Qu'est-ce que l'IAM

AWS Identity and Access Management (IAM) est un service Web qui vous permet de contrôler en toute sécurité l'accès aux AWS ressources. Avec IAM, vous pouvez gérer les autorisations qui contrôlent les AWS ressources auxquelles les utilisateurs peuvent accéder. Vous pouvez utiliser IAM pour contrôler les personnes qui s’authentifient (sont connectées) et sont autorisées (disposent d’autorisations) à utiliser des ressources. IAM fournit l'infrastructure nécessaire au contrôle de l'authentification et des autorisations de votre compte Comptes AWS.

Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur racine, consultez Tâches nécessitant les informations d’identification de l’utilisateur racine dans le Guide de l’utilisateur IAM. Utilisez IAM pour configurer des utilisateurs en plus de votre utilisateur root, tels que des administrateurs, des analystes et des développeurs, et leur accorder l'accès aux ressources dont ils ont besoin pour mener à bien leurs tâches.

Une fois qu'un utilisateur est configuré dans IAM, il utilise ses informations de connexion pour s'authentifier auprès de lui. AWS L'authentification fonctionne en faisant correspondre les informations de connexion à un principal (un utilisateur IAM, un utilisateur fédéré, un rôle IAM ou une application) approuvé par le Compte AWS. Ensuite, une demande est effectuée pour accorder au principal l'accès aux ressources. L'accès est accordé en réponse à une demande d'autorisation si l'utilisateur a reçu l'autorisation d'accéder à la ressource. Par exemple, lorsque vous vous connectez pour la première fois à la console et que vous vous trouvez sur la page d'accueil de la console, vous n'accédez pas à un service spécifique. Lorsque vous sélectionnez un service, la demande d'autorisation est envoyée à ce service et celui-ci vérifie si votre identité figure sur la liste des utilisateurs autorisés, les stratégies appliquées pour contrôler le niveau d'accès accordé et toutes les autres stratégies susceptibles d'être en vigueur. Les demandes d'autorisation peuvent être faites par des mandants au sein de vous Compte AWS ou par une autre personne en Compte AWS qui vous avez confiance.

Une fois autorisé, le principal peut prendre des mesures ou effectuer des opérations sur les ressources de votre Compte AWS. Par exemple, le principal peut lancer une nouvelle Amazon Elastic Compute Cloud instance, modifier l'appartenance à un groupe IAM ou supprimer des Amazon Simple Storage Service buckets.

L'IAM, comme de nombreux autres AWS services, est finalement cohérent. IAM garantit une haute disponibilité en répliquant les données sur plusieurs serveurs dans les centres de données d'Amazon du monde entier. Si une demande de modification de certaines données aboutit, la modification est validée et stockée en toute sécurité. En revanche, cette modification doit être répliquée dans IAM, ce qui peut prendre un certain temps. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure ce type de modifications IAM dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications IAM dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent. Pour plus d’informations, consultez Les modifications que j'apporte ne sont pas toujours visibles immédiatement.

AWS Identity and Access Management (IAM) et AWS Security Token Service (AWS STS) sont des fonctionnalités de votre AWS compte proposées sans frais supplémentaires. Vous êtes facturé uniquement lorsque vous accédez à d'autres AWS services à l'aide de vos utilisateurs IAM ou de vos informations d'identification de sécurité AWS STS temporaires. Pour plus d'informations sur les prix des autres AWS produits, consultez la page de tarification d'Amazon Web Services.

L'IAM est intégré à de nombreux AWS services. Pour obtenir la liste des AWS services compatibles avec IAM, consultezAWS services qui fonctionnent avec IAM.

AWS Training and Certification propose une présentation vidéo de 10 minutes de l'IAM :

Introduction à AWS Identity and Access Management

Pour plus d'informations sur les concepts IAM, consultez les rubriques suivantes :

En savoir plus

• Pourquoi utiliser IAM
• Quand utiliser IAM
• Comment gérer l'IAM
• Fonctionnement de IAM
• Quelles sont les différentes identités des utilisateurs dans IAM
• Comment les autorisations et les politiques assurent la gestion des accès
• À quoi sert ABAC AWS
• Quelles sont les tâches courantes effectuées à l'aide d'IAM ?