Didacticiel IAM : permettre aux utilisateurs de gérer leurs informations d'identification et leurs paramètres MFA

Vous pouvez autoriser les utilisateurs à gérer eux-mêmes leurs propres informations d’identification et dispositifs d’authentification multifactorielle (MFA) sur la page Informations d’identification de sécurité. Vous pouvez utiliser l'AWS Management Console pour configurer des informations d'identification (clés d'accès, mots de passe, certificats de signature et clés publiques SSH), supprimer ou désactiver les informations d'identification qui ne sont pas nécessaires et activer des périphériques MFA pour vos utilisateurs. Cette méthode est utile pour un petit nombre d'utilisateurs, mais la tâche peut rapidement devenir fastidieuse si le nombre d'utilisateurs augmente. Ce didacticiel vous montre comment mettre en place ces bonnes pratiques sans surcharger de travail vos administrateurs.

Ce didacticiel vous montre comment autoriser les utilisateurs à accéder aux services AWS, mais uniquement lorsqu'ils sont connectés avec MFA. S'ils ne sont pas connectés avec un dispositif MFA, les utilisateurs ne peuvent pas accéder à d'autres services.

Ce flux de travail se compose de trois étapes de base.

Étape 1 : Créer une politique pour appliquer l'authentification MFA

Créez une politique gérée par le client qui interdit toutes les actions à l'exception des quelques actions IAM. Ces exceptions permettent à un utilisateur de modifier ses propres informations d’identification et de gérer ses dispositifs MFA sur la page Informations d’identification de sécurité. Plus d'informations sur la manière d'accéder à cette page, veuillez consulter Comment les utilisateurs IAM modifient leur mot de passe (console).

Étape 2 : Attacher des politiques à votre groupe d'utilisateurs test

Créez un groupe d'utilisateurs dont les membres ont un accès total à toutes les actions Amazon EC2 s'ils se connectent avec MFA. Pour créer un tel groupe d'utilisateurs, vous attachez à la fois la politique gérée par AWS appelée AmazonEC2FullAccess et la politique gérée par le client que vous avez créée dans la première étape.

Étape 3 : Test de l'accès utilisateur

Connectez-vous en tant qu'utilisateur test pour vérifier que l'accès à Amazon EC2 est bloqué jusqu'à ce que l'utilisateur crée un dispositif MFA. L'utilisateur peut alors se connecter à l'aide de ce dispositif.

Prérequis

Pour exécuter les étapes de ce didacticiel, vous devez déjà disposer des éléments suivants :

• Un Compte AWS auquel vous pouvez vous connecter en tant qu'utilisateur IAM disposant d'autorisations administratives.

• Votre ID de compte, que vous entrez dans la politique à l'étape 1.

  Pour trouver votre ID de compte, sur la barre de navigation située en haut de la page, sélectionnez Support, puis sélectionnez Support Center (Centre de support). L'ID de compte se trouve dans le menu Support de cette page.

• Un périphérique MFA virtuel (logiciel), une clé de sécurité FIDO ou un dispositif MFA matériel.

• Un utilisateur IAM test et membre du groupe d'utilisateurs suivant :

Nom utilisateur	Instructions du nom d’utilisateur	Nom du groupe d'utilisateurs	Ajouter l'utilisateur en tant que membre	Instructions pour les groupes d’utilisateurs
MFAUser	Choisissez uniquement l'option pour Activer l'accès à la console (facultatif) et attribuez un mot de passe.	EC2MFA	MFAUser	N'attachez PAS de politique ni n'accordez d'autorisations à ce groupe d'utilisateurs.

Étape 1 : Créer une politique pour appliquer l'authentification MFA

Vous commencez par créer une politique gérée par le client IAM qui refuse toutes les autorisations, sauf celles requises par les utilisateurs IAM pour gérer leurs informations d'identification et appareils MFA.

1. Connectez-vous à la Console de gestion AWS en tant qu'utilisateur disposant d'informations d'identification d'administrateur. Pour respecter les bonnes pratiques IAM, ne vous connectez pas avec les informations d'identification Utilisateur racine d'un compte AWS.

   Important

   En guise de bonne pratique IAM, nous vous recommandons d'exiger des utilisateurs humains qu'ils se joignent à un fournisseur d'identité en utilisant la fédération pour accéder à AWS en utilisant des informations d'identification temporaires et non pas des utilisateurs IAM aves des informations d’identification à long terme. Nous vous recommandons de n’utiliser les utilisateurs IAM que pour les cas d’utilisation spécifiques non pris en charge par les utilisateurs fédérés.

2. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

3. Dans le panneau de navigation, sélectionnez Policies (Politiques), puis Create policy (Créer une politique).

4. Sélectionnez l'onglet JSON, et copiez le texte du document de politique JSON suivant : AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leurs propres informations d’identification sur la page Informations d’identification de sécurité.

5. Collez cette politique dans la zone de texte JSON. Résolvez tous les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis choisissez Suivant.

   Note

   Vous pouvez basculer à tout moment entre les options Éditeur visuel et JSON. Cependant, la politique ci-dessus inclut l'élément NotAction qui n'est pas pris en charge dans l'éditeur visuel. Pour cette politique, vous verrez une notification dans l'onglet Visual editor (Éditeur visuel). Revenez à JSON pour continuer à travailler avec cette politique.

   Cet exemple de politique n'autorise pas les utilisateurs à réinitialiser un mot de passe lorsqu'ils se connectent à l'AWS Management Console pour la première fois. Nous vous recommandons de n'accorder des autorisations aux nouveaux utilisateurs qu'après leur enregistrement et aient réinitialisé leur mot de passe.

6. Sur la page Vérifier et créer, tapez Force_MFA pour le nom de la politique. Pour la description de la politique, tapez This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA. dans la zone Balises ; vous pouvez éventuellement ajouter des paires clé-valeur de balises à la politique gérée par le client. Vérifiez les autorisations accordées par votre politique, puis choisissez Créer une politique pour enregistrer votre travail.

   La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée.

Étape 2 : Attacher des politiques à votre groupe d'utilisateurs test

Vous allez maintenant attacher deux politiques à votre groupe d'utilisateurs IAM test. Elles seront utilisées pour octroyer des autorisations protégées par MFA.

1. Dans le panneau de navigation, sélectionnez User groups (Groupes d'utilisateurs).

2. Dans la zone de recherche, saisissez EC2MFA, puis sélectionnez le nom du groupe (et pas la case à cocher) dans la liste.

3. Choisissez l'onglet Autorisations, puis Ajouter des autorisations, et enfin Attacher des politiques.

4. Sur la page Attach permission policies to EC2MFA group (Joindre des politiques d'autorisation au groupe EC2MFA), dans la zone de recherche, saisissez EC2Full. Cochez ensuite la case en regard de AmazonEC2FullAccess dans la liste. N'enregistrez pas vos modifications pour le moment.

5. Dans la zone de recherche, saisissez Force, puis cochez la case située en regard de Force_MFA dans la liste.

6. Sélectionnez Attach Policies (Attacher des politiques).

Étape 3 : Test de l'accès utilisateur

Dans cette étape du didacticiel, vous vous connectez en tant qu'utilisateur test afin de vérifier que la politique fonctionne comme prévu.

1. Connectez-vous à votre Compte AWS en tant que MFAUser, avec le mot de passe affecté dans la section précédente. Utilisez l'URL : https://<alias or account ID number>.signin.aws.amazon.com/console

2. Sélectionnez EC2 pour ouvrir la console Amazon EC2 et vérifiez que l'utilisateur ne dispose d'aucune autorisation.

3. Dans la barre de navigation en haut à droite, sélectionnez votre nom d'utilisateur MFAUser, puis Security Credentials (Informations d'identification de sécurité).

   

4. Maintenant, ajoutez un dispositif MFA. Dans la section Multi-Factor Authentication (MFA) (Authentification multi-facteurs (MFA)) sélectionnez Assign MFA device (Attribuer un dispositif MFA).

   Note

   Vous pouvez recevoir une erreur que vous n'êtes pas autorisé à effectuer iam:DeleteVirtualMFADevice. Cela peut se produire si quelqu'un a commencé précédemment à attribuer un dispositif MFA virtuel pour cet utilisateur et a annulé le processus. Pour continuer, vous ou un autre administrateur devez supprimer le dispositif MFA virtuel non attribué existant de l'utilisateur. Pour en savoir plus, consultez Je ne suis pas autorisé à exécuter : iam : DeleteVirtual MFADevice.

5. Dans le cadre de ce didacticiel, nous utilisons un appareil MFA (basé sur un logiciel) virtuel, comme l'application Google Authenticator sur un téléphone portable. Choisissez l'application Authenticator, puis cliquez sur Next (Suivant).

   IAM génère et affiche les informations de configuration du dispositif MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des dispositifs qui ne prennent pas en charge les codes QR.

6. Ouvrez votre application MFA virtuelle. (Pour obtenir une liste des applications que vous pouvez utiliser pour héberger des dispositifs MFA virtuels, veuillez consulter Applications MFA virtuelles.) Si l'application MFA virtuelle prend en charge plusieurs comptes (plusieurs dispositifs MFA virtuels), sélectionnez l'option permettant de créer un compte (un nouveau dispositif MFA virtuel).

7. Déterminez si l'application MFA prend en charge les codes QR, puis effectuez l'une des actions suivantes :

   • Dans l'assistant, sélectionnez Show QR code (Afficher le code QR). Utilisez ensuite l'application pour analyser le code QR. Par exemple, vous pouvez choisir l'icône de caméra ou une option similaire à Scan code, puis utiliser la caméra du dispositif pour analyser le code.

   • Dans l'assistant Set up device (Configurer le dispositif), sélectionnez Show secret key (Afficher la clé secrète), puis saisissez la clé secrète dans votre application MFA.

   Une fois que vous avez terminé, le dispositif MFA virtuel commence à générer des mots de passe uniques.

8. Dans l'assistant Configurer le dispositif, dans la zone Saisir le code à partir de votre application d'authentification, saisissez le mot de passe unique qui s'affiche actuellement sur le dispositif MFA virtuel. Sélectionnez Register MFA (Enregistrer le dispositif MFA).

   Important

   Envoyez votre demande immédiatement après avoir généré le code. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la requête, l'appareil MFA est associé avec succès à l'utilisateur. Cependant, l'appareil MFA n'est pas synchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le dispositif.

   L'appareil MFA virtuel est maintenant prêt à utiliser AWS.

9. Déconnectez-vous de la console, puis reconnectez-vous en tant que MFAUser. Cette fois, AWS vous invite à saisir un code MFA à partir de votre téléphone. Lorsque vous recevez le code, entrez-le dans le champ et sélectionnez Submit (Soumettre).

10. Sélectionnez EC2 pour rouvrir la console Amazon EC2. Notez que, cette fois, vous pouvez voir toutes les informations et effectuer les actions que vous souhaitez. Si vous accédez à une autre console en tant qu'utilisateur, les messages d'accès refusé s'affichent. La raison en est que les politiques de ce didacticiel n'accordent l'accès qu'à Amazon EC2.

Ressources connexes

Pour plus d'informations, veuillez consulter les rubriques suivantes :

• AWS Authentification multifactorielle dans IAM

• Connexion compatible avec la MFA