Présentation de la gestion d'identité AWS : utilisateurs - AWS Identity and Access Management

Présentation de la gestion d'identité AWS : utilisateurs

Pour plus de sécurité et une meilleure organisation, vous accordez l'accès à votre compte AWS à des utilisateurs spécifiques, à savoir à des identités que vous créez avec des autorisations personnalisées. Vous pouvez encore simplifier l'accès des utilisateurs en fédérant les identités existantes dans AWS.

Premier accès uniquement : vos informations d'identification utilisateur racine

Lorsque vous créez un compte AWS, vous créez une identité d'utilisateur racine Compte AWS que vous utilisez pour vous connecter à AWS. Vous pouvez vous connecter à la AWS Management Console à l'aide de cette identité d'utilisateur racine, c'est-à-dire avec l'adresse e-mail et le mot de passe que vous avez fournis lors de la création du compte. Cette combinaison de votre adresse e-mail et de votre mot de passe est également appelée vos informations d'identification d'utilisateur racine.

Lorsque vous utilisez vos informations d'identification d'utilisateur racine, vous avez un accès complet, sans restriction, à toutes les ressources de votre compte AWS, notamment à vos informations de facturation et à la fonctionnalité de modification du mot de passe. Ce niveau d'accès est nécessaire lorsque vous configurez pour la première fois votre compte. Cependant, nous vous déconseillons d'utiliser les informations d'identification d'utilisateur racine pour un accès quotidien. Nous vous recommandons en particulier de ne pas divulguer les informations d'identification d'utilisateur racine à quiconque, car cela leur fournirait un accès illimité à votre compte. Seules les politiques de contrôle des services (SCP, Service Control Policies) dans les organisations peuvent restreindre les autorisations accordées à l'utilisateur racine.

Les sections suivantes expliquent comment utiliser AWS pour créer et gérer l'identité et les autorisations de l'utilisateur pour offrir un accès sécurisé et limité à vos ressources à la fois pour vous-même et pour les utilisateurs qui doivent utiliser vos ressources AWS.

Utilisateurs IAM

L'aspect d'« identité » d'AWS Identity and Access Management (IAM) vous aide à répondre à la question « Qui est cet utilisateur ? », souvent appelé authentification. Au lieu de partager vos informations d'identification d'utilisateur racine avec d'autres utilisateurs, vous pouvez créer des utilisateurs IAM individuels dans votre compte correspondant aux utilisateurs de votre organisation. Les utilisateurs IAM ne sont pas des comptes distincts ; ce sont des utilisateurs présents dans votre compte. Chaque utilisateur dispose de son propre mot de passe pour accéder à l' AWS Management Console. Vous pouvez également créer une clé d'accès individuelle pour chaque utilisateur afin de lui permettre d'effectuer des demandes par programmation en vue d'utiliser des ressources de votre compte. Dans l'illustration suivante, les utilisateurs Li, Mateo, DevApp1, DevApp2, TestApp1 et TestApp2 ont été ajoutés à un compte AWS unique. Chaque utilisateur dispose de ses propres informations d'identification.


        Compte AWS avec des utilisateurs IAM individuels, dont chacun dispose d'informations d'identification.

Notez que certains des utilisateurs sont en réalité des applications (par exemple, DevApp1). Un utilisateur IAM n'a pas besoin de représenter une personne réelle. Vous pouvez créer un utilisateur IAM pour pouvoir générer une clé d'accès pour une application qui s'exécute dans votre réseau d'entreprise et doit accéder à AWS.

Nous vous recommandons de créer un utilisateur IAM pour vous-même et d'affecter vous-même des autorisations administratives à ce compte. Vous pouvez ensuite vous connecter en tant que cet utilisateur pour ajouter des utilisateurs supplémentaires au besoin.

Fédération d'utilisateurs existants

Si les utilisateurs de votre organisation peuvent déjà s'authentifier, par exemple en se connectant à votre réseau d'entreprise, vous n'avez pas besoin de créer des utilisateurs IAM distincts pour eux. Au lieu de cela, vous pouvez fédérer ces identités utilisateur dans AWS.

Le diagramme suivant explique comment un utilisateur peut utiliser AWS pour obtenir des informations d'identification de sécurité temporaires pour accéder aux ressources de votre compte AWS.


        Les utilisateurs déjà authentifiés ailleurs peuvent être fédérés dans AWS sans demander d'utilisateur IAM.

La fédération est particulièrement utile dans les cas suivants :

  • Vos utilisateurs ont déjà des identités dans un annuaire d'entreprise.

    Si votre annuaire d'entreprise est compatible avec Security Assertion Markup Language 2.0 (SAML 2.0), vous pouvez le configurer pour fournir un accès avec authentification unique (SSO) à l'AWS Management Console pour vos utilisateurs. Pour de plus amples informations, veuillez consulter Scénarios courants d'informations d'identification temporaires.

    Si votre annuaire d'entreprise n'est pas compatible avec SAML 2.0, vous pouvez créer une application de broker d'identités pour fournir un accès avec authentification unique (SSO) à l'AWS Management Console pour vos utilisateurs. Pour de plus amples informations, veuillez consulter Activation de l'accès de broker d'identité personnalisé à la console AWS.

    Si votre annuaire d'entreprise est Microsoft Active Directory, vous pouvez utiliser AWS Directory Service pour établir une relation d'approbation entre votre annuaire d'entreprise et votre compte AWS.

  • Vos utilisateurs disposent déjà d'identités Internet.

    Si vous créez une application mobile ou une application basée sur le web permettant aux utilisateurs de s'identifier à l'aide d'un fournisseur d'entité Internet comme Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC), l'application peut utiliser la fédération pour accéder à AWS. Pour de plus amples informations, veuillez consulter À propos de la fédération d'identité web.

    Tip

    Pour utiliser la fédération d'identité avec des fournisseurs d'identité, nous vous recommandons d'utiliser Amazon Cognito.