Accès programmatique avec identifiants AWS de sécurité - AWS Gestion de l’identité et des accès
Alternatives aux clés d'accès à long terme

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès programmatique avec identifiants AWS de sécurité

Nous recommandons d'utiliser des touches d'accès à court terme dans la mesure du possible pour effectuer des appels programmatiques vers AWS ou pour utiliser le AWS Command Line Interface ou AWS Tools for PowerShell. Toutefois, vous pouvez également utiliser des clés AWS d'accès à long terme à ces fins.

Lorsque vous créez une clé d'accès à long terme, vous générez l'ID de clé d'accès (par exemple, AKIAIOSFODNN7EXAMPLE) et la clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) sous la forme d'un ensemble. La clé d'accès secrète est accessible en téléchargement uniquement au moment de sa création. Si vous ne téléchargez pas votre clé d'accès secrète ou si vous la perdez, vous devrez la recréer.

Dans de nombreux scénarios, vous n'avez pas besoin de clés d'accès à long terme qui n'expirent jamais (comme c'est le cas lorsque vous créez des clés d'accès pour un IAM utilisateur). Au lieu de cela, vous pouvez créer IAM des rôles et générer des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires comprennent non seulement un ID de clé d'accès et une clé d'accès secrète, mais également un jeton de sécurité qui indique la date d'expiration des informations d'identification. Après leur expiration, elles ne sont plus valides. Pour plus d’informations, consultez Alternatives aux clés d'accès à long terme.

Les clés d'accès IDs commençant par AKIA sont des clés d'accès à long terme pour un IAM utilisateur ou un utilisateur Compte AWS root. Les clés d'accès IDs commençant par ASIA sont des clés d'accès aux informations d'identification temporaires que vous créez à l'aide d' AWS STS opérations.

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ? Pour Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

 Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.
IAM Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec les AWS ressources du Guide de IAM l'utilisateur.
IAM

(Non recommandé)

Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Alternatives aux clés d'accès à long terme

Pour de nombreux cas d'utilisation courants, il existe des alternatives aux clés d'accès à long terme. Pour améliorer la sécurité de votre compte, tenez compte des points suivants.

  • N'intégrez pas de clés d'accès à long terme ni de clés d'accès secrètes dans le code de votre application ou dans un référentiel de code. Utilisez AWS Secrets Manager plutôt une solution de gestion des secrets ou une autre solution de gestion des secrets, afin de ne pas avoir à coder les clés en dur en texte brut. L'application ou le client peut ensuite récupérer des secrets en cas de besoin. Pour plus d'informations, voir Qu'est-ce que c'est AWS Secrets Manager ? dans le guide de AWS Secrets Manager l'utilisateur.

  • Utilisez IAM des rôles pour générer des informations d'identification de sécurité temporaires dans la mesure du possible : utilisez toujours des mécanismes pour émettre des informations d'identification de sécurité temporaires lorsque cela est possible, plutôt que des clés d'accès à long terme. Les informations d'identification de sécurité temporaires sont plus sécurisées car elles ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Les informations d'identification de sécurité temporaires ont une durée de vie limitée, ce qui vous évite d'avoir à les gérer ou à les mettre à jour. Les mécanismes qui fournissent des clés d'accès temporaires incluent IAM les rôles ou l'authentification d'un utilisateur IAM d'Identity Center. Pour les machines qui s'exécutent à l'extérieur, AWS vous pouvez utiliser AWS Identity and Access Management Roles Anywhere.

  • Utilisez des alternatives aux clés d'accès à long terme pour l’ AWS Command Line Interface (AWS CLI) ou aws-shell Les alternatives incluent ce qui suit.

    • AWS CloudShellest un shell pré-authentifié basé sur un navigateur que vous pouvez lancer directement depuis le. AWS Management Console Vous pouvez exécuter AWS CLI des commandes par Services AWS le biais de votre shell préféré (shell Bash, Powershell ou Z). Dans ce cas, il n'est pas nécessaire de télécharger ou d'installer des outils de ligne de commande. Pour plus d'informations, consultez Présentation d' AWS CloudShell dans le Guide de l'utilisateur AWS CloudShell .

    • AWS CLI Intégration de la version 2 avec AWS IAM Identity Center (IAMIdentity Center). Vous pouvez authentifier les utilisateurs et fournir des informations d'identification à court terme pour exécuter des AWS CLI commandes. Pour en savoir plus, consultez les sections Intégration AWS CLI à IAM Identity Center dans le guide de AWS IAM Identity Center l'utilisateur et Configuration du centre AWS CLI pour utiliser IAM Identity Center dans le guide de AWS Command Line Interface l'utilisateur.

  • Ne créez pas de clés d'accès à long terme pour les utilisateurs humains qui ont besoin d'accéder aux applications. Services AWS Sinon, IAM Identity Center peut générer des informations d'accès temporaires auxquelles les utilisateurs externes de votre IdP peuvent accéder. Services AWS Cela élimine le besoin de créer et de gérer des informations d'identification à long terme dansIAM. Dans IAM Identity Center, créez un ensemble d'autorisations IAM Identity Center qui accorde l'accès aux utilisateurs IdP externes. Attribuez ensuite un groupe d'IAMIdentity Center aux autorisations définies dans le champ sélectionné Comptes AWS. Pour plus d'informations, consultez les sections Qu'est-ce que c'est AWS IAM Identity Center, Se connecter à votre fournisseur d'identité externe et Ensembles d'autorisations dans le guide de AWS IAM Identity Center l'utilisateur.

  • Ne stockez pas de clés d'accès à long terme dans un service AWS informatique. Attribuez plutôt un IAM rôle aux ressources de calcul. Cela fournit automatiquement des informations d'identification temporaires pour accorder l'accès. Par exemple, lorsque vous créez un profil d'instance attaché à une EC2 instance Amazon, vous pouvez attribuer un AWS rôle à l'instance et le mettre à la disposition de toutes ses applications. Un profil d'instance contient le rôle et permet aux programmes exécutés sur l'EC2instance Amazon d'obtenir des informations d'identification temporaires. Pour en savoir plus, consultez Utiliser un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon.