AWS: permet aux utilisateurs IAM de gérer leurs propres informations d'identification sur la page Informations d'identification de sécurité

Cet exemple montre comment créer une politique basée sur l'identité qui permet aux utilisateurs IAM de gérer leurs propres informations d'identification sur la page Informations d'identification de sécurité. Cette AWS Management Console page affiche les informations du compte, telles que l'identifiant du compte et l'identifiant utilisateur canonique. Les utilisateurs peuvent également consulter et modifier leurs propres mots de passe, clés d'accès, certificats X.509, clés SSH et informations d'identification Git. Cet exemple de politique inclut les autorisations requises pour consulter et modifier toutes les informations de la page sauf le dispositif MFA de l'utilisateur. Pour autoriser les utilisateurs à gérer leurs propres informations d'identification avec l'authentification MFA, consultez AWS: permet aux utilisateurs IAM authentifiés par MFA de gérer leurs propres informations d'identification sur la page Informations d'identification de sécurité.

Pour savoir comment les utilisateurs peuvent accéder à la page des informations d'identification de sécurité, voirComment les utilisateurs IAM modifient leur mot de passe (console).

À quoi sert cette politique ?

• L'instruction AllowViewAccountInfo permet à l'utilisateur d'afficher les informations au niveau du compte. Ces autorisations doivent se trouver dans leur propre instruction, car elles ne prennent pas en charge ou n'ont pas besoin de spécifier d'ARN de ressource particulier. À la place, les autorisations spécifient "Resource" : "*". Cette instruction contient les actions suivantes qui permettent à l'utilisateur d'afficher des informations spécifiques :

  • GetAccountPasswordPolicy : afficher les exigences de mot de passe du compte lors de la modification de son propre mot de passe utilisateur IAM.

  • GetAccountSummary : afficher l'ID du compte et l'ID d'utilisateur canonique du compte.

• L'instruction AllowManageOwnPasswords permet à l'utilisateur de modifier son propre mot de passe. Cette instruction inclut également l'action GetUser, qui est requise pour afficher la plupart des informations de la page My security credentials (Mes informations d'identification de sécurité).

• L'instruction AllowManageOwnAccessKeys permet à l'utilisateur de créer, mettre à jour et supprimer ses propres clés d'accès. L'utilisateur récupère peut également récupérer des informations relatives au moment où la clé d'accès spécifiée a été utilisée pour la dernière fois.

• L'instruction AllowManageOwnSigningCertificates permet à l'utilisateur de charger, mettre à jour et supprimer ses propres certificats de signature.

• L'instruction AllowManageOwnSSHPublicKeys permet à l'utilisateur de charger, mettre à jour et supprimer ses propres clés SSH publiques pour CodeCommit.

• L'instruction AllowManageOwnGitCredentials permet à l'utilisateur de créer, mettre à jour et supprimer ses propres informations d'identification Git pour CodeCommit.

Cette politique ne permet pas aux utilisateurs de consulter ni de gérer leurs propres dispositifs MFA. Ils ne peuvent pas afficher la page Users (Utilisateurs) dans la console IAM, ou utiliser cette page pour accéder à leurs propres informations utilisateur. Pour que cela soit possible, ajoutez l'action iam:ListUsers à l'instruction AllowViewAccountInfo. Cette stratégie ne permet pas non plus aux utilisateurs de modifier leur mot de passe sur leur propre page utilisateur. Pour que cela soit possible, ajoutez les actions iam:CreateLoginProfile, iam:DeleteLoginProfile, iam:GetLoginProfile et iam:UpdateLoginProfile à l'instruction AllowManageOwnPasswords.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowViewAccountInfo",
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"       
            ],
            "Resource": "*"
        },       
        {
            "Sid": "AllowManageOwnPasswords",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:GetUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:GetAccessKeyLastUsed"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSigningCertificates",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSigningCertificate",
                "iam:ListSigningCertificates",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnSSHPublicKeys",
            "Effect": "Allow",
            "Action": [
                "iam:DeleteSSHPublicKey",
                "iam:GetSSHPublicKey",
                "iam:ListSSHPublicKeys",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowManageOwnGitCredentials",
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceSpecificCredential",
                "iam:DeleteServiceSpecificCredential",
                "iam:ListServiceSpecificCredentials",
                "iam:ResetServiceSpecificCredential",
                "iam:UpdateServiceSpecificCredential"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}