AWS Identity and Access Management dans AWS Cloud Map - AWS Cloud Map
AuthentificationContrôle d’accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Identity and Access Management dans AWS Cloud Map

Pour effectuer toute action sur les AWS Cloud Map ressources, telle que l'enregistrement d'un domaine ou la mise à jour d'un enregistrement, AWS Identity and Access Management (IAM) vous oblige à authentifier que vous êtes un utilisateur approuvé AWS . Si vous utilisez la AWS Cloud Map console, vous authentifiez votre identité en fournissant votre nom AWS d'utilisateur et un mot de passe. Si vous accédez AWS Cloud Map par programmation, votre application authentifie votre identité à l'aide de clés d'accès ou en signant des demandes.

Après avoir authentifié votre identité, IAM contrôle votre accès AWS en vérifiant que vous êtes autorisé à effectuer des actions et à accéder aux ressources. Si vous êtes un administrateur de compte, vous pouvez utiliser IAM pour contrôler l'accès d'autres utilisateurs aux ressources qui sont associées à votre compte.

Ce chapitre explique comment utiliser IAM et AWS Cloud Map comment sécuriser vos ressources.

Rubriques

Authentification

Vous pouvez accéder à AWS l'une des options suivantes :

  • Utilisateur racine d'un compte AWS— Lorsque vous créez un AWS compte pour la première fois, vous commencez par une identité de connexion unique qui donne un accès complet à tous les AWS services et ressources du compte. Cette identité est s'appelle Utilisateur racine d'un compte AWS et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur racine, consultez Tâches nécessitant les informations d’identification de l’utilisateur racine dans le Guide de l’utilisateur IAM.

  • Utilisateur IAM : un utilisateur IAM est une identité au sein de votre AWS compte dotée d'autorisations personnalisées spécifiques (par exemple, des autorisations permettant de créer un espace de noms HTTP dans). AWS Cloud MapVous pouvez utiliser vos identifiants de connexion IAM pour sécuriser des AWS pages Web telles que le AWS Management Console, AWS Re:Post ou le Center.AWS Support

    En plus des informations d'identification de connexion, vous pouvez également générer des clés d'accès pour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux AWS services par programmation, soit par le biais de l'un des nombreux SDK, soit à l'aide du. AWS Command Line Interface Les outils SDK et CLI utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pas d' AWS outils, vous devez signer vous-même la demande. AWS Cloud Map prend en charge Signature Version 4, un protocole permettant d'authentifier les demandes d'API entrantes. Pour plus d'informations sur l'authentification des demandes, consultez la section Signature des demandes AWS d'API dans le guide de l'AWS Identity and Access Management utilisateur.

  • Rôle IAM : un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM dans la mesure où il s'agit d'une AWS identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

    • Accès utilisateur fédéré : au lieu de créer un utilisateur IAM, vous pouvez utiliser les identités utilisateur existantes provenant du AWS Directory Service répertoire des utilisateurs de votre entreprise ou d'un fournisseur d'identité Web. Ils sont appelés utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé par le biais d'un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.

    • AWS accès au service : vous pouvez utiliser un rôle IAM dans votre compte pour accorder à un AWS service l'autorisation d'accéder aux ressources de votre compte. Par exemple, vous pouvez créer un rôle qui autorise Amazon Redshift à accéder à un compartiment Amazon S3 en votre nom, puis à charger les données de ce compartiment dans un cluster Amazon Redshift. Pour plus d'informations, consultez la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le guide de l'utilisateur IAM.

    • Applications exécutées sur Amazon EC2 : vous pouvez utiliser un rôle IAM pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une instance Amazon EC2 et qui envoient des demandes d'API. AWS Cela est préférable au stockage des clés d'accès dans l'instance Amazon EC2. Pour attribuer un AWS rôle à une instance Amazon EC2 et le mettre à la disposition de toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance Amazon EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le Guide de l’utilisateur IAM.

Contrôle d’accès

Pour créer, mettre à jour, supprimer ou répertorier des AWS Cloud Map ressources, vous devez disposer d'autorisations pour effectuer l'action et d'une autorisation pour accéder aux ressources correspondantes. En outre, pour effectuer l'action par programmation, vous avez besoin de clé d'accès valides.

Les sections suivantes décrivent comment gérer les autorisations pour AWS Cloud Map. Nous vous recommandons de lire d’abord la présentation.