Comparez les IAM identités et les informations d'identification - AWS Identity and Access Management
ConditionsDifférence entre IAM les utilisateurs et les utilisateurs dans IAM Identity CenterFédérer les utilisateurs à partir d'une source d'identité existanteDifférentes méthodes pour fournir un accès aux utilisateursSupport de l'accès programmatique des utilisateurs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comparez les IAM identités et les informations d'identification

Les identités gérées dans AWS Identity and Access Management sont les IAM utilisateurs, IAM les rôles et IAM les groupes. Ces identités s'ajoutent à celles de votre utilisateur root AWS créé en même temps que votre Compte AWS.

Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Provisionnez plutôt des utilisateurs supplémentaires et accordez-leur les autorisations nécessaires pour effectuer les tâches nécessaires. Vous pouvez ajouter des utilisateurs soit en ajoutant des personnes à votre répertoire IAM Identity Center, soit en fédérant un fournisseur d'identité externe avec IAM Identity Center, soit en créant des IAM utilisateurs ayant le moindre privilège. IAM

Après avoir configuré vos utilisateurs, vous pouvez donner accès à vos utilisateurs Compte AWS à des personnes spécifiques et leur donner les autorisations d'accéder aux ressources.

Il est AWS recommandé de demander aux utilisateurs humains d'assumer un IAM rôle d'accès AWS afin qu'ils utilisent des informations d'identification temporaires. Si vous gérez les identités dans le répertoire IAM Identity Center ou si vous utilisez la fédération avec un fournisseur d'identité, vous suivez les meilleures pratiques.

Conditions

Ces termes sont couramment utilisés lorsque vous travaillez avec des IAM identités :

IAMRessource

Le IAM service stocke ces ressources. Vous pouvez les ajouter, les modifier et les supprimer de la IAM console.

  • IAMutilisateur

  • IAMgroupe

  • IAMrôle

  • Stratégie d'autorisation

  • Objet fournisseur d'identité

IAMEntité

IAMressources AWS utilisées pour l'authentification. Spécifiez l'entité en tant que principal dans une politique basée sur les ressources.

  • IAMutilisateur

  • IAMrôle

IAMIdentité

IAMRessource autorisée par les politiques à effectuer des actions et à accéder aux ressources. Les identités incluent IAM les utilisateurs, IAM les groupes et IAM les rôles.

Ce diagramme montre que l'IAMutilisateur et le IAM rôle sont des principaux qui sont également des entités et des identités, mais que l'utilisateur root est un principal qui n'est ni une entité ni une identité. Le diagramme indique également que les IAM groupes sont des identités. IAMl'authentification contrôle l'accès aux identités à l'aide de politiques, mais l'utilisateur root dispose d'un accès complet aux AWS ressources et ne peut être limité par des politiques basées sur l'identité ou les ressourcesIAM.
Principaux

IAMUtilisateur ou IAM rôle qui peut demander une action ou une opération sur une AWS ressource. Utilisateur racine d'un compte AWS Les principes incluent les utilisateurs humains, les charges de travail, les utilisateurs fédérés et les rôles assumés. Après l'authentification, IAM accorde au principal des informations d'identification permanentes ou temporaires auxquelles il peut envoyer des demandes AWS, selon le type principal.

Les utilisateurs humains sont également appelés identités humaines, c'est-à-dire les personnes, les administrateurs, les développeurs, les opérateurs et les consommateurs de vos applications.

Les charges de travail sont un ensemble de ressources et de codes qui apportent une valeur commerciale, tels qu'une application, un processus, des outils opérationnels et d'autres composants.

Les utilisateurs fédérés sont des utilisateurs dont l'identité et les informations d'identification sont gérées par un autre fournisseur d'identité, tel qu'Active Directory, Okta ou Microsoft Entra.

IAMles rôles sont une IAM identité que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques qui déterminent ce que l'identité peut et ne peut pas faire. En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin.

IAMaccorde aux IAM utilisateurs et à l'utilisateur root des informations d'identification à long terme et IAM des informations d'identification temporaires aux rôles. Les utilisateurs fédérés peuvent utilisateurs dans IAM Identity Center assumer des IAM rôles lorsqu'ils se connectent AWS, ce qui leur confère des informations d'identification temporaires. Il est recommandé de demander aux utilisateurs humains et aux charges de travail d'accéder aux AWS ressources à l'aide d'informations d'identification temporaires.

Différence entre IAM les utilisateurs et les utilisateurs dans IAM Identity Center

IAMles utilisateurs ne sont pas des comptes distincts ; ce sont des utilisateurs individuels au sein de votre compte. Chaque utilisateur possède son propre mot de passe pour accéder au AWS Management Console. Vous pouvez également créer une clé d'accès individuelle pour chaque utilisateur afin de lui permettre d'effectuer des demandes par programmation en vue d'utiliser des ressources de votre compte.

IAMles utilisateurs et leurs clés d'accès disposent d'informations d'identification à long terme pour vos AWS ressources. L'utilisation principale pour IAM les utilisateurs est de donner aux charges de travail qui ne peuvent pas utiliser de IAM rôles la possibilité d'envoyer des demandes programmatiques aux AWS services à l'aide du API ou. CLI

Note

Pour les scénarios dans lesquels vous avez besoin d'IAMutilisateurs disposant d'un accès programmatique et d'informations d'identification à long terme, nous vous recommandons de mettre à jour les clés d'accès en cas de besoin. Pour de plus amples informations, veuillez consulter Mettre à jour les clés d'accès.

Les identités du personnel (personnes) utilisateurs dans IAM Identity Centeront des besoins d'autorisation différents en fonction du rôle qu'ils jouent et peuvent travailler dans différents Comptes AWS domaines au sein d'une organisation. Si vous avez des cas d'utilisation qui nécessitent des clés d'accès, vous pouvez les soutenir avec utilisateurs dans IAM Identity Center. Les personnes qui se connectent via le portail AWS d'accès peuvent obtenir des clés d'accès avec des informations d'identification à court terme pour accéder à vos AWS ressources. Pour une gestion centralisée des accès, nous vous recommandons d'utiliser AWS IAM Identity Center (IAMIdentity Center) pour gérer l'accès à vos comptes et les autorisations associées à ces comptes. IAMIdentity Center est automatiquement configuré avec un répertoire Identity Center comme source d'identité par défaut, dans lequel vous pouvez ajouter des personnes et des groupes, et attribuer leur niveau d'accès à vos AWS ressources. Pour plus d’informations, consultez Présentation de AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center .

La principale différence entre ces deux types d'utilisateurs est que les utilisateurs IAM d'Identity Center assument automatiquement un IAM rôle lorsqu'ils se connectent AWS avant d'accéder à la console de gestion ou aux AWS ressources. IAMles rôles accordent des informations d'identification temporaires chaque fois que l'utilisateur se connecte à. AWS Pour que IAM les utilisateurs puissent se connecter en utilisant un IAM rôle, ils doivent être autorisés à assumer et à changer de rôle et ils doivent explicitement choisir de passer au rôle qu'ils souhaitent assumer après avoir accédé au AWS compte.

Fédérer les utilisateurs à partir d'une source d'identité existante

Si les utilisateurs de votre organisation sont déjà authentifiés lorsqu'ils se connectent à votre réseau d'entreprise, il n'est pas nécessaire de créer des IAM utilisateurs ou des utilisateurs distincts dans IAM Identity Center pour eux. Au lieu de cela, vous pouvez fédérer ces identités d'utilisateurs en AWS utilisant l'un IAM ou AWS IAM Identity Center l'autre. Les utilisateurs fédérés assument un IAM rôle qui leur donne l'autorisation d'accéder à des ressources spécifiques. Pour plus d'informations sur les rôles , consultez Termes et concepts relatifs aux rôles.

Ce schéma montre comment un utilisateur fédéré peut obtenir des informations d'identification AWS de sécurité temporaires pour accéder aux ressources de votre Compte AWS.

La fédération est utile dans les cas suivants :

  • Vos utilisateurs existent déjà dans un annuaire d'entreprise.

    Si votre annuaire d'entreprise est compatible avec Security Assertion Markup Language SAML 2.0 (2.0), vous pouvez configurer votre annuaire d'entreprise pour fournir un accès par authentification unique (SSO) au AWS Management Console pour vos utilisateurs. Pour de plus amples informations, veuillez consulter Scénarios courants d'informations d'identification temporaires.

    Si votre annuaire d'entreprise n'est pas compatible avec la SAML version 2.0, vous pouvez créer une application de courtage d'identité pour fournir un accès par authentification unique (SSO) à vos utilisateurs. AWS Management Console Pour de plus amples informations, veuillez consulter Permettre à un courtier d'identité personnalisé d'accéder à la AWS console.

    Si votre annuaire d'entreprise est Microsoft Active Directory, vous pouvez l'utiliser AWS IAM Identity Center pour connecter un répertoire autogéré dans Active Directory ou un annuaire AWS Directory Servicepour établir un lien de confiance entre votre annuaire d'entreprise et votre Compte AWS.

    Si vous utilisez un fournisseur d'identité externe (IdP) tel qu'Okta ou Microsoft Entra pour gérer les utilisateurs, vous pouvez l'utiliser AWS IAM Identity Center pour établir un lien de confiance entre votre IdP et votre. Compte AWS Pour plus d'informations, consultez la section Se connecter à un fournisseur d'identité externe dans le Guide de l'utilisateur AWS IAM Identity Center .

  • Vos utilisateurs disposent déjà d'identités Internet.

    Si vous créez une application mobile ou une application Web qui permet aux utilisateurs de s'identifier par le biais d'un fournisseur d'identité Internet tel que Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC), l'application peut utiliser la fédération pour accéder. AWS Pour de plus amples informations, veuillez consulter OIDCfédération.

    Astuce

    Pour utiliser la fédération d'identité avec des fournisseurs d'identité, nous vous recommandons d'utiliser Amazon Cognito.

Différentes méthodes pour fournir un accès aux utilisateurs

Voici comment vous pouvez donner accès à vos AWS ressources.

Type d'accès utilisateur Quand l'utilise-t-on ? Où trouver plus d'informations ?

Accès par authentification unique pour les personnes, telles que les utilisateurs de votre personnel, aux AWS ressources à l'aide IAM d'Identity Center

IAMIdentity Center fournit un espace central qui regroupe l'administration des utilisateurs et leur accès aux Comptes AWS applications cloud.

Vous pouvez configurer un magasin d'identités dans IAM Identity Center ou vous pouvez configurer une fédération avec un fournisseur d'identité (IdP) existant. Les meilleures pratiques de sécurité recommandent d'accorder à vos utilisateurs humains des informations d'identification limitées aux AWS ressources.

Les utilisateurs bénéficient d'une expérience de connexion simplifiée et vous gardez le contrôle de leur accès aux ressources à partir d'un système unique. IAMIdentity Center prend en charge l'authentification multifactorielle (MFA) pour renforcer la sécurité du compte.

Pour plus d'informations sur la configuration IAM d'Identity Center, voir Getting Started dans le guide de AWS IAM Identity Center l'utilisateur

Pour plus d'informations sur l'utilisation MFA dans IAM Identity Center, voir Authentification multifactorielle dans le guide de l'AWS IAM Identity Center utilisateur

Accès fédéré pour les utilisateurs humains, tels que les utilisateurs de votre personnel, aux AWS services utilisant des fournisseurs IAM d'identité () IdPs

IAMsupports IdPs compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0). Après avoir créé un fournisseur IAM d'identité, créez un ou plusieurs IAM rôles qui peuvent être attribués dynamiquement à un utilisateur fédéré.

Pour plus d'informations sur les fournisseurs IAM d'identité et la fédération, consultezFournisseurs d'identité et fédération.

Accès multicompte entre Comptes AWS

Vous souhaitez partager l'accès à certaines AWS ressources avec des utilisateurs d'autres ressources Comptes AWS.

Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, certains AWS services prennent en charge les politiques basées sur les ressources qui vous permettent d'associer une politique directement à une ressource (au lieu d'utiliser un rôle comme proxy).

Pour plus d'informations sur IAM les rôles, consultezIAMrôles.

Pour plus d’informations sur les rôles liés à un service, consultez Créer un rôle lié à un service.

Pour connaître les services qui prennent en charge l'utilisation de rôles liés à un service, consultez AWS services qui fonctionnent avec IAM. Recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Pour consulter la documentation relative au rôle lié à un service, sélectionnez le lien associé à Oui dans cette colonne.

Informations d'identification à long terme pour IAM les utilisateurs désignés de votre Compte AWS

Il se peut que vous ayez des cas d'utilisation spécifiques qui nécessitent des informations d'identification à long terme avec IAM les utilisateurs AWS. Vous pouvez IAM les utiliser pour créer ces IAM utilisateurs dans votre Compte AWS et les utiliser IAM pour gérer leurs autorisations. Certains cas d'utilisation incluent les suivants :

  • Charges de travail ne pouvant pas utiliser IAM de rôles

  • AWS Clients tiers nécessitant un accès programmatique via des clés d'accès

  • Informations d'identification spécifiques au service pour ou AWS CodeCommit Amazon Keyspaces

  • AWS IAM Identity Center n'est pas disponible pour votre compte et vous n'avez aucun autre fournisseur d'identité

À titre de bonne pratique dans les scénarios dans lesquels vous avez besoin d'IAMutilisateurs disposant d'un accès programmatique et d'informations d'identification à long terme, nous vous recommandons de mettre à jour les clés d'accès en cas de besoin. Pour de plus amples informations, veuillez consulter Mettre à jour les clés d'accès.

Pour plus d'informations sur la configuration d'un IAM utilisateur, consultezCréez un IAM utilisateur dans votre Compte AWS.

Pour plus d'informations sur les clés IAM d'accès utilisateur, consultezGérer les clés d'accès pour IAM les utilisateurs.

Pour plus d'informations sur les informations d'identification spécifiques à un service pour ou AWS CodeCommit Amazon Keyspaces, consultez et. IAMinformations d'identification pour CodeCommit : informations d'identification, SSH clés et clés AWS d'accès Git Utilisation IAM avec Amazon Keyspaces (pour Apache Cassandra)

Support de l'accès programmatique des utilisateurs

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur accédant AWS :

  • Si vous gérez les IAM identités dans Identity Center, elles AWS APIs nécessitent un profil et AWS Command Line Interface nécessitent un profil ou une variable d'environnement.

  • Si vous avez des IAM utilisateurs, les AWS APIs et les clés d'accès AWS Command Line Interface requises. Lorsque cela est possible, créez des informations d’identification temporaires composées d’un ID de clé d’accès, d’une clé d’accès secrète et d’un jeton de sécurité qui indique la date d’expiration des informations d’identification.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ? Option En savoir plus

Identités du personnel

(Personnes et utilisateurs gérés dans IAM Identity Center)

 Utilisez des informations d'identification à court terme pour signer les demandes programmatiques adressées au AWS CLI ou AWS APIs (directement ou en utilisant le AWS SDKs).

Pour ce faire AWS CLI, suivez les instructions de la section Obtenir les informations d'identification du IAM rôle pour CLI y accéder dans le Guide de AWS IAM Identity Center l'utilisateur.

Pour ce faire AWS APIs, suivez les instructions figurant dans les SSOinformations d'identification du guide de référence AWS SDKs et des outils.
IAMutilisateurs Utilisez des informations d'identification à court terme pour signer les demandes programmatiques adressées au AWS CLI ou AWS APIs (directement ou en utilisant le AWS SDKs). Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec AWS des ressources.
IAMutilisateurs Utilisez des informations d'identification à long terme pour signer les demandes programmatiques adressées au AWS CLI ou AWS APIs (directement ou en utilisant le AWS SDKs).

(Non recommandé)

 Suivez les instructions de la section Gestion des clés d'accès pour IAM les utilisateurs.
Utilisateurs fédérés Utilisez une AWS STS API opération pour créer une nouvelle session avec des informations de sécurité temporaires comprenant une paire de clés d'accès et un jeton de session. Pour des explications sur les API opérations, voir Demander des informations d'identification de sécurité temporaires