Quand dois-je l'utiliser IAM ? - AWS Gestion de l’identité et des accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Quand dois-je l'utiliser IAM ?

AWS Identity and Access Management est un service d'infrastructure de base qui constitue la base du contrôle d'accès basé sur les identités internes AWS. Vous l'utilisez IAM chaque fois que vous accédez à votre AWS compte. La façon dont vous l'IAMutiliserez dépendra des responsabilités et des fonctions spécifiques au sein de votre organisation. Les utilisateurs des AWS services ont l'habitude d'accéder IAM aux AWS ressources nécessaires à leur day-to-day travail, les administrateurs accordant les autorisations appropriées. IAMles administrateurs, quant à eux, sont chargés de gérer les IAM identités et de rédiger des politiques pour contrôler l'accès aux ressources. Quel que soit votre rôle, vous interagissez avec vous IAM chaque fois que vous vous authentifiez et autorisez l'accès aux AWS ressources. Cela peut impliquer de se connecter en tant qu'IAMutilisateur, d'assumer un IAM rôle ou de tirer parti de la fédération des identités pour un accès fluide. Comprendre les différentes IAM fonctionnalités et les différents cas d'utilisation est essentiel pour gérer efficacement l'accès sécurisé à votre AWS environnement. Lorsqu'il s'agit de créer des politiques et des autorisations, IAM fournit une approche flexible et granulaire. Vous pouvez définir des politiques de confiance pour contrôler quels principaux peuvent assumer un rôle, en plus des politiques basées sur l'identité qui spécifient les actions et les ressources auxquelles un utilisateur ou un rôle peut accéder. En configurant ces IAM politiques, vous pouvez garantir que les utilisateurs et les applications disposent du niveau d'autorisation approprié pour effectuer les tâches requises.

Lorsque vous effectuez différentes activités professionnelles

AWS Identity and Access Management est un service d'infrastructure de base qui constitue la base du contrôle d'accès basé sur les identités internes AWS. Vous l'utilisez IAM chaque fois que vous accédez à votre AWS compte.

La façon dont vous l'utilisez IAM varie en fonction du travail que vous effectuez AWS.

  • Utilisateur du service : si vous utilisez un AWS service pour effectuer votre travail, votre administrateur vous fournit les informations d'identification et les autorisations dont vous avez besoin. Plus vous utilisez de fonctions avancées pour effectuer votre travail, plus vous pouvez avoir besoin d'autorisations supplémentaires. En comprenant bien la gestion des accès, vous saurez demander les autorisations appropriées à votre administrateur.

  • Administrateur du service — Si vous êtes responsable d'une AWS ressource au sein de votre entreprise, vous avez probablement un accès complet àIAM. C'est à vous de déterminer les IAM fonctionnalités et les ressources auxquelles les utilisateurs de votre service doivent accéder. Vous devez ensuite envoyer des demandes à votre IAM administrateur pour modifier les autorisations des utilisateurs de votre service. Consultez les informations de cette page pour comprendre les concepts de base deIAM.

  • IAMadministrateur — Si vous êtes IAM administrateur, vous gérez les IAM identités et rédigez des politiques pour gérer l'accès àIAM.

Lorsque vous êtes autorisé à accéder aux ressources AWS

L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié (connecté à AWS) en tant que Utilisateur racine d'un compte AWS, en tant qu'IAMutilisateur ou en assumant un IAM rôle.

Vous pouvez vous connecter en AWS tant qu'identité fédérée en utilisant les informations d'identification fournies par le biais d'une source d'identité. AWS IAM Identity Center Les utilisateurs (IAMIdentity Center), l'authentification unique de votre entreprise et vos informations d'identification Google ou Facebook sont des exemples d'identités fédérées. Lorsque vous vous connectez en tant qu'identité fédérée, votre administrateur a préalablement configuré la fédération d'identité à l'aide de IAM rôles. Lorsque vous accédez à AWS l'aide de la fédération, vous assumez indirectement un rôle.

Selon le type d'utilisateur que vous êtes, vous pouvez vous connecter au portail AWS Management Console ou au portail AWS d'accès. Pour plus d'informations sur la connexion à AWS, consultez Comment vous connecter à votre compte Compte AWS dans le guide de Connexion à AWS l'utilisateur.

Si vous y accédez AWS par programmation, AWS fournit un kit de développement logiciel (SDK) et une interface de ligne de commande (CLI) pour signer cryptographiquement vos demandes à l'aide de vos informations d'identification. Si vous n'utilisez pas d' AWS outils, vous devez signer vous-même les demandes. Pour plus d'informations sur l'utilisation de la méthode recommandée pour signer vous-même les demandes, consultez la section Signature des AWS API demandes dans le guide de IAM l'utilisateur.

Quelle que soit la méthode d’authentification que vous utilisez, vous devrez peut-être fournir des informations de sécurité supplémentaires. Par exemple, il vous AWS recommande d'utiliser l'authentification multifactorielle (MFA) pour renforcer la sécurité de votre compte. Pour en savoir plus, consultez Authentification multifactorielle dans le guide de AWS IAM Identity Center l'utilisateur et Utilisation de l'authentification multifactorielle (MFA) AWS dans le guide de l'IAMutilisateur.

Lorsque vous vous connectez en tant qu'utilisateur IAM

Un IAMutilisateur est une identité au sein de vous Compte AWS qui possède des autorisations spécifiques pour une seule personne ou une seule application. Dans la mesure du possible, nous vous recommandons de vous appuyer sur des informations d'identification temporaires plutôt que de créer des IAM utilisateurs dotés d'informations d'identification à long terme, telles que des mots de passe et des clés d'accès. Toutefois, si vous avez des cas d'utilisation spécifiques qui nécessitent des informations d'identification à long terme auprès des IAM utilisateurs, nous vous recommandons de faire pivoter les clés d'accès. Pour plus d'informations, voir Rotation régulière des clés d'accès pour les cas d'utilisation nécessitant des informations d'identification à long terme dans le Guide de IAM l'utilisateur.

Un IAMgroupe est une identité qui définit un ensemble d'IAMutilisateurs. Vous ne pouvez pas vous connecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pour plusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Par exemple, vous pouvez nommer un groupe IAMAdminset lui donner les autorisations nécessaires pour administrer IAM des ressources.

Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personne ou une application, alors qu’un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. Les utilisateurs disposent d’informations d’identification permanentes, mais les rôles fournissent des informations d’identification temporaires. Pour en savoir plus, voir Quand créer un IAM utilisateur (au lieu d'un rôle) dans le Guide de IAM l'utilisateur.

Lorsque vous assumez un IAM rôle

Un IAMrôle est une identité au sein de Compte AWS vous dotée d'autorisations spécifiques. Il est similaire à un IAM utilisateur, mais n'est pas associé à une personne en particulier. Vous pouvez assumer temporairement un IAM rôle dans le en AWS Management Console changeant de rôle. Vous pouvez assumer un rôle en appelant une AWS API opération AWS CLI or ou en utilisant une option personnaliséeURL. Pour plus d'informations sur les méthodes d'utilisation des rôles, consultez la section Utilisation IAM des rôles dans le Guide de IAM l'utilisateur.

IAMles rôles dotés d'informations d'identification temporaires sont utiles dans les situations suivantes :

  • Accès utilisateur fédéré – Pour attribuer des autorisations à une identité fédérée, vous créez un rôle et définissez des autorisations pour le rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour plus d'informations sur les rôles pour la fédération, voir Création d'un rôle pour un fournisseur d'identité tiers dans le guide de IAM l'utilisateur. Si vous utilisez IAM Identity Center, vous configurez un ensemble d'autorisations. Pour contrôler les accès auxquels vos identités peuvent accéder après leur authentification, IAM Identity Center met en corrélation l'ensemble d'autorisations avec un rôle dans. IAM Pour plus d’informations sur les jeux d’autorisations, consultez la rubrique Jeux d’autorisations dans le Guide de l’utilisateur AWS IAM Identity Center .

  • Autorisations IAM utilisateur temporaires : un IAM utilisateur ou un rôle peut assumer un IAM rôle afin d'obtenir temporairement différentes autorisations pour une tâche spécifique.

  • Accès entre comptes : vous pouvez utiliser un IAM rôle pour autoriser une personne (un mandant fiable) d'un autre compte à accéder aux ressources de votre compte. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, dans certains Services AWS cas, vous pouvez associer une politique directement à une ressource (au lieu d'utiliser un rôle comme proxy). Pour connaître la différence entre les rôles et les politiques basées sur les ressources pour l'accès entre comptes, voir Accès aux ressources entre comptes IAM dans le guide de l'IAMutilisateur.

  • Accès multiservices — Certains Services AWS utilisent des fonctionnalités dans d'autres Services AWS. Par exemple, lorsque vous effectuez un appel dans un service, il est courant que ce service exécute des applications dans Amazon EC2 ou stocke des objets dans Amazon S3. Un service peut le faire en utilisant les autorisations d’appel du principal, un rôle de service ou un rôle lié au service.

    • Sessions d'accès transmises (FAS) — Lorsque vous utilisez un IAM utilisateur ou un rôle pour effectuer des actions AWS, vous êtes considéré comme un mandant. Lorsque vous utilisez certains services, vous pouvez effectuer une action qui initie une autre action dans un autre service. FASutilise les autorisations du principal appelant an Service AWS, combinées à la demande Service AWS pour adresser des demandes aux services en aval. FASles demandes ne sont effectuées que lorsqu'un service reçoit une demande qui nécessite des interactions avec d'autres personnes Services AWS ou des ressources pour être traitée. Dans ce cas, vous devez disposer d’autorisations nécessaires pour effectuer les deux actions. Pour plus de détails sur les politiques relatives FAS aux demandes, voir Transférer les sessions d'accès.

    • Rôle de service — Un rôle de service est un IAMrôle qu'un service assume pour effectuer des actions en votre nom. Un IAM administrateur peut créer, modifier et supprimer un rôle de service de l'intérieurIAM. Pour plus d'informations, consultez la section Création d'un rôle auquel déléguer des autorisations Service AWS dans le Guide de IAM l'utilisateur.

    • Rôle lié à un service — Un rôle lié à un service est un type de rôle de service lié à un. Service AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre Compte AWS fichier et appartiennent au service. Un IAM administrateur peut consulter, mais pas modifier les autorisations pour les rôles liés à un service.

  • Applications exécutées sur Amazon EC2 : vous pouvez utiliser un IAM rôle pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une EC2 instance et qui AWS CLI soumettent des AWS API demandes. Cela est préférable au stockage des clés d'accès dans l'EC2instance. Pour attribuer un AWS rôle à une EC2 instance et le rendre disponible pour toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes exécutés sur l'EC2instance d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez la section Utilisation d'un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le Guide de IAM l'utilisateur.

Pour savoir s'il faut utiliser IAM des rôles ou des IAM utilisateurs, voir Quand créer un IAM rôle (au lieu d'un utilisateur) dans le guide de IAM l'utilisateur.

Lorsque vous créez des politiques et des autorisations

Vous accordez des autorisations à un utilisateur en créant une stratégie, qui est un document qui répertorie les actions qu'un utilisateur peut effectuer et les ressources que ces actions peuvent concerner. Les actions ou ressources qui ne sont pas explicitement autorisées sont refusées par défaut. Vous pouvez créer des politiques et les attacher à des principaux (utilisateurs, groupes d'utilisateurs, rôles assumés par des utilisateurs et ressources).

Vous pouvez utiliser ces politiques avec un IAM rôle :

  • Politique de confiance — Définit quel principal peut assumer le rôle et sous quelles conditions. Une politique de confiance est un type spécifique de politique basée sur les ressources pour les IAM rôles. Un rôle ne peut disposer que d'une seule politique d'approbation.

  • Politiques basées sur l'identité (en ligne et gérées) – Ces politiques définissent les autorisations que l'utilisateur du rôle est en mesure d'exécuter (ou qui lui sont refusées), et sur quelles ressources.

Utilisez le Exemples de politiques basées sur l'identité IAM pour vous aider à définir les autorisations relatives à vos IAM identités. Une fois que vous avez trouvé la politique dont vous avez besoin, choisissez Afficher la politique JSON pour voir la politique correspondante. Vous pouvez utiliser le document de JSON politique comme modèle pour vos propres politiques.

Note

Si vous utilisez IAM Identity Center pour gérer vos utilisateurs, vous attribuez des ensembles d'autorisations dans IAM Identity Center au lieu de joindre une politique d'autorisations à un principal. Lorsque vous attribuez un ensemble d'autorisations à un groupe ou à un IAM autre utilisateur dans le centre d'identité AWS IAM, Identity Center crée IAM les rôles correspondants dans chaque compte et associe les politiques spécifiées dans le jeu d'autorisations à ces rôles. IAMIdentity Center gère le rôle et autorise les utilisateurs autorisés que vous avez définis à assumer ce rôle. Si vous modifiez l'ensemble d'autorisations, IAM Identity Center veille à ce que les IAM politiques et les rôles correspondants soient mis à jour en conséquence.

Pour plus d'informations sur IAM Identity Center, consultez Qu'est-ce qu'IAMIdentity Center ? dans le guide de AWS IAM Identity Center l'utilisateur.