En quoi consiste IAM ? - AWS Identity and Access Management

En quoi consiste IAM ?

AWS Identity and Access Management (IAM) est un service web qui vous permet de contrôler l'accès aux ressources AWS. Vous pouvez utiliser IAM pour contrôler les personnes qui s'authentifient (sont connectées) et sont autorisées (disposent d'autorisations) à utiliser des ressources.

Lorsque vous créez un Compte AWS , vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée l'utilisateur racine du Compte AWS . Vous pouvs y accéder en vous connectant à l'aide de l'adresse e-mail et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services.

Vidéo de présentation d'IAM

AWS Training and Certification fournit une introduction vidéo de 10 minutes à IAM :

Introduction à AWS Identity and Access Management

Fonctions d'IAM

IAM vous offre les fonctions suivantes :

Accès partagé à votre compte AWS

Vous pouvez accorder à d'autres utilisateurs l'autorisation d'administrer et d'utiliser les ressources de votre compte AWS sans avoir à partager votre mot de passe ou clé d'accès.

Autorisations granulaires

Vous pouvez accorder différentes autorisations à différents utilisateurs concernant différentes ressources. Par exemple, vous pouvez autoriser certains utilisateurs à accéder à Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift et à d'autres services AWS. Pour d'autres utilisateurs, vous pouvez autoriser un accès en lecture seule à certains compartiments S3 ou l'autorisation d'administrer certaines instances EC2 seulement, ou encore un accès à vos informations de facturation uniquement.

Accès sécurisé aux ressources AWS pour les applications s'exécutant sur Amazon EC2

Vous pouvez utiliser les fonctions IAM pour fournir en toute sécurité des informations d'identification pour les applications s'exécutant sur des instances EC2. Ces informations d'identification fournissent des autorisations afin que votre application puisse accéder à d'autres ressources AWS. Il s'agit notamment des compartiments S3 et des tables DynamoDB.

Multi-factor Authentication (MFA)

Vous pouvez ajouter une authentification à deux facteurs à votre compte et aux utilisateurs individuels pour une sécurité renforcée. Avec l'authentification MFA, vos utilisateurs ou vous-même fournissez non seulement un mot de passe ou une clé d'accès pour utiliser votre compte, mais aussi un code généré par un dispositif configuré spécialement.

Fédération des identités

Vous pouvez autoriser des utilisateurs disposant déjà de mots de passe ailleurs, par exemple, dans votre réseau d'entreprise ou auprès d'un fournisseur d'identité Internet, à obtenir un accès temporaire à votre compte AWS.

Informations d'identité par sécurité

Si vous utilisez AWS CloudTrail, vous recevez des enregistrements de journaux incluant des informations sur les utilisateurs effectuant des demandes concernant les ressources de votre compte. Ces informations sont basées sur les identités IAM.

Conformité DSS d'PCI

IAM prend en charge le traitement, le stockage et la transmission des données de cartes bancaires par un commerçant ou un fournisseur de services et a été validé comme étant conforme à la norme PCI (Payment Card Industry) DSS (Data Security Standard). Pour plus d'informations sur PCI DSS, et notamment sur la manière de demander une copie du package de conformité PCI AWS, veuillez consulter PCI DSS, niveau 1.

Intégré à différents services AWS

Pour obtenir une liste des services AWS utilisant IAM, veuillez consulter Services AWS qui fonctionnent avec IAM.

Cohérence à terme

IAM, comme d'autres services AWS, est éventuellement cohérent. IAM garantit une haute disponibilité en répliquant les données sur plusieurs serveurs dans les centres de données d'Amazon du monde entier. Si une demande de modification de certaines données aboutit, la modification est réalisée et stockée en toute sécurité. En revanche, cette modification doit être répliquée dans IAM, ce qui peut prendre un certain temps. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure ce type de modifications IAM dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications IAM dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent. Pour de plus amples informations, veuillez consulter Les modifications que j'apporte ne sont pas toujours visibles immédiatement.

Gratuité

AWS Identity and Access Management (IAM) et AWS Security Token Service ( AWS STS ) sont des fonctionnalités de votre compte AWS proposée sans frais supplémentaires. Vous êtes facturé uniquement lorsque vous accédez à d'autres services AWS au moyen de vos informations d'identification de sécurité temporaires d'utilisateurs IAM ou AWS STS . Pour obtenir des informations sur la tarification d'autres produits AWS, veuillez consulter la page de tarification Amazon Web Services.

Accéder à IAM

Vous pouvez utiliser AWS Identity and Access Management de l'une des façons suivantes.

AWS Management Console

La console est une interface basée sur un navigateur pour gérer les ressources IAM et AWS. Pour plus d'informations sur l'accès à IAM via la console, veuillez consulter Connexion à la AWS Management Console en tant qu'utilisateur IAM ou utilisateur racine. Pour obtenir un didacticiel pour vous guider dans la console, veuillez consulter Création de votre premier utilisateur administrateur et groupe IAM.

Outils de ligne de commande AWS

Vous pouvez utiliser les outils de ligne de commande AWS pour envoyer des commandes à la ligne de commande de votre système afin d'effectuer des tâches IAM et AWS. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que de la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts exécutant des tâches AWS.

AWS fournit deux jeux d'outils de ligne de commande : l'AWS Command Line Interface (AWS CLI) et les AWS Tools for Windows PowerShell. Pour plus d'informations sur l'installation et la configuration de l'interface AWS CLI, veuillez consulter le Guide de l'utilisateur de la AWS Command Line Interface. Pour obtenir des informations sur l'installation et l'utilisation des Tools for Windows PowerShell, veuillez consulter le Guide de l'utilisateur AWS Tools for Windows PowerShell.

AWSKits SDK

AWS fournit des kits SDK (kits de développement logiciel) composés de bibliothèques et d'exemples de code pour différentes langages et plateformes de programmation (Java, Python, Ruby, .NET, iOS, Android, etc.). Ils facilitent la création par programmation d'un accès à IAM et AWS. Par exemple, ils automatisent les tâches telles que la signature cryptographique des demandes, la gestion des erreurs et les nouvelles tentatives de demande. Pour plus d'informations sur les kits SDK AWS, notamment sur leurs procédures de téléchargement et d'installation, veuillez consulter la page Outils pour Amazon Web Services.

API HTTPS IAM

Vous pouvez accéder à IAM et à AWS par programmation à l'aide de l'API HTTPS IAM, qui vous permet d'effectuer des demandes HTTPS directement au service. Lorsque vous utilisez l'API HTTPS, vous devez inclure un code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d'informations sur les groupes d'utilisateurs, veuillez consulter Appel de l'API IAM à l'aide de requêtes HTTP et la référence API IAM.