IAMtutoriel : Permettre aux utilisateurs de gérer leurs informations d'identification et leurs MFA paramètres - AWS Identity and Access Management
PrérequisÉtape 1 : créer une politique pour appliquer la MFA connexionÉtape 2 : Attacher des politiques à votre groupe d'utilisateurs testÉtape 3 : Test de l'accès utilisateurRessources connexes

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMtutoriel : Permettre aux utilisateurs de gérer leurs informations d'identification et leurs MFA paramètres

Vous pouvez autoriser vos utilisateurs à gérer leurs propres dispositifs d'authentification multifactorielle (MFA) et leurs informations d'identification sur la page Informations d'identification de sécurité. Vous pouvez les utiliser AWS Management Console pour configurer les informations d'identification (clés d'accès, mots de passe, certificats de signature et clés SSH publiques), supprimer ou désactiver les informations d'identification inutiles et activer des MFA appareils pour vos utilisateurs. Cette méthode est utile pour un petit nombre d'utilisateurs, mais la tâche peut rapidement devenir fastidieuse si le nombre d'utilisateurs augmente. Ce didacticiel vous montre comment mettre en place ces bonnes pratiques sans surcharger de travail vos administrateurs.

Ce didacticiel explique comment autoriser les utilisateurs à accéder aux AWS services, mais uniquement lorsqu'ils se connectent avecMFA. S'ils ne sont pas connectés avec un MFA appareil, les utilisateurs ne peuvent pas accéder aux autres services.

Ce flux de travail se compose de trois étapes de base.

Étape 1 : créer une politique pour appliquer la MFA connexion

Créez une politique gérée par le client qui interdit toutes les actions à l'exception de quelques IAM actions. Ces exceptions permettent à un utilisateur de modifier ses propres informations d'identification et de gérer ses MFA appareils sur la page Informations d'identification de sécurité. Plus d'informations sur la manière d'accéder à cette page, veuillez consulter Comment les utilisateurs IAM modifient leur mot de passe (console).

Étape 2 : Attacher des politiques à votre groupe d'utilisateurs test

Créez un groupe d'utilisateurs dont les membres ont un accès complet à toutes les EC2 actions Amazon s'ils se connectent avecMFA. Pour créer un tel groupe d'utilisateurs, vous devez associer à la fois la politique AWS gérée appelée AmazonEC2FullAccess et la politique gérée par le client que vous avez créée lors de la première étape.

Étape 3 : Test de l'accès utilisateur

Connectez-vous en tant qu'utilisateur de test pour vérifier que l'accès à Amazon EC2 est bloqué jusqu'à ce que l'utilisateur crée un MFA appareil. L'utilisateur peut alors se connecter à l'aide de ce dispositif.

Prérequis

Pour exécuter les étapes de ce didacticiel, vous devez déjà disposer des éléments suivants :

  • Et Compte AWS auquel vous pouvez vous connecter en tant qu'IAMutilisateur disposant d'autorisations administratives.

  • Votre ID de compte, que vous entrez dans la politique à l'étape 1.

    Pour trouver votre ID de compte, sur la barre de navigation située en haut de la page, sélectionnez Support, puis sélectionnez Support Center (Centre de support). L'ID de compte se trouve dans le menu Support de cette page.

  • Un MFAappareil virtuel (logiciel), une clé FIDO de sécurité ou un appareil matériel MFA.

  • Un IAM utilisateur de test membre d'un groupe d'utilisateurs comme suit :

Nom utilisateur Instructions relatives au nom d'utilisateur Nom du groupe d'utilisateurs Ajouter l'utilisateur en tant que membre Instructions relatives aux groupes d'utilisateurs
MFAUser Choisissez uniquement l'option pour Activer l'accès à la console (facultatif) et attribuez un mot de passe. EC2MFA MFAUser NOTJoignez des politiques ou accordez des autorisations à ce groupe d'utilisateurs.

Étape 1 : créer une politique pour appliquer la MFA connexion

Vous commencez par créer une politique gérée par IAM le client qui refuse toutes les autorisations, à l'exception de celles requises pour que IAM les utilisateurs puissent gérer leurs propres informations d'identification et MFA appareils.

  1. Connectez-vous à la console de AWS gestion en tant qu'utilisateur avec des informations d'identification d'administrateur. Pour respecter les IAM meilleures pratiques, ne vous connectez pas avec vos Utilisateur racine d'un compte AWS informations d'identification.

    Important

    IAMles meilleures pratiques recommandent d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à l' AWS aide d'informations d'identification temporaires plutôt que d'utiliser des IAM utilisateurs dotés d'informations d'identification à long terme. Nous vous recommandons de n'utiliser des IAM utilisateurs que pour des cas d'utilisation spécifiques non pris en charge par les utilisateurs fédérés.

  2. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  3. Dans le volet de navigation, sélectionnez Politiques, puis Créer une politique.

  4. Choisissez l'JSONonglet et copiez le texte du document de JSON politique suivant :AWS: permet aux utilisateurs IAM authentifiés par MFA de gérer leurs propres informations d'identification sur la page Informations d'identification de sécurité.

  5. Collez le texte de la politique dans la zone de JSONtexte. Résolvez tous les avertissements de sécurité, les erreurs ou les avertissements généraux générés durant la validation de la politique, puis choisissez Suivant.

    Note

    Vous pouvez basculer entre l'éditeur visuel et les JSONoptions à tout moment. Cependant, la politique ci-dessus inclut l'élément NotAction qui n'est pas pris en charge dans l'éditeur visuel. Pour cette politique, vous verrez une notification dans l'onglet Visual editor (Éditeur visuel). Revenez JSONà pour continuer à utiliser cette politique.

    Cet exemple de politique n'autorise pas les utilisateurs à réinitialiser un mot de passe lorsqu'ils se connectent à l' AWS Management Console pour la première fois. Nous vous recommandons de n'accorder des autorisations aux nouveaux utilisateurs qu'après leur enregistrement et aient réinitialisé leur mot de passe.

  6. Sur la page Vérifier et créer, tapez Force_MFA pour le nom de la politique. Pour la description de la politique, tapez This policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA. dans la zone Balises ; vous pouvez éventuellement ajouter des paires clé-valeur de balises à la politique gérée par le client. Vérifiez les autorisations accordées par votre politique, puis choisissez Créer une politique pour enregistrer votre travail.

    La nouvelle politique s'affiche dans la liste des politiques gérées et est prête à être attachée.

Étape 2 : Attacher des politiques à votre groupe d'utilisateurs test

Ensuite, vous associez deux politiques au groupe IAM d'utilisateurs de test, qui seront utilisées pour accorder les autorisations MFA protégées.

  1. Dans le panneau de navigation, sélectionnez User groups (Groupes d'utilisateurs).

  2. Dans la zone de recherche, saisissez EC2MFA, puis sélectionnez le nom du groupe (et pas la case à cocher) dans la liste.

  3. Choisissez l'onglet Autorisations, puis Ajouter des autorisations, et enfin Attacher des politiques.

  4. Sur la page Joindre les politiques d'autorisation au EC2MFA groupe, dans le champ de recherche, tapezEC2Full. Cochez ensuite la case à côté d'Amazon EC2FullAccess dans la liste. N'enregistrez pas vos modifications pour le moment.

  5. Dans la zone de recherche, tapezForce, puis cochez la case située à côté de Force_ MFA dans la liste.

  6. Sélectionnez Attach Policies (Attacher des politiques).

Étape 3 : Test de l'accès utilisateur

Dans cette étape du didacticiel, vous vous connectez en tant qu'utilisateur test afin de vérifier que la politique fonctionne comme prévu.

  1. Connectez-vous à votre annonce MFAUser avec Compte AWS le mot de passe que vous avez attribué dans la section précédente. Utilisez le URL : https://<alias or account ID number>.signin.aws.amazon.com/console

  2. Choisissez EC2d'ouvrir la EC2 console Amazon et de vérifier que l'utilisateur n'est pas autorisé à faire quoi que ce soit.

  3. Dans la barre de navigation en haut à droite, sélectionnez votre nom d'utilisateur MFAUser, puis Security Credentials (Informations d'identification de sécurité).

    AWS Lien vers les identifiants de sécurité de la console de gestion.

  4. Ajoutez maintenant un MFA appareil. Dans la section Authentification multifactorielle (MFA), choisissez Attribuer MFA un appareil.

    Note

    Vous pouvez recevoir une erreur que vous n'êtes pas autorisé à effectuer iam:DeleteVirtualMFADevice. Cela peut se produire si quelqu'un a déjà commencé à attribuer un MFA appareil virtuel à cet utilisateur et a annulé le processus. Pour continuer, vous ou un autre administrateur devez supprimer le MFA périphérique virtuel non attribué existant de l'utilisateur. Pour de plus amples informations, veuillez consulter Je ne suis pas autorisé à exécuter : iam : DeleteVirtual MFADevice.

  5. Pour ce didacticiel, nous utilisons un MFA appareil virtuel (basé sur un logiciel), tel que l'application Google Authenticator sur un téléphone mobile. Choisissez l'application Authenticator, puis cliquez sur Next (Suivant).

    IAMgénère et affiche des informations de configuration pour l'MFAappareil virtuel, y compris un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des dispositifs qui ne prennent pas en charge les codes QR.

  6. Ouvrez votre MFA application virtuelle. (Pour obtenir la liste des applications que vous pouvez utiliser pour héberger MFA des appareils virtuels, consultez MFAApplications virtuelles.) Si l'MFAapplication virtuelle prend en charge plusieurs comptes (plusieurs MFA appareils virtuels), choisissez l'option permettant de créer un nouveau compte (un nouvel MFA appareil virtuel).

  7. Déterminez si l'MFAapplication prend en charge les codes QR, puis effectuez l'une des opérations suivantes :

    • Dans l'assistant, sélectionnez Show QR code (Afficher le code QR). Utilisez ensuite l'application pour analyser le code QR. Par exemple, vous pouvez choisir l'icône de caméra ou une option similaire à Scan code, puis utiliser la caméra du dispositif pour analyser le code.

    • Dans l'assistant de configuration de l'appareil, choisissez Afficher la clé secrète, puis saisissez la clé secrète dans votre MFA application.

    Lorsque vous avez terminé, le MFA périphérique virtuel commence à générer des mots de passe à usage unique.

  8. Dans l'assistant de configuration de l'appareil, dans le champ Entrez le code de votre application d'authentification. case, tapez le mot de passe à usage unique qui apparaît actuellement sur le MFA périphérique virtuel. Choisissez RegisterMFA (S'inscrire).

    Important

    Envoyez votre demande immédiatement après avoir généré le code. Si vous générez les codes puis attendez trop longtemps pour soumettre la demande, l'MFAappareil est correctement associé à l'utilisateur. Cependant, l'MFAappareil n'est pas synchronisé. Cela se produit parce que les mots de passe à usage unique basés sur le temps (TOTP) expirent après un court laps de temps. Dans ce cas, vous pouvez resynchroniser le dispositif.

    Le MFA périphérique virtuel est maintenant prêt à être utilisé avec AWS.

  9. Déconnectez-vous de la console, puis reconnectez-vous en tant que MFAUser. Cette fois, vous AWS êtes invité à saisir un MFA code provenant de votre téléphone. Lorsque vous recevez le code, entrez-le dans le champ et sélectionnez Submit (Soumettre).

  10. Choisissez EC2d'ouvrir à nouveau la EC2 console Amazon. Notez que, cette fois, vous pouvez voir toutes les informations et effectuer les actions que vous souhaitez. Si vous accédez à une autre console en tant qu'utilisateur, les messages d'accès refusé s'affichent. La raison en est que les politiques décrites dans ce didacticiel n'accordent l'accès qu'à AmazonEC2.

Pour plus d'informations, veuillez consulter les rubriques suivantes :