Considérations sur la sécurité Identité fédérée Authentification multifactorielle (MFA)Accès par programmation Alternatives aux clés d'accès à long terme Accès à AWS l'aide de vos AWS informations d'identification

AWS informations d'identification de sécurité

Lorsque vous interagissez avec AWS, vous spécifiez vos informations de AWS sécurité pour vérifier qui vous êtes et si vous êtes autorisé à accéder aux ressources que vous demandez. AWS utilise les informations d'identification de sécurité pour authentifier et autoriser vos demandes.

Par exemple, si vous souhaitez télécharger un fichier protégé à partir d'un compartiment Amazon Simple Storage Service (Amazon S3), vos informations d'identification doivent autoriser cet accès. Si vos informations d'identification n'indiquent pas que vous êtes autorisé à télécharger le fichier, AWS refuse votre demande. Cependant, vos informations d'identification de AWS sécurité ne sont pas nécessaires pour télécharger un fichier dans un compartiment Amazon S3 partagé publiquement.

Il existe différents types d'utilisateurs dans AWS. Tous les AWS utilisateurs possèdent des identifiants de sécurité. Il y a le propriétaire du compte (utilisateur root) utilisateurs dans IAM Identity Center, les utilisateurs fédérés et les utilisateurs IAM.

Les utilisateurs disposent d'informations d'identification de sécurité à long terme ou temporaires. L'utilisateur root, l'utilisateur IAM et les clés d'accès possèdent des informations d'identification de sécurité à long terme qui n'expirent pas. Pour protéger les informations d'identification à long terme, il convient de mettre en place des processus pour gérer les clés d'accès, modifier les mots de passe et activer MFA.

Les rôles IAM et les utilisateurs dans IAM Identity Center utilisateurs fédérés disposent d'informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires expirent après une période définie ou lorsque l'utilisateur met fin à sa session. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :

Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois les informations d'identification AWS expirées, il ne les reconnaît plus ou n'autorise aucun type d'accès à partir des demandes d'API effectuées avec elles.
Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.

Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :

Il n'est pas nécessaire de distribuer ou d'intégrer des informations d'identification AWS de sécurité à long terme dans une application.
Vous pouvez donner accès à vos AWS ressources aux utilisateurs sans avoir à définir leur AWS identité. Les informations d'identification temporaires servent de base aux rôles et à la fédération d'identité.
Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.

Considérations sur la sécurité

Nous vous recommandons de tenir compte des informations suivantes lorsque vous déterminez les mesures de sécurité pour votre Compte AWS :

Lorsque vous créez un Compte AWS, nous créons le compte utilisateur root. Les informations d'identification de l’utilisateur root (propriétaire du compte) permettent un accès complet à toutes les ressources du compte. La première tâche que vous effectuez avec l'utilisateur root consiste à accorder à un autre utilisateur des autorisations administratives Compte AWS afin de minimiser l'utilisation de l'utilisateur root.
Vous ne pouvez pas utiliser des politiques IAM pour refuser l'accès aux ressources de manière explicite à l'utilisateur root. Vous ne pouvez utiliser une politique AWS Organizations de contrôle des services (SCP) que pour limiter les autorisations de l'utilisateur root.
Si vous oubliez ou perdez votre mot de passe root, vous devez avoir accès à l'adresse e-mail associée à votre compte pour le réinitialiser.
Si vous perdez vos clés d'accès de l’utilisateur root, vous devez vous connecter à votre compte en tant qu’utilisateur root pour en créer de nouvelles.
N'utilisez pas l’utilisateur root de vos tâches courantes. Optez pour effectuer les tâches que seul l’utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter Tâches nécessitant les informations d'identification de l'utilisateur root.
Les informations d'identification de sécurité sont spécifiques au compte. Si vous avez accès à plusieurs Comptes AWS, vous disposez d'informations d'identification distinctes pour chaque compte.
Les politiques déterminent les actions qu'un utilisateur, un rôle ou un membre d'un groupe d'utilisateurs peut effectuer, sur quelles AWS ressources et dans quelles conditions. À l'aide de politiques, vous pouvez contrôler en toute sécurité l'accès Services AWS et les ressources de votre Compte AWS. Si vous devez modifier ou révoquer des autorisations en réponse à un événement de sécurité, vous supprimez ou modifiez les politiques au lieu de modifier directement l'identité.
Veillez à enregistrer les informations de connexion de votre utilisateur IAM Emergency Access et toutes les clés d'accès que vous avez créées pour un accès programmatique dans un emplacement sécurisé. Si vous perdez vos clés d'accès, vous devez vous connecter à votre compte pour en créer de nouvelles.
Nous vous recommandons vivement d'utiliser les informations d'identification temporaires fournies par les rôles IAM et les utilisateurs fédérés plutôt que les informations d'identification à long terme fournies par les utilisateurs IAM et les clés d'accès.

Identité fédérée

Les identités fédérées sont des utilisateurs dotés d'identités externes auxquels sont accordées des AWS informations d'identification temporaires qu'ils peuvent utiliser pour accéder à Compte AWS des ressources sécurisées. Les identités externes peuvent provenir d'un magasin d'identités d'entreprise (tel que LDAP ou Windows Active Directory) ou d'une partie tierce (Login with Amazon, Facebook ou Google, par exemple). Les identités fédérées ne se connectent pas au portail AWS Management Console ou n' AWS accèdent pas.

Pour permettre aux identités fédérées de se connecter à AWS, vous devez créer une URL personnalisée qui inclut https://signin.aws.amazon.com/federation Pour plus d’informations, consultez Activation de l'accès à la AWS console par un courtier d'identité personnalisé.

Pour plus d'informations sur les identités fédérées, consultez Fournisseurs d'identité et fédération.

Authentification multifactorielle (MFA)

L'authentification multi-facteurs (Multi-Factor Authentication, MFA) fournit un niveau de sécurité supplémentaire pour les utilisateurs pouvant accéder à votre Compte AWS. Pour une sécurité optimale, nous vous recommandons d'activer MFA pour les informations d'identification de l' Utilisateur racine d'un compte AWS et pour tous les utilisateurs IAM. Pour plus d’informations, consultez Utilisation de l'authentification multifactorielle (MFA) dans AWS.

Lorsque vous activez l'authentification multifacteur et que vous vous connectez à votre Compte AWS compte, vous êtes invité à saisir vos informations d'identification, ainsi qu'une réponse générée par un appareil MFA, telle qu'un code, un toucher ou un scan biométrique. Lorsque vous ajoutez la MFA, vos Compte AWS paramètres et vos ressources sont plus sécurisés.

Par défaut, l’authentification MFA n'est pas activée. Vous pouvez activer et gérer les périphériques MFA pour l' Utilisateur racine d'un compte AWS en accédant à la page Informations d'identification de sécurité ou au tableau de bord IAM dans l' AWS Management Console. Pour en savoir plus sur l'activation de l’authentification MFA pour les utilisateurs IAM, consultez Activation des appareils MFA pour les utilisateurs de AWS.

Pour plus d'informations sur la connexion aux dispositifs d'authentification multifactorielle (MFA), consultez Utilisation de dispositifs MFA avec votre page de connexion IAM.

Accès par programmation

Vous fournissez vos clés AWS d'accès pour effectuer des appels programmatiques vers AWS ou pour utiliser le AWS Command Line Interface ou AWS Tools for PowerShell. Nous vous recommandons d'utiliser des clés d'accès à court terme si possible.

Lorsque vous créez une clé d'accès à long terme, vous générez l'ID de clé d'accès (par exemple, AKIAIOSFODNN7EXAMPLE) et la clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) sous la forme d'un ensemble. La clé d'accès secrète est accessible en téléchargement uniquement au moment de sa création. Si vous ne téléchargez pas votre clé d'accès secrète ou si vous la perdez, vous devrez la recréer.

Dans de nombreux cas, vous n'avez pas besoin de clés d'accès à long terme qui n'expirent jamais (comme lorsque vous créez des clés d'accès pour un utilisateur IAM). Au lieu de cela, vous pouvez créer des rôles IAM et générer des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires comprennent non seulement un ID de clé d'accès et une clé d'accès secrète, mais également un jeton de sécurité qui indique la date d'expiration des informations d'identification. Après leur expiration, elles ne sont plus valides.

Les identifiants de clé d'accès commençant par AKIA sont des clés d'accès à long terme pour un utilisateur IAM ou un utilisateur Compte AWS root. Les identifiants de clé d'accès commençant par ASIA sont des clés d'accès aux informations d'identification temporaires que vous créez à l'aide d' AWS STS opérations.

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ?	Pour	Par
Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center)	Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées aux AWS CLI AWS SDK ou AWS aux API.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour le AWS CLI, voir Configuration du AWS CLI à utiliser AWS IAM Identity Center dans le guide de AWS Command Line Interface l'utilisateur. Pour les AWS SDK, les outils et les AWS API, consultez la section Authentification IAM Identity Center dans le Guide de référence AWS des SDK et des outils.
IAM	Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées aux AWS CLI AWS SDK ou AWS aux API.	Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec AWS les ressources du Guide de l'utilisateur IAM.
IAM	(Non recommandé) Utilisez des informations d'identification à long terme pour signer les AWS CLI demandes programmatiques adressées aux AWS SDK ou AWS aux API.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour le AWS CLI, voir Authentification à l'aide des informations d'identification utilisateur IAM dans le Guide de l'AWS Command Line Interface utilisateur. Pour les AWS SDK et les outils, voir Authentifier à l'aide d'informations d'identification à long terme dans le Guide de AWS référence des SDK et des outils. Pour les AWS API, consultez la section Gestion des clés d'accès pour les utilisateurs IAM dans le guide de l'utilisateur IAM.

Quel utilisateur a besoin d’un accès programmatique ?

Pour

Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées aux AWS CLI AWS SDK ou AWS aux API.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Pour le AWS CLI, voir Configuration du AWS CLI à utiliser AWS IAM Identity Center dans le guide de AWS Command Line Interface l'utilisateur.
Pour les AWS SDK, les outils et les AWS API, consultez la section Authentification IAM Identity Center dans le Guide de référence AWS des SDK et des outils.

IAM

Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées aux AWS CLI AWS SDK ou AWS aux API.

Suivez les instructions de la section Utilisation d'informations d'identification temporaires avec AWS les ressources du Guide de l'utilisateur IAM.

IAM

(Non recommandé)

Utilisez des informations d'identification à long terme pour signer les AWS CLI demandes programmatiques adressées aux AWS SDK ou AWS aux API.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Pour le AWS CLI, voir Authentification à l'aide des informations d'identification utilisateur IAM dans le Guide de l'AWS Command Line Interface utilisateur.
Pour les AWS SDK et les outils, voir Authentifier à l'aide d'informations d'identification à long terme dans le Guide de AWS référence des SDK et des outils.
Pour les AWS API, consultez la section Gestion des clés d'accès pour les utilisateurs IAM dans le guide de l'utilisateur IAM.

Alternatives aux clés d'accès à long terme

Pour de nombreux cas d'utilisation courants, il existe des alternatives aux clés d'accès à long terme. Pour améliorer la sécurité de votre compte, tenez compte des points suivants.

N'intégrez pas de clés d'accès à long terme ni de clés d'accès secrètes dans le code de votre application ou dans un référentiel de code. Utilisez AWS Secrets Manager plutôt une solution de gestion des secrets ou une autre solution de gestion des secrets, afin de ne pas avoir à coder les clés en dur en texte brut. L'application ou le client peut ensuite récupérer des secrets en cas de besoin. Pour plus d'informations, voir Qu'est-ce que c'est AWS Secrets Manager ? dans le guide de AWS Secrets Manager l'utilisateur.

Utilisez les rôles IAM pour générer des informations d'identification de sécurité temporaires dans la mesure du possible : utilisez toujours des mécanismes permettant de délivrer des identifiants de sécurité temporaires, lorsque cela est possible, plutôt que des clés d'accès à long terme. Les informations d'identification de sécurité temporaires sont plus sécurisées car elles ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Les informations d'identification de sécurité temporaires ont une durée de vie limitée, ce qui vous évite d'avoir à les gérer ou à les mettre à jour. Les mécanismes qui fournissent des clés d'accès temporaires incluent les rôles IAM ou l'authentification d'un utilisateur d'IAM Identity Center. Pour les machines qui s'exécutent à l'extérieur, AWS vous pouvez utiliser AWS Identity and Access Management Roles Anywhere.
Utilisez des alternatives aux clés d'accès à long terme pour l’ AWS Command Line Interface (AWS CLI) ou aws-shell — Les alternatives incluent ce qui suit.
- AWS CloudShellest un shell pré-authentifié basé sur un navigateur que vous pouvez lancer directement depuis le. AWS Management Console Vous pouvez exécuter AWS CLI des commandes par Services AWS le biais de votre shell préféré (shell Bash, Powershell ou Z). Dans ce cas, il n'est pas nécessaire de télécharger ou d'installer des outils de ligne de commande. Pour plus d'informations, consultez Présentation d' AWS CloudShell dans le Guide de l'utilisateur AWS CloudShell .
- AWS CLI Intégration de la version 2 avec AWS IAM Identity Center (IAM Identity Center). Vous pouvez authentifier les utilisateurs et fournir des informations d'identification à court terme pour exécuter des AWS CLI commandes. Pour en savoir plus, consultez les sections Intégration AWS CLI à IAM Identity Center dans le guide de AWS IAM Identity Center l'utilisateur et Configuration du centre AWS CLI pour utiliser IAM Identity Center dans le guide de l'AWS Command Line Interface utilisateur.
Ne créez pas de clés d'accès à long terme pour les utilisateurs humains qui ont besoin d'accéder aux applications. Services AWS Sinon, IAM Identity Center peut générer des informations d'accès temporaires auxquelles les utilisateurs externes de votre IdP peuvent accéder. Services AWS Il n'est donc plus nécessaire de créer et de gérer des informations d'identification à long terme dans IAM. Dans IAM Identity Center, créez un ensemble d'autorisations IAM Identity Center qui accorde l'accès aux utilisateurs IdP externes. Attribuez ensuite un groupe d'IAM Identity Center aux autorisations définies dans le champ sélectionné Comptes AWS. Pour plus d'informations, consultez les sections Qu'est-ce que c'est AWS IAM Identity Center, Se connecter à votre fournisseur d'identité externe et Ensembles d'autorisations dans le guide de AWS IAM Identity Center l'utilisateur.
Ne stockez pas de clés d'accès à long terme dans un service AWS informatique. Attribuez plutôt un rôle IAM aux ressources informatiques. Cela fournit automatiquement des informations d'identification temporaires pour accorder l'accès. Par exemple, lorsque vous créez un profil d'instance attaché à une instance Amazon EC2, vous pouvez attribuer un AWS rôle à l'instance et le mettre à la disposition de toutes ses applications. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance Amazon EC2 d'obtenir des informations d'identification temporaires. Pour en savoir plus, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2.

Accès à AWS l'aide de vos AWS informations d'identification

AWS nécessite différents types d'identifiants de sécurité, en fonction de votre mode d'accès AWS et du type d' AWS utilisateur que vous êtes. Par exemple, vous utilisez les informations de connexion pour AWS Management Console pendant que vous utilisez les touches d'accès pour passer des appels par programmation à AWS. De plus, chaque identité que vous utilisez, qu'il s'agisse de l'utilisateur racine du compte, d'un utilisateur AWS Identity and Access Management (IAM), d'un AWS IAM Identity Center utilisateur ou d'une identité fédérée, possède des informations d'identification uniques. AWS

Pour step-by-step obtenir des instructions sur la procédure de connexion en AWS fonction de votre type d'utilisateur, consultez Comment vous connecter AWS dans le guide de l'utilisateur de AWS connexion.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Sécurité

AWS directives relatives aux audits de sécurité