AWS informations d'identification de sécurité - AWS Identity and Access Management
Considérations sur la sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS informations d'identification de sécurité

Lorsque vous interagissez avec AWS, vous spécifiez vos informations de AWS sécurité pour vérifier qui vous êtes et si vous êtes autorisé à accéder aux ressources que vous demandez. AWS utilise les informations de sécurité pour authentifier et autoriser vos demandes.

Par exemple, si vous souhaitez télécharger un fichier protégé à partir d'un compartiment Amazon Simple Storage Service (Amazon S3), vos informations d'identification doivent autoriser cet accès. Si vos informations d'identification n'indiquent pas que vous êtes autorisé à télécharger le fichier, AWS refuse votre demande. Cependant, vos informations d'identification de AWS sécurité ne sont pas nécessaires pour télécharger un fichier dans un compartiment Amazon S3 partagé publiquement.

Il existe différents types d'utilisateurs AWS, chacun possédant ses propres identifiants de sécurité :

  • Titulaire du compte (utilisateur root) — L'utilisateur qui a créé le Compte AWS et dispose d'un accès complet.

  • AWS IAM Identity Center utilisateurs : utilisateurs gérés dans AWS IAM Identity Center.

  • Utilisateurs fédérés : utilisateurs de fournisseurs d'identité externes auxquels un accès temporaire est accordé par le AWS biais de la fédération. Pour plus d'informations sur les identités fédérées, consultez Fournisseurs d'identité et fédération.

  • IAMutilisateurs : utilisateurs individuels créés dans le service AWS Identity and Access Management (IAM).

Les utilisateurs disposent d'informations d'identification de sécurité à long terme ou temporaires. L'utilisateur root, IAM l'utilisateur et les clés d'accès disposent d'identifiants de sécurité à long terme qui n'expirent pas. Pour protéger les informations d'identification à long terme, mettez en place des processus pour gérer les clés d'accès, modifier les mots de passe et les activer MFA.

Pour simplifier la gestion des informations d'identification de l'utilisateur root sur l'ensemble des comptes membres AWS Organizations, vous pouvez sécuriser de manière centralisée les informations d'identification de l'utilisateur root de votre compte Comptes AWS géré AWS Organizations. Gérez de manière centralisée l'accès root pour les comptes des membresvous permet de supprimer de manière centralisée et d'empêcher la restauration à long terme des informations d'identification de l'utilisateur root, empêchant ainsi tout accès root involontaire à grande échelle.

IAMrôles utilisateurs dans IAM Identity Center, et les utilisateurs fédérés disposent d'informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires expirent après une période définie ou lorsque l'utilisateur met fin à sa session. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :

  • Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois les informations d'identification AWS expirées, il ne les reconnaît plus ou n'autorise aucun type d'accès à partir des API demandes faites avec elles.

  • Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.

Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :

  • Il n'est pas nécessaire de distribuer ou d'intégrer des informations d'identification AWS de sécurité à long terme dans une application.

  • Vous pouvez donner accès à vos AWS ressources aux utilisateurs sans avoir à définir leur AWS identité. Les informations d'identification temporaires servent de base aux rôles et à la fédération d'identité.

  • Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.

Considérations sur la sécurité

Nous vous recommandons de tenir compte des informations suivantes lorsque vous déterminez les mesures de sécurité pour votre Compte AWS :

  • Lorsque vous créez un Compte AWS, nous créons le compte utilisateur root. Les informations d'identification de l’utilisateur root (propriétaire du compte) permettent un accès complet à toutes les ressources du compte. La première tâche que vous effectuez avec l'utilisateur root consiste à accorder à un autre utilisateur des autorisations administratives Compte AWS afin de minimiser l'utilisation de l'utilisateur root.

  • L'authentification MFA multifactorielle () fournit un niveau de sécurité supplémentaire aux utilisateurs qui peuvent accéder à votre Compte AWS. Pour plus de sécurité, nous vous recommandons d'exiger MFA les Utilisateur racine d'un compte AWS informations d'identification et tous les IAM utilisateurs. Pour de plus amples informations, veuillez consulter AWS Authentification multifactorielle dans IAM.

  • AWS nécessite différents types d'identifiants de sécurité, en fonction de votre mode d'accès AWS et du type d' AWS utilisateur que vous êtes. Par exemple, vous utilisez les informations de connexion AWS Management Console pendant que vous utilisez les touches d'accès pour effectuer des appels programmatiques à. AWS Pour vous aider à déterminer votre type d'utilisateur et votre page de connexion, consultez la section Qu'est-ce que la AWS connexion dans le guide de l'Connexion à AWS utilisateur.

  • Vous ne pouvez pas utiliser de IAM politiques pour refuser explicitement à l'utilisateur root l'accès aux ressources. Vous ne pouvez utiliser une politique AWS Organizations de contrôle des services (SCP) que pour limiter les autorisations de l'utilisateur root.

  • Si vous oubliez ou perdez votre mot de passe root, vous devez avoir accès à l'adresse e-mail associée à votre compte pour le réinitialiser.

  • Si vous perdez vos clés d'accès de l’utilisateur root, vous devez vous connecter à votre compte en tant qu’utilisateur root pour en créer de nouvelles.

  • N'utilisez pas l’utilisateur root de vos tâches courantes. Optez pour effectuer les tâches que seul l’utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter Tâches nécessitant les informations d'identification de l'utilisateur root.

  • Les informations d'identification de sécurité sont spécifiques au compte. Si vous avez accès à plusieurs Comptes AWS, vous disposez d'informations d'identification distinctes pour chaque compte.

  • Les politiques déterminent les actions qu'un utilisateur, un rôle ou un membre d'un groupe d'utilisateurs peut effectuer, sur quelles AWS ressources et dans quelles conditions. À l'aide de politiques, vous pouvez contrôler en toute sécurité l'accès Services AWS et les ressources de votre Compte AWS. Si vous devez modifier ou révoquer des autorisations en réponse à un événement de sécurité, vous supprimez ou modifiez les politiques au lieu de modifier directement l'identité.

  • Veillez à enregistrer les informations de connexion de votre IAM utilisateur d'accès d'urgence et toutes les clés d'accès que vous avez créées pour un accès programmatique dans un emplacement sécurisé. Si vous perdez vos clés d'accès, vous devez vous connecter à votre compte pour en créer de nouvelles.

  • Nous vous recommandons vivement d'utiliser les informations d'identification temporaires fournies par IAM les rôles et les utilisateurs fédérés au lieu des informations d'identification à long terme fournies par IAM les utilisateurs et les clés d'accès.