Informations d'identification de sécurité AWS - AWS Identity and Access Management
Considérations sur la sécurité

Informations d'identification de sécurité AWS

Lorsque vous interagissez avec AWS, vous spécifiez vos informations d'identification de sécurité AWS pour vérifier votre identité et si vous avez l'autorisation d'accéder aux ressources que vous demandez. AWS utilise les informations d'identification de sécurité pour authentifier et autoriser vos demandes.

Par exemple, si vous souhaitez télécharger un fichier protégé à partir d'un compartiment Amazon Simple Storage Service (Amazon S3), vos informations d'identification doivent autoriser cet accès. Si vos informations d'identification montrent que vous n'êtes pas autorisé à télécharger le fichier, AWS rejette votre demande. Toutefois, vos informations d'identification de sécurité AWS ne sont pas requises pour télécharger un fichier dans un compartiment Amazon S3 partagé publiquement.

Il existe différents types d’utilisateurs dans AWS, chacun possédant ses propres informations d’identification de sécurité :

  • Titulaire du compte (utilisateur racine) : l’utilisateur qui a créé le Compte AWS et dispose d’un accès complet.

  • Utilisateurs AWS IAM Identity Center : utilisateurs gérés dans AWS IAM Identity Center.

  • Utilisateurs fédérés : utilisateurs de fournisseurs d’identité externes auxquels un accès temporaire est accordé à AWS par le biais de la fédération. Pour plus d'informations sur les identités fédérées, consultez Fournisseurs d'identité et fédération.

  • Utilisateurs IAM : utilisateurs individuels créés au sein du service AWS Identity and Access Management (IAM).

Les utilisateurs disposent d'informations d'identification de sécurité à long terme ou temporaires. L'utilisateur root, l'utilisateur IAM et les clés d'accès possèdent des informations d'identification de sécurité à long terme qui n'expirent pas. Pour protéger les informations d'identification à long terme, il convient de mettre en place des processus pour gérer les clés d'accès, modifier les mots de passe et activer MFA.

Pour simplifier la gestion des informations d’identification de l’utilisateur racine à travers les comptes membres dans AWS Organizations, vous pouvez sécuriser de manière centralisée les informations d’identification de l’utilisateur racine de votre Comptes AWS géré en utilisant AWS Organizations. Gestion centralisée de l’accès racine pour les comptes membres vous permet de supprimer de manière centralisée et d’empêcher la récupération des informations d’identification de l’utilisateur racine à long terme, empêchant ainsi l’accès involontaire à l’utilisateur racine à l’échelle.

Les rôles IAM, utilisateurs dans IAM Identity Center et les utilisateurs fédérés possèdent des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires expirent après une période définie ou lorsque l'utilisateur met fin à sa session. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :

  • Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois que les informations d'identification arrivent à expiration, AWS ne les reconnaît plus ou n'autorise plus aucun accès aux demandes d'API effectuées avec elles.

  • Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.

Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :

  • Vous n'avez pas besoin de distribuer ou d'intégrer des informations d'identification de sécurité AWS à long terme avec une application.

  • Vous pouvez fournir aux utilisateurs l'accès à vos ressources AWS sans devoir définir une identité AWS pour eux. Les informations d'identification temporaires servent de base aux rôles et à la fédération d'identité.

  • Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.

Considérations sur la sécurité

Nous vous recommandons de tenir compte des informations suivantes lorsque vous déterminez les mesures de sécurité pour votre Compte AWS :

  • Lorsque vous créez un Compte AWS, nous créons l’utilisateur root du compte. Les informations d'identification de l’utilisateur root (propriétaire du compte) permettent un accès complet à toutes les ressources du compte. La première tâche que vous effectuez avec l'utilisateur root consiste à accorder à un autre utilisateur des autorisations administratives à votre Compte AWS afin de minimiser l'utilisation de l'utilisateur root.

  • L'authentification multi-facteurs (Multi-Factor Authentication, MFA) fournit un niveau de sécurité supplémentaire pour les utilisateurs pouvant accéder à votre Compte AWS. Pour une sécurité optimale, nous vous recommandons d'activer MFA pour les informations d'identification de l'Utilisateur racine d'un compte AWS et pour tous les utilisateurs IAM. Pour en savoir plus, consultez Authentication multifactorielle AWS dans IAM.

  • AWS nécessite différents types d'informations d'identification de sécurité, en fonction de la manière dont vous accédez à AWS et du type d'utilisateur AWS. Par exemple, vous utilisez les informations de connexion pour AWS Management Console pendant que vous utilisez les touches d'accès pour passer des appels par programmation à AWS. Consultez la section En quoi consiste la AWSconnexion dans le Guide de l’utilisateur Connexion à AWS pour déterminer votre type d’utilisateur et votre page de connexion.

  • Vous ne pouvez pas utiliser des politiques IAM pour refuser l'accès aux ressources de manière explicite à l'utilisateur root. Vous ne pouvez utiliser une politique de contrôle des services (SCP) AWS Organizations que pour limiter les autorisations de l'utilisateur root.

  • Si vous oubliez ou perdez votre mot de passe root, vous devez avoir accès à l'adresse e-mail associée à votre compte pour le réinitialiser.

  • Si vous perdez vos clés d'accès de l’utilisateur root, vous devez vous connecter à votre compte en tant qu’utilisateur root pour en créer de nouvelles.

  • N'utilisez pas l’utilisateur root de vos tâches courantes. Optez pour effectuer les tâches que seul l’utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter Tâches nécessitant les informations d'identification de l'utilisateur root.

  • Les informations d'identification de sécurité sont spécifiques au compte. Si vous avez accès à plusieurs Comptes AWS, vous disposez d'informations d'identification distinctes pour chaque compte.

  • Les politiques déterminent les actions qu'un utilisateur, un rôle ou un membre d'un groupe d'utilisateurs peut effectuer, sur quelles ressources AWS et dans quelles conditions. Les politiques vous permettent de contrôler en toute sécurité l'accès aux Services AWS et aux ressources dans votre Compte AWS. Si vous devez modifier ou révoquer des autorisations en réponse à un événement de sécurité, vous supprimez ou modifiez les politiques au lieu de modifier directement l'identité.

  • Veillez à enregistrer les informations de connexion de votre utilisateur IAM Emergency Access et toutes les clés d'accès que vous avez créées pour un accès programmatique dans un emplacement sécurisé. Si vous perdez vos clés d'accès, vous devez vous connecter à votre compte pour en créer de nouvelles.

  • Nous vous recommandons vivement d'utiliser les informations d'identification temporaires fournies par les rôles IAM et les utilisateurs fédérés plutôt que les informations d'identification à long terme fournies par les utilisateurs IAM et les clés d'accès.