Présentation de la gestion d'identité AWS : utilisateurs - AWS Identity and Access Management
Premier accès uniquement : vos informations d'identification utilisateur racineUtilisateurs IAM et utilisateurs dans IAM Identity CenterFédération d'utilisateurs existantsMéthodes de contrôle d'accès

Présentation de la gestion d'identité AWS : utilisateurs

Vous pouvez donner accès à votre Compte AWS à des utilisateurs spécifiques et leur fournir des autorisations spécifiques pour accéder aux ressources de votre Compte AWS. Vous pouvez utiliser IAM et AWS IAM Identity Center (successor to AWS Single Sign-On) pour créer de nouveaux utilisateurs ou fédérer des utilisateurs existants dans AWS. La principale différence entre les deux réside dans le fait que les utilisateurs IAM se voient attribuer des informations d'identification à long terme pour accéder à vos ressources AWS, tandis que les utilisateurs d'IAM Identity Center disposent d'informations d'identification temporaires qui sont établies chaque fois que l'utilisateur se connecte à AWS. En guise de bonne pratique, exigez des utilisateurs humains qu'ils se joignent à un fournisseur d'identité pour accéder à AWS en utilisant des informations d'identification temporaires plutôt qu'en tant qu'utilisateur IAM. Les utilisateurs IAM servent principalement à donner aux charges de travail qui ne peuvent pas utiliser de rôles IAM la capacité d'effectuer des demandes par programmation aux services AWS à l'aide de l'API ou de l'interface de ligne de commande.

Premier accès uniquement : vos informations d'identification utilisateur racine

Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les Services AWS et ressources du compte. Cette identité est appelée utilisateur root du Compte AWS. Vous pouvez y accéder en vous connectant à l'aide de l'adresse électronique et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur root pour vos tâches quotidiennes. Protégez vos informations d'identification d'utilisateur root et utilisez-les pour effectuer les tâches que seul l'utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu'utilisateur root, consultez Tâches nécessitant des informations d'identification d'utilisateur root dans le Guide de référence d'AWS Account Management. Seules les politiques de contrôle des services (SCP, Service Control Policies) dans les organisations peuvent restreindre les autorisations accordées à l'utilisateur racine.

Utilisateurs IAM et utilisateurs dans IAM Identity Center

Les utilisateurs IAM ne sont pas des comptes distincts ; ce sont des utilisateurs présents dans votre compte. Chaque utilisateur dispose de son propre mot de passe pour accéder à l'AWS Management Console. Vous pouvez également créer une clé d'accès individuelle pour chaque utilisateur afin de lui permettre d'effectuer des demandes par programmation en vue d'utiliser des ressources de votre compte.

Les utilisateurs IAM se voient attribuer des informations d'identification à long terme pour accéder à vos ressources AWS. En tant que bonne pratique, ne créez pas d'utilisateurs IAM avec des informations d'identification à long terme pour vos utilisateurs humains. Demandez plutôt à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès à AWS.

Note

pour les scénarios dans lesquels vous avez besoin d'utilisateurs IAM disposant d'un accès par programmation et d'informations d'identification à long terme, nous vous recommandons de faire pivoter les clés d'accès. Pour plus d’informations, veuillez consulter Rotation des clés d'accès.

En revanche, les utilisateurs dans AWS IAM Identity Center (successeur d'AWS Single Sign-On) se voient accorder des informations d'identification à court terme à vos ressources AWS. Pour une gestion centralisée des accès, nous vous recommandons d'utiliser AWS IAM Identity Center (successor to AWS Single Sign-On) (IAM Identity Center) pour gérer l'accès à vos comptes et les autorisations au sein de ceux-ci. IAM Identity Center est automatiquement configuré avec un annuaire Identity Center comme source d'identité par défaut dans lequel vous pouvez créer des utilisateurs et des groupes, et attribuer un niveau d'accès correspondant à vos ressources AWS. Pour de plus amples informations, consultez Présentation de AWS IAM Identity Center (successor to AWS Single Sign-On) dans le Guide de l'utilisateur AWS IAM Identity Center (successor to AWS Single Sign-On).

Fédération d'utilisateurs existants

Si les utilisateurs de votre organisation peuvent déjà s'authentifier, par exemple en se connectant à votre réseau d'entreprise, vous n'avez pas besoin de leur créer des utilisateurs IAM distincts ou des utilisateurs dans IAM Identity Center. Au lieu de cela, vous pouvez fédérer ces identités utilisateur dans AWS avec IAM ou AWS IAM Identity Center (successor to AWS Single Sign-On).

Le diagramme suivant explique comment un utilisateur peut obtenir des informations d'identification de sécurité AWS temporaires pour accéder aux ressources de votre Compte AWS.

Les utilisateurs déjà authentifiés ailleurs peuvent être fédérés dans AWS et assumer un rôle IAM qui leur permet d'accéder à des ressources spécifiques. Pour plus d'informations sur les rôles, consultez Termes et concepts relatifs aux rôles.

La fédération est particulièrement utile dans les cas suivants :

  • Vos utilisateurs existent déjà dans un annuaire d'entreprise.

    Si votre annuaire d'entreprise est compatible avec Security Assertion Markup Language 2.0 (SAML 2.0), vous pouvez le configurer pour fournir un accès avec authentification unique (SSO) à l'AWS Management Console pour vos utilisateurs. Pour plus d’informations, veuillez consulter Scénarios courants d'informations d'identification temporaires.

    Si votre annuaire d'entreprise n'est pas compatible avec SAML 2.0, vous pouvez créer une application de broker d'identités pour fournir un accès avec authentification unique (SSO) à l'AWS Management Console pour vos utilisateurs. Pour plus d’informations, veuillez consulter Activation de l'accès de broker d'identité personnalisé à la console AWS.

    Si votre annuaire d'entreprise est Microsoft Active Directory, vous pouvez utiliser AWS IAM Identity Center (successor to AWS Single Sign-On) pour connecter un annuaire auto-géré dans Active Directory ou un annuaire dans AWS Directory Service établir une relation d'approbation entre votre annuaire d'entreprise et votre Compte AWS.

    Si vous utilisez un fournisseur d'identité (IdP) externe tel qu'Okta ou Azure Active Directory pour gérer les utilisateurs, vous pouvez utiliser AWS IAM Identity Center (successor to AWS Single Sign-On) pour établir une relation d'approbation entre celui-ci et votre Compte AWS. Pour plus d'informations, consultez la section Se connecter à un fournisseur d'identité externe dans le Guide de l'utilisateur AWS IAM Identity Center (successor to AWS Single Sign-On).

  • Vos utilisateurs disposent déjà d'identités Internet.

    Si vous créez une application mobile ou une application basée sur le web permettant aux utilisateurs de s'identifier à l'aide d'un fournisseur d'entité Internet comme Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC), l'application peut utiliser la fédération pour accéder à AWS. Pour plus d’informations, veuillez consulter À propos de la fédération d'identité web.

    Astuce

    Pour utiliser la fédération d'identité avec des fournisseurs d'identité, nous vous recommandons d'utiliser Amazon Cognito.

Méthodes de contrôle d'accès

Voici comment utiliser IAM pour contrôler l'accès à vos ressources AWS.

Type d'accès utilisateur Pourquoi devrais-je l'utiliser ? Comment puis-je obtenir plus d'informations ?

Accès par authentification unique pour les utilisateurs humains, tels que les utilisateurs de votre personnel, aux ressources AWS à l'aide d'IAM Identity Center

IAM Identity Center étend les fonctionnalités d'IAM pour fournir un emplacement central qui regroupe l'administration des utilisateurs et leur accès aux Comptes AWS et aux applications cloud.

Vous pouvez configurer un magasin d'identités dans IAM Identity Center ou configurer une fédération avec un fournisseur d'identité (IdP) existant. En guise de bonne pratique de sécurité, il est recommandé d'accorder à vos utilisateurs humains des informations d'identification limitées aux ressources AWS en fonction des besoins.

Les utilisateurs bénéficient d'une expérience de connexion simplifiée et vous conservez le contrôle de leur accès aux ressources à partir d'un système unique. IAM Identity Center prend en charge l'authentification multifactorielle (MFA) pour renforcer la sécurité des comptes.

Pour plus d'informations sur la configuration d'IAM Identity Center, consultez Mise en route dans le Guide de l'utilisateur AWS IAM Identity Center (successor to AWS Single Sign-On).

Pour plus d'informations sur l'utilisation de MFA dans IAM Identity Center, consultez Authentification multifactorielle dans le Guide de l'utilisateur AWS IAM Identity Center (successor to AWS Single Sign-On).

Accès fédéré pour les utilisateurs humains, tels que les utilisateurs de votre personnel, aux services AWS utilisant des fournisseurs d'identité IAM

IAM prend en charge les IdP compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0). Après avoir créé un fournisseur d'identité IAM, vous devez créer un ou plusieurs rôles IAM qui peuvent être attribués de manière dynamique à un utilisateur fédéré.

Pour plus d'informations sur les fournisseurs d'identité IAM et la fédération, consultez Fournisseurs d'identité et fédération.

Accès intercompte entre Comptes AWS

Vous souhaitez partager l'accès à certaines ressources AWS avec des utilisateurs dans d'autres Comptes AWS.

Les rôles constituent le principal moyen d'accorder l'accès intercompte. Toutefois, certains services AWS vous permettent d'attacher une politique directement à une ressource (au lieu d'utiliser un rôle en tant que proxy). On les appelle « politiques basées sur une ressource ».

Pour plus d'informations sur les rôles IAM, consultez Rôles IAM.

Pour plus d'informations sur les rôles liés à un service, consultez Utilisation des rôles liés à un service.

Pour connaître les services qui prennent en charge l'utilisation de rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM. Recherchez les services qui comportent un Oui dans la colonne Rôle lié à un service. Pour consulter la documentation relative au rôle lié à un service, sélectionnez le lien associé à Oui dans cette colonne.

Informations d'identification à long terme pour les utilisateurs IAM désignés dans votre Compte AWS

Vous pouvez avoir certains cas d'utilisation spécifiques qui nécessitent des informations d'identification à long terme avec les utilisateurs IAM dans AWS. Vous pouvez utiliser IAM pour créer ces utilisateurs IAM dans votre Compte AWS et utiliser IAM pour gérer leurs autorisations. Voici certaines des fonctionnalités les plus utilisées :

  • Charges de travail qui ne peuvent pas utiliser des rôles IAM

  • Clients AWS tiers

  • AWS IAM Identity Center (successor to AWS Single Sign-On) n'est pas disponible pour votre compte et vous n'avez aucun autre fournisseur d'identité

En guise de bonne pratique pour les scénarios dans lesquels vous avez besoin d'utilisateurs IAM disposant d'un accès programmatique et des informations d'identification à long terme, nous vous recommandons d'effectuer une rotation des clés d'accès. Pour plus d’informations, veuillez consulter Rotation des clés d'accès.

Pour plus d'informations sur la configuration d'un utilisateur IAM, consultez Créer un utilisateur IAM dans votre Compte AWS.