consulter Les modifications que j'apporte ne sont pas toujours visibles immédiatement.

Gratuité

AWS Identity and Access Management (IAM) et AWS Security Token Service (AWS STS) sont des fonctionnalités de votre compte AWS proposée sans frais supplémentaires. Vous êtes facturé uniquement lorsque vous accédez à d'autres services AWS au moyen de vos informations d'identification de sécurité temporaires d'utilisateurs IAM ou AWS STS. Pour obtenir des informations sur la tarification d'autres produits AWS, veuillez consulter la page de tarification Amazon Web Services.

Accéder à IAM

Vous pouvez utiliser AWS Identity and Access Management de l'une des façons suivantes.

AWS Management Console

La console est une interface basée sur un navigateur pour gérer les ressources IAM et AWS. Pour plus d'informations sur l'accès à IAM via la console, consultez Comment se connecter à AWS dans le Guide de l'utilisateurConnexion à AWS.

Outils de ligne de commande AWS

Vous pouvez utiliser les outils de ligne de commande AWS pour envoyer des commandes à la ligne de commande de votre système afin d'effectuer des tâches IAM et AWS. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que de la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts exécutant des tâches AWS.

AWS fournit deux jeux d'outils de ligne de commande : l'AWS Command Line Interface (AWS CLI) et les AWS Tools for Windows PowerShell. Pour plus d'informations sur l'installation et la configuration de l'interface AWS CLI, veuillez consulter le Guide de l'utilisateur de la AWS Command Line Interface. Pour obtenir des informations sur l'installation et l'utilisation des Tools for Windows PowerShell, veuillez consulter le Guide de l'utilisateur AWS Tools for Windows PowerShell.

Kits de développement logiciel (SDK) AWS

AWS fournit des kits SDK (kits de développement logiciel) composés de bibliothèques et d'exemples de code pour différentes langages et plateformes de programmation (Java, Python, Ruby, .NET, iOS, Android, etc.). Ils facilitent la création par programmation d'un accès à IAM et AWS. Par exemple, ils automatisent les tâches telles que la signature cryptographique des demandes, la gestion des erreurs et les nouvelles tentatives automatiques de demande. Pour plus d'informations sur les kits SDK AWS, notamment sur leurs procédures de téléchargement et d'installation, consultez la page Outils pour Amazon Web Services.

API Query IAM

Vous pouvez accéder à IAM et à AWS par programmation à l'aide de l'API Query IAM, qui vous permet d'effectuer des demandes HTTPS directement au service. Lorsque vous utilisez l'API Query , vous devez inclure un code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d'informations sur les groupes d'utilisateurs, veuillez consulter Appel de l'API IAM à l'aide de requêtes HTTP et la référence API IAM.