Présentation de l'accès et de l'authentification - AWS Global Accelerator
En quoi consiste l'authentification ?Qu'est-ce que le contrôle d'accès ?En quoi consistent les stratégies ?Mise en route d'IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Présentation de l'accès et de l'authentification

Si vous découvrez IAM, lisez les rubriques suivantes pour démarrer avec l'autorisation et l'accès dans AWS.

En quoi consiste l'authentification ?

L'authentification correspond au processus par lequel vous vous vous connectez à AWS via vos informations d'identification.

Note

Pour démarrer rapidement, vous pouvez ignorer cette section. Tout d'abord, prenez connaissance des informations d'introduction surIdentity and Access Management pour AWS Global Accelerator, puis consultezMise en route d'IAM.

En tant que mandataire, vous devezAuthentifié(connecté à AWS) à l'aide d'une entité (utilisateur racine, utilisateur IAM ou rôle IAM) pour envoyer une demande à AWS. Un utilisateur IAM peut disposer d'informations d'identification à long terme, comme un nom d'utilisateur et un mot de passe ou un ensemble de clés d'accès. Lorsque vous endossez un rôle IAM, vous recevez des informations d'identification de sécurité temporaires.

Pour vous authentifier à partir de AWS Management Console en tant qu'utilisateur, vous devez vous connecter à l'aide de votre nom d'utilisateur et de votre mot de passe. Pour vous authentifier à partir de l'interface de ligne de commande AWS ou de l'API AWS, vous devez fournir votre clé d'accès et votre clé secrète ou des informations d'identification temporaires. AWS fournit un kit de développement logiciel (SDK) et des outils de CLI pour signer de façon cryptographique votre demande à l'aide de vos informations Si vous n'utilisez pas les outils AWS, vous devez signer la demande vous-même. Quelle que soit la méthode d'authentification que vous utilisez, vous devrez peut-être également fournir des informations de sécurité supplémentaires. Par exemple, AWS vous recommande d'utiliser l'authentification multi-facteurs (MFA) pour améliorer la sécurité de votre compte.

En tant que mandataire, vous pouvez vous connecter à AWS à l'aide des entités suivantes (utilisateurs ou rôles) :

Utilisateur racine d'un compte AWS

Lorsque vous créez un compte AWS, vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée utilisateur racine du compte AWS et elle est accessible après connexion à l'aide de l'adresse e-mail et du mot de passe utilisés pour la création du compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services.

Utilisateur IAM

UnUtilisateur IAMest une entité au sein de votre compte AWS qui dispose d'autorisations spécifiques. prend en charge Global AccelerSignature Version 4, protocole permettant l'authentification des demandes d'API entrantes. Pour de plus amples informations sur l'authentification des demandes, veuillez consulter Processus de signature Signature Version 4 dans les Références générales AWS.

Rôle IAM

UnRôle IAMest une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une identité AWS avec des stratégies d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire dans AWS. En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long-terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

Accès d'utilisateurs fédérés

Au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités existantes provenant d'AWS Directory Service, de votre annuaire utilisateur d'entreprise ou d'un fournisseur d'identités web. Ces derniers sont appelés utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé par le biais d’un fournisseur d'identité. Pour de plus amples informations sur les utilisateurs fédérés, veuillez consulter Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.

Autorisations utilisateur temporaires

Un utilisateur IAM peut assumer un rôle temporaire pour accepter différentes autorisations différentes concernant un tâche spécifique.

Permettre l'accès entre comptes

Vous pouvez utiliser un rôle IAM pour permettre à un mandataire de confiance d'un compte différent d'accéder aux ressources de votre compte. Les rôles constituent le principal moyen d'accorder l'accès entre plusieurs comptes. Toutefois, certains services AWS vous permettent d'attacher une stratégie directement à une ressource (au lieu d'utiliser un rôle en tant que proxy). Global Accelerator ne prend pas en charge ces stratégies basées sur les ressource. Pour plus d'informations sur le choix d'une stratégie basée sur un rôle ou sur une stratégie pour autoriser l'accès entre comptes, consultez Contrôle de l'accès aux mandataires sur un compte différent.

Accès d'un service AWS

Un rôle de service est unRôle IAMqu'un service assume pour effectuer des actions en votre nom. Les rôles de service fournissent un accès uniquement au sein de votre compte et ne peuvent pas être utilisés pour accorder l'accès à des services dans d'autres comptes. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d'IAM. Pour plus de plus amples informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à un service AWS dans le Guide de l'utilisateur IAM.

Applications qui s'exécutent sur Amazon EC2

Vous pouvez utiliser un rôle IAM pour gérer des informations d'identification temporaires pour les applications s'exécutant sur une instance EC2 et effectuant des demandes par l'interface de ligne de commande ou par des API AWS. Cette solution est préférable au stockage des clés d'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations d'identification temporaires. Pour de plus amples informations, veuillez consulter Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le Guide de l’utilisateur IAM.

Qu'est-ce que le contrôle d'accès ?

Une fois que vous êtes connecté (authentifié) à AWS, votre accès aux ressources et opérations AWS est régi par des stratégies. Le contrôle d'accès est également connu sous le nom d'autorisation.

Note

Pour démarrer rapidement, vous pouvez ignorer cette page. Tout d'abord, prenez connaissance des informations d'introduction surIdentity and Access Management pour AWS Global Accelerator, puis consultezMise en route d'IAM.

Au cours de l'autorisation, AWS utilise les valeurs de lacontexte de la demandepour vérifier les stratégies applicables à cette dernière. Ensuite, il utilise les stratégies pour déterminer s'il autorise ou refuse la demande. La plupart des stratégies sont stockées dans AWS sous forme de documents JSON et spécifient les autorisations accordées ou refusées aux mandataires. Pour plus d'informations sur la structure et le contenu des documents de stratégie JSON, consultez En quoi consistent les stratégies ?.

Les stratégies permettent à un administrateur de spécifier qui a accès aux ressources AWS et les actions pouvant être exécutées sur ces ressources. Chaque entité IAM (utilisateur ou rôle) démarre sans autorisation. En d'autres termes, par défaut, les utilisateurs ne peuvent rien faire, pas même afficher leurs propres clés d'accès. Pour autoriser un utilisateur à effectuer une opération, un administrateur doit associer une stratégie d'autorisations à ce dernier. Il peut également ajouter l'utilisateur à un groupe disposant des autorisations prévues. Lorsqu'un administrateur accorde des autorisations à un groupe, tous les utilisateurs de ce groupe obtiennent ces autorisations.

Vous possédez peut-être des informations d'identification valides pour authentifier vos demandes, mais vous ne pouvez pas créer de ressources AWS Global Accelerator ni y accéder, à moins qu'un administrateur vous ait accordé les autorisations requises. Par exemple, vous devez disposer d'autorisations explicites pour créer un accélérateur AWS Global Accelerator.

En tant qu'administrateur, vous pouvez rédiger une stratégie pour contrôler l'accès à ce qui suit :

  • Mandataires— Contrôle de ce que la personne ou l'application à l'origine de la demande (leprincipal) est autorisé à faire.

  • Identités IAM— Contrôlez à quelles identités IAM (groupes, utilisateurs et rôles) il est possible d'accéder et comment y accéder.

  • Stratégies IAMContrôlez qui peut créer, modifier et supprimer les stratégies gérées par les clients, et qui peut attacher et détacher toutes les stratégies gérées.

  • Ressources AWS— Contrôle qui a accès aux ressources à l'aide d'une stratégie basée sur les identités ou sur les ressources.

  • Comptes AWS— Contrôlez si une demande est autorisée uniquement pour les membres d'un compte spécifique.

Contrôle de l'accès pour les mandataires

Les stratégies d'autorisation contrôlent ce que vous, en tant que mandataire, êtes autorisé à faire. Un administrateur doit associer une stratégie d'autorisation basée sur une identité à l'identité (utilisateur, groupe ou rôle) qui fournit vos autorisations. Les stratégies d'autorisation autorisent ou refusent l'accès à AWS. Les administrateurs peuvent également définir une limite d'autorisations pour une entité IAM (utilisateur ou rôle) afin de déterminer le nombre maximum d'autorisations qu'une entité peut détenir. Les limites d'autorisations constituent une fonctionnalité IAM avancée. Pour plus d'informations sur les limites d'autorisations, consultez Limites d'autorisations pour des identités IAM dans le Guide de l'utilisateur IAM.

Pour plus d'informations et obtenir un exemple de la façon de contrôler l'accès AWS pour les mandataires, consultezContrôle de l'accès pour les mandatairesdans leGuide de l'utilisateur IAM.

Contrôle de l'accès aux identités

Les administrateurs contrôlent vos opérations sur une identité IAM (utilisateur, groupe ou rôle) en créant une stratégie qui limite les opérations susceptibles d'être effectuées sur une identité ou les autorisations d'accès. Ensuite, ils attachent cette stratégie à l'identité qui fournit vos autorisations.

Par exemple, un administrateur peut vous permettre de réinitialiser le mot de passe pour trois utilisateurs spécifiques. Pour ce faire, associez à votre utilisateur IAM une stratégie qui vous permet de réinitialiser le mot de passe uniquement pour vous-même et pour les utilisateurs disposant de l'ARN des trois utilisateurs spécifiés. Cela vous permet de réinitialiser le mot de passe des membres de votre équipe, mais pas celui des autres utilisateurs IAM.

Pour plus d'informations et pour obtenir un exemple d'utilisation d'une stratégie pour contrôler l'accès AWS aux identités, consultezContrôle de l'accès aux identitésdans leGuide de l'utilisateur IAM.

Contrôle de l'accès aux stratégies

Les administrateurs peuvent contrôler les personnes autorisées à créer, modifier et supprimer les stratégies gérées par les clients, et celles autorisées à attacher et détacher toutes les stratégies gérées. Lorsque vous examinez une stratégie, vous pouvez consulter le récapitulatif de la stratégie, lequel inclut un récapitulatif du niveau d'accès pour chaque service de cette stratégie. AWS classe chaque action de service dans l'une des quatreNiveau d'accèsen fonction de ce que chaque action fait :List,Read,Write, ouPermissions management. Vous pouvez utiliser ces niveaux d'accès pour déterminer les actions à inclure dans vos stratégies. Pour de plus amples informations, veuillez consulterPrésentation des récapitulatifs de niveau d'accès au sein des récapitulatifs de stratégiesdans leGuide de l'utilisateur IAM.

Avertissement

Vous devez limiterPermissions ManagementAutorisations au niveau de l'accès dans votre compte. Dans le cas contraire, les membres de votre compte peuvent créer des stratégies pour eux-mêmes avec plus d'autorisations qu'ils ne devraient en avoir. Ou ils peuvent créer des utilisateurs distincts disposant d'un accès complet à AWS.

Pour plus d'informations et obtenir un exemple de la façon de contrôler l'accès AWS aux stratégies, consultezContrôle de l'accès aux stratégiesdans leGuide de l'utilisateur IAM.

Contrôle de l'accès aux ressources

Les administrateurs peuvent contrôler l'accès aux ressources à l'aide d'une stratégie basée sur les identités ou sur les ressources. Dans le cadre d'une stratégie basée sur les identités, vous attachez la stratégie à une identité et vous spécifiez à quelles ressources cette identité peut accéder. Dans le cadre d'une stratégie basée sur les ressources, vous attachez une stratégie à la ressource que vous souhaitez contrôler. Dans la stratégie, vous spécifiez quels mandataires peuvent accéder à cette ressource.

Pour de plus amples informations, veuillez consulterContrôle de l'accès aux ressourcesdans leGuide de l'utilisateur IAM.

Les créateurs de ressources n'ont pas automatiquement les autorisations

Toutes les ressources d'un compte appartiennent à ce compte, indépendamment de la personne qui a créé ces ressources. L'utilisateur racine du compte AWS est le propriétaire du compte et, par conséquent,a l'autorisation d'effectuer une action sur une ressource du compte.

Important

Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Au lieu de cela, suivez leMeilleure pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services. Pour afficher les tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur racine, consultezTâches AWS nécessitant un utilisateur racine.

Les entités (utilisateurs ou rôles) du compte AWS doivent obtenir un accès pour créer une ressource. Cependant, le simple fait qu'ils créent une ressource ne signifie pas qu'ils disposent automatiquement d'un accès complet à cette ressource. Les administrateurs doivent accorder explicitement ces autorisations lors de chaque action. En outre, les administrateurs peuvent révoquer ces autorisations à tout moment, tant qu'ils disposent d'un accès pour gérer les autorisations relatives aux utilisateurs et aux rôles.

Contrôle de l'accès aux mandataires sur un compte différent

Les administrateurs peuvent utiliser des stratégies AWS basées sur les ressources, des rôles entre comptes IAM ou le service AWS Organizations pour permettre aux mandataires d'un autre compte d'accéder aux ressources de votre compte.

Pour certains services AWS, les administrateurs peuvent accorder un accès entre comptes à vos ressources. Pour cela, un administrateur attache une stratégie directement à la ressource qu'il souhaite partager, au lieu d'utiliser un rôle en tant que proxy. Si le service prend en charge ce type de stratégie, la ressource partagée par l'administrateur doit également prendre en charge les stratégies basées sur une ressource. Contrairement à une stratégie basée sur un utilisateur, une stratégie basée sur une ressource spécifie qui (sous forme de liste de numéros d'ID de compte AWS) peut accéder à cette ressource. Global Accelerator ne prend pas en charge les stratégies basées sur les ressource.

L'accès entre comptes avec une stratégie basée sur les ressources présente certains avantages comparée à un rôle. Avec une ressource accessible via une stratégie basée sur une ressource, le mandataire (personne ou application) continue d'utiliser le compte approuvé sans devoir renoncer à ses autorisations d'utilisateur au profit des autorisations de rôle. En d'autres termes, le mandataire a en même temps accès aux ressources du compte approuvé et du compte d'approbation. Cela est utile pour les tâches de copie d'informations d'un compte à un autre. Pour plus d'informations sur l'utilisation des rôles entre comptes, consultezFournissez l'accès à un utilisateur IAM à un autre compte AWS vous appartenantdans leGuide de l'utilisateur IAM.

AWS Organizations (Organisations AWS) offre une gestion basée sur une stratégie pour plusieurs comptes AWS vous appartenant. Grâce à Organizations, vous pouvez créer des groupes de comptes, automatiser la création de compte et appliquer et gérer des stratégies pour ces groupes. Organizations vous permettent de gérer, de manière centralisée, les stratégies de plusieurs comptes, sans avoir besoin de scripts personnalisés et de processus manuels. Grâce AWS Organizations, vous pouvez créer des politiques de contrôles de services (SCP) qui régissent un service de manière centralisée sur plusieurs comptes AWS. Pour de plus amples informations, veuillez consulterQu'est-ce qu'AWS Organizations ?dans leGuide de l'utilisateur AWS Organizations.

En quoi consistent les stratégies ?

Vous pouvez contrôler l'accès dans AWS en créant des stratégies et en les attachant à des identités IAM ou à des ressources AWS.

Note

Pour démarrer rapidement, vous pouvez ignorer cette page. Tout d'abord, prenez connaissance des informations d'introduction surIdentity and Access Management pour AWS Global Accelerator, puis consultezMise en route d'IAM.

Une stratégie est un objet dans AWS qui, lorsqu'attaché à une identité ou à une ressource, définit ses autorisations. AWS évalue ces stratégies lorsqu'un mandataire, tel qu'un utilisateur, envoie une requête. Les autorisations dans les stratégies déterminent si la demande est autorisée ou refusée. La plupart des stratégies sont stockées dans AWS en tant que documents JSON.

Les stratégies IAM définissent les autorisations d'une action, quelle que soit la méthode que vous utilisez pour exécuter l'opération. Par exemple, si une stratégie autorise leGetUserL'action, un utilisateur disposant de cette stratégie peut obtenir des informations utilisateur à partir d'AWS Management Console, de l'interface de ligne de commande AWS ou de l'API AWS. Lorsque vous créez un utilisateur IAM, vous pouvez le configurer pour qu'il autorise la console ou un accès par programme. L'utilisateur IAM peut se connecter à la console à l'aide d'un nom d'utilisateur et d'un mot de passe. Ou il peut utiliser des clés d'accès avec l'interface de ligne de commande ou l'API.

Les types de stratégie suivants, répertoriés par ordre de fréquence, peuvent affecter l'autorisation d'une demande. Pour plus d'informations, consultez .Types de stratégiedans leGuide de l'utilisateur IAM.

Stratégies basées sur l'identité

Vous pouvez attacher des stratégies gérées et en ligne à des identités IAM (utilisateurs, groupes auxquels appartiennent des utilisateurs et rôles).

Stratégies basées sur les ressources

Vous pouvez attacher des stratégies en ligne aux ressources de certains services AWS. Les exemples les plus courants de stratégies basées sur les ressources sont les stratégies de compartiment Amazon S3 et les stratégies d'approbation de rôle IAM. Global Accelerator ne prend pas en charge les stratégies basées sur les ressource.

Organizations SCP

Vous pouvez utiliser une stratégie de contrôle de service (SCP) pour appliquer une limite d'autorisations à une organisation ou à une unité d'organisation AWS Organizations. Ces autorisations sont appliquées à toutes les entités des comptes membres.

Listes de contrôle d'accès (ACL)

Vous pouvez utiliser des listes de contrôle d'accès pour contrôler les mandataires pouvant accéder à une ressource. Les listes de contrôle d'accès sont semblables aux stratégies basées sur les ressources, bien qu'elles soient le seul type de stratégie qui n'utilise pas la structure d'un document de stratégie JSON. Global Accelerator prend en charge les listes de contrôle d'accès.

Ces types de stratégie peuvent être classées par stratégies d'autorisations ou limites d'autorisations.

Stratégies d'autorisations

Vous pouvez attacher des stratégies d'autorisation à une ressource dans AWS pour définir les autorisations de cet objet. Dans un seul compte, AWS évalue l'ensemble des stratégies d'autorisations. Les stratégies d'autorisations sont les plus courantes. Vous pouvez utiliser les types de stratégie suivants en tant que stratégies d'autorisations :

Stratégies basées sur l'identité

Lorsque vous attachez une stratégie gérée ou en ligne à un utilisateur, groupe ou rôle IAM, la stratégie définit les autorisations pour cette entité.

Stratégies basées sur les ressources

Lorsque vous attachez un document de stratégie JSON à une ressource, vous définissez les autorisations pour cette ressource. Le service doit prendre en charge les stratégies basées sur les ressources.

Listes de contrôle d'accès (ACL)

Lorsque vous attachez une liste de contrôle d'accès à une ressource, vous définissez une liste de mandataires disposant d'une autorisation pour accéder à cette ressource. La ressource doit prendre en charge les listes de contrôle d'accès.

Limites d'autorisations

Vous pouvez utiliser les stratégies pour définir la limite d'autorisations d'une entité (utilisateur ou rôle). Une limite d'autorisations contrôle les autorisations maximum dont une entité peut disposer. Les limites d'autorisations constituent une fonctionnalité AWS avancée. Lorsque plusieurs limites d'autorisations s'appliquent à une demande, AWS évalue séparément chaque limite d'autorisations. Vous pouvez appliquer une limite d'autorisations dans les cas suivants :

Organisations

Vous pouvez utiliser une stratégie de contrôle de service (SCP) pour appliquer une limite d'autorisations à une organisation ou à une unité d'organisation AWS Organizations.

Utilisateurs ou rôles IAM

Vous pouvez utiliser une stratégie gérée pour la limite d'autorisations d'un utilisateur ou d'un rôle. Pour de plus amples informations, veuillez consulterLimites d'autorisations pour les entités IAMdans leGuide de l'utilisateur IAM.

Stratégies basées sur l'identité

Vous pouvez attacher des stratégies à des identités IAM. Par exemple, vous pouvez effectuer les opérations suivantes :

Attacher une stratégie d'autorisation à un utilisateur ou à un groupe de votre compte

Pour accorder à un utilisateur les autorisations lui permettant de créer une ressource AWS Global Accelerator, telle qu'un accélérateur, vous pouvez attacher une stratégie d'autorisations à un utilisateur ou à un groupe auquel l'utilisateur appartient.

Attacher une stratégie d'autorisation à un rôle (accorder des autorisations entre comptes)

Vous pouvez attacher une stratégie d'autorisation basée sur une identité à un rôle IAM pour accorder des autorisations entre comptes. Par exemple, l'administrateur dans le compte A peut créer un rôle pour accorder des autorisations entre comptes à un autre compte AWS (par exemple, le compte B) ou à un service AWS comme suit :

  1. L'administrateur du Compte A crée un rôle IAM et attache une stratégie d'autorisation à ce rôle qui accorde des autorisations sur les ressources dans le compte A.

  2. L'administrateur du compte A lie une stratégie d'approbation au rôle identifiant le compte B comme mandataire pouvant assumer ce rôle.

  3. L'administrateur du compte B peut alors déléguer des autorisations pour assumer le rôle à tous les utilisateurs figurant dans le compte B. Les utilisateurs du compte B sont ainsi autorisés à créer des ressources ou à y accéder dans le compte A. Le mandataire dans la stratégie d'approbation peut également être un mandataire de service AWS si vous souhaitez accorder à un service AWS des autorisations pour assumer ce rôle.

Pour plus d'informations sur l'utilisation d'IAM pour déléguer des autorisations, consultezGestion des accèsdans leGuide de l'utilisateur IAM.

Pour de plus amples informations sur les utilisateurs, les groupes, les rôles et les autorisations, veuillez consulter Identités (utilisateurs, groupes et rôles) dans le Guide de l'utilisateur IAM.

Voici deux exemples de stratégies que vous pouvez utiliser avec Global Accelerator. Le premier exemple de stratégie accorde à un utilisateur un accès programmatique à toutes les actions List et Descrive pour les accélérateurs de votre compte AWS :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:List*",
                "globalaccelerator:Describe*"
            ],
            "Resource": "*"
        }
    ]
}

L'exemple suivant accorde un accès programmatique auListAcceleratorsfonctionnements :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "globalaccelerator:ListAccelerators",
            ],
            "Resource": "*"
        }
    ]
}

Stratégies basées sur les ressources

Les stratégies basées sur les ressources sont des documents de stratégie JSON que vous attachez à une ressource. Ces stratégies vous permettent de spécifier les actions qu'un mandataire spécifique peut effectuer sur cette ressource et dans quelles conditions. La stratégie basée sur les ressource la plus courante est pour un compartiment Amazon S3. Les stratégies basées sur les ressources sont des stratégies en ligne qui existent uniquement au niveau de la ressource. Il ne s'agit pas de stratégies gérées basées sur les ressources.

Attribuer des autorisations aux membres d'autres comptes AWS à l'aide d'une stratégie basée sur une ressource présente des avantages par rapport à un rôle IAM. Pour de plus amples informations, veuillez consulter Différence entre les rôles IAM et les stratégies basées sur les ressources dans le Guide de l’utilisateur IAM.

Classification des niveaux d'accès aux politiques

Dans la console IAM, les actions sont regroupés grâce aux classification par niveau d'accès suivantes :

List

Fournit l'autorisation de répertorier les ressources au sein du service afin de déterminer si un objet existe. Les actions associées à ce niveau d'accès peuvent répertorier les objets mais ne peuvent pas voir le contenu d'une ressource. La plupart des actions possédant le niveau d'accès Liste ne peuvent pas être effectuées sur une ressource spécifique. Lorsque vous créez une déclaration de stratégie avec ces actions, vous devez spécifier toutes les ressources ("*").

Lisez

Fournit l'autorisation de lire le contenu et les attributs de ressources dans le service, mais pas de les modifier. Par exemple, les opérations Amazon S3GetObjectandGetBucketLocationont les balisesLisezNiveau d'accès.

Écrire

Fournit l'autorisation de créer, supprimer ou modifier des ressources du service. Par exemple, les opérations Amazon S3CreateBucket,DeleteBucket, etPutObjectont les balisesÉcrireNiveau d'accès.

Gestion des autorisations

Fournit l'autorisation d'octroyer ou de modifier des autorisations de ressource dans le service. Par exemple, la plupart des actions de stratégie IAM et AWS Organizations sont associées à l'Gestion des autorisationsNiveau d'accès.

Tip

Afin d'améliorer la sécurité de votre compte AWS, nous vous conseillons de restreindre ou de surveiller régulièrement les stratégies dotées de laGestion des autorisationsclassification au niveau de l'accès.

Balisage

Fournit l'autorisation de créer, supprimer ou modifier des balises qui sont attachées à une ressource dans le service. Par exemple, Amazon EC2CreateTagsandDeleteTagsont la propriétéBalisageNiveau d'accès.

Mise en route d'IAM

AWS Identity and Access Management (IAM) est un service AWS qui vous permet de gérer l'accès aux services et aux ressources en toute sécurité. IAM est une fonction de votre compte AWS proposée gratuitement.

Note

Avant de commencer avec IAM, vérifiez les informations d'introduction surIdentity and Access Management pour AWS Global Accelerator.

Lorsque vous créez un compte AWS, vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée utilisateur racine du compte AWS et elle est accessible après connexion à l'aide de l'adresse e-mail et du mot de passe utilisés pour la création du compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services.

Créez votre utilisateur administrateur IAM

Pour créer un administrateur pour vous-même et ajouter l'utilisateur à un groupe d'administrateurs (console)

  1. Connectez-vous à la IAM console (Console IAM) en tant que propriétaire du compte en choisissant Root user (Utilisateur racine) et en entrant l'adresse e-mail de votre compte AWS. Sur la page suivante, saisissez votre mot de passe.

    Note

    Nous vous recommandons vivement de respecter la bonne pratique qui consiste à avoir recours à l'AdministratorUtilisateur IAM qui suit et verrouille en sécurité les informations d'identification de l'utilisateur racine. Connectez-vous en tant qu'utilisateur racine pour effectuer certaines tâches de gestion des comptes et des services.

  2. Dans le panneau de navigation, choisissez Utilisateurs, puis Add user (Ajouter un utilisateur).

  3. Dans User name (Nom d'utilisateur), entrez Administrator.

  4. Activez la case à cocher en regard de l'accès à AWS Management Console. Puis, sélectionnez Mot de passe personnalisé, et saisissez votre nouveau mot de passe dans la zone de texte.

  5. Par défaut, AWS oblige le nouvel utilisateur à créer un nouveau mot de passe lors de sa première connexion. Décochez la case en regard de User must create a new password at next sign-in (L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion) pour autoriser le nouvel utilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.

  6. ChoisissezSuivant: Autorisations.

  7. Sous Set permissions (Accorder des autorisations), choisissez Add user to group (Ajouter un utilisateur au groupe).

  8. Choisissez Create group.

  9. Dans la boîte de dialogue Create group (Créer un groupe), pour Group name (Nom du groupe), tapez Administrators.

  10. ChoisissezStratégies de filtre, puis sélectionnezGestion d'AWS - fonction de travailpour filtrer le contenu de la table.

  11. Dans la liste des stratégies, cochez la case AdministratorAccess. Choisissez ensuite Create group.

    Note

    Vous devez activer l'accès de l'utilisateur et du rôle IAM à la facturation avant de pouvoir utiliser les autorisations AdministratorAccess pour accéder à la console AWS Billing and Cost Management. Pour ce faire, suivez les instructions de l'étape 1 du didacticiel portant sur comment déléguer l'accès à la console de facturation.

  12. De retour dans la liste des groupes, activez la case à cocher du nouveau groupe. Choisissez Refresh si nécessaire pour afficher le groupe dans la liste.

  13. ChoisissezSuivant: Tags (Balises).

  14. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant les balises sous forme de paires clé-valeur. Pour de plus amples informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des utilisateurs et des rôles IAM dans le Guide de l'utilisateur IAM.

  15. ChoisissezSuivant: VérificationPour afficher la liste des appartenances de groupe à ajouter au nouvel utilisateur. Une fois que vous êtes prêt à continuer, choisissez Create user.

Vous pouvez utiliser ce même processus pour créer d'autres groupes et utilisateurs et pour accorder l'accès aux ressources de votre compte AWS à vos utilisateurs. Pour en savoir plus sur l'utilisation des stratégies permettant de limiter les autorisations d'accès des utilisateurs à certaines ressources AWS, veuillez consulter Gestion des accès et Exemples de stratégies.

Création d'utilisateurs délégués pour Global Accelerator

Pour prendre en charge plusieurs utilisateurs dans votre compte AWS, vous devez déléguer l'autorisation pour permettre à d'autres personnes d'effectuer uniquement les actions que vous souhaitez autoriser. Pour ce faire, créez un groupe IAM avec les autorisations dont ces personnes ont besoin, puis ajoutez les utilisateurs IAM aux groupes nécessaires à mesure que vous les créez. Vous pouvez utiliser cette procédure pour configurer les groupes, les utilisateurs et les autorisations pour l'ensemble de votre compte AWS. Cette solution est mieux utilisé par les petites et moyennes entreprises où un administrateur AWS peut gérer manuellement les utilisateurs et les groupes. Pour les grandes organisations, vous pouvez utiliserRôles IAM personnalisés,fédération, ouAuthentification unique.

Dans la procédure suivante, vous allez créer trois utilisateurs nommésarnav,carlos, etmarthaet joindre une stratégie qui accorde l'autorisation de créer un accélérateur nommémy-example-accelerator, mais seulement dans les 30 prochains jours. Vous pouvez utiliser les étapes fournies ici pour ajouter des utilisateurs possédant des autorisations différentes.

Pour créer un utilisateur délégué pour une autre personne (console)

  1. Connectez-vous à AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Users (Utilisateurs), puis Add user (Ajouter un utilisateur).

  3. Dans User name (Nom d'utilisateur), entrez arnav.

  4. Choisissez Add another user (Ajouter un autre utilisateur) et saisissez carlos pour le deuxième utilisateur. Choisissez ensuite Add another user (Ajouter un autre utilisateur) et saisissez martha pour le troisième utilisateur.

  5. Activez la case à cocher près deAccès AWS Management Console, puis sélectionnezMot de passe généré automatiquement.

  6. Décochez la case en regard de L'utilisateur doit créer un nouveau mot de passe à sa prochaine connexion pour autoriser le nouvel utilisateur à réinitialiser son mot de passe une fois qu'il s'est connecté.

  7. ChoisissezSuivant: Autorisations.

  8. Choisissez Attacher directement les stratégies existantes. Vous allez créer une nouvelle stratégie gérée pour les utilisateurs.

  9. Choisissez Créer une stratégie.

    L'assistant Create policy (Créer la stratégie) s'ouvre dans un nouvel onglet ou une nouvelle fenêtre du navigateur.

  10. Dans l'onglet Éditeur visuel, sélectionnez Choose a service (Choisir un service). Choisissez Global Accelerator. Vous pouvez utiliser le menu Filtre ou la zone de recherche en haut de l'écran pour limiter les résultats dans la liste des services.

    La .Servicese ferme et la sectionActionss'ouvre automatiquement.

  11. Choisissez les actions de l'accélérateur global que vous souhaitez autoriser. Par exemple, pour accorder l'autorisation de créer un accélérateur, entrezglobalaccelerator:CreateAcceleratordans leAction de filtre. Lorsque la liste des actions Global Accelerator est filtrée, sélectionnez la case à cocher en regard deglobalaccelerator:CreateAccelerator.

    Les actions Global Accelerator sont regroupées par classification de niveau d'accès pour vous permettre de rapidement déterminer le niveau d'accès que chaque action fournit. Pour plus d'informations, consultez Classification des niveaux d'accès aux politiques.

  12. Si les actions choisies au cours des étapes précédentes ne prennent pas en charge le choix de ressources spécifiques, alorsToutes les ressourcesest sélectionné pour vous. Dans ce cas, vous ne pouvez pas modifier cette section.

    Si vous avez choisi une ou plusieurs actions qui prennent en charge les autorisations de niveau ressource, l'éditeur visuel affiche la liste de ces types de ressource dans la section Resources (Ressources). ChoisissezVous avez choisi des actions qui requièrent la propriétéAccélérateurType de ressourcePour choisir si vous souhaitez saisir un accélérateur spécifique pour votre stratégie.

  13. Si vous souhaitez autoriser l'action globalaccelerator:CreateAccelerator pour toutes les ressources, choisissez All resources (Toutes les ressources).

    Si vous souhaitez spécifier une ressource, choisissez Add ARN (Ajouter un ARN). Spécifiez la région ou l'ID du compte (ou l'ID du compte) (ou choisissezAny), puis entrezmy-example-acceleratorpour la ressource. Choisissez ensuite Ajouter.

  14. Choisissez Specify request conditions (optional) (Spécifier des conditions de demande (facultatif)).

  15. ChoisissezAjouter une conditionpour accorder l'autorisation de créer un accélérateurdans les 7 jours. Supposez que la date du jour est le 1er janvier 2019.

  16. Pour Condition Key (Clé de condition), choisissez aws : CurrentTime. Cette clé de condition vérifie la date et l'heure à laquelle l'utilisateur effectue la demande. Il renvoie la valeur true (et par conséquent autorise l'action globalaccelerator:CreateAccelerator uniquement si la date et l'heure sont comprise dans la plage spécifiée.

  17. PourQualificateur, conservez la valeur par défaut.

  18. Pour spécifier le début de la plage de dates et de temps autorisée, pour Operator (Opérateur), choisissez DateGreaterThan. Pour Value (Valeur), entrez 2019-01-01T00:00:00Z.

  19. Choisissez Add (Ajouter) pour enregistrer votre condition.

  20. Choisissez Add another condition (Ajouter une condition) pour spécifier la date finale.

  21. Suivez les étapes similaires pour spécifier la fin de la plage de dates et de temps autorisée. Pour Condition Key (Clé de condition), choisissez aws : CurrentTime. Pour Operator (Opérateur), choisissez DateLessThan. Pour Value (Valeur), entrez 2019-01-06T23:59:59Z, sept jours après la première date. Choisissez ensuite Add (Ajouter) pour enregistrer votre condition.

  22. (Facultatif) Pour afficher le document de stratégie JSON pour la stratégie que vous créez, choisissez l'optionJSON. Vous pouvez basculer à tout moment entre les onglets Éditeur visuel et JSON. Toutefois, si vous apportez des modifications ou choisissezExaminer une stratégiedans leVisual editor (Éditeur visuel), IAM peut restructurer votre stratégie pour optimiser son affichage dans l'éditeur visuel. Pour de plus amples informations, veuillez consulterRestructuration de stratégiedans leGuide de l'utilisateur IAM.

  23. Lorsque vous avez terminé, choisissez Examiner une stratégie.

  24. Dans la pageExaminer une stratégie, pourNom, saisissezglobalaccelerator:CreateAcceleratorPolicy. Pour Description, entrez Policy to grants permission to create an accelerator. Passez en revue le récapitulatif de stratégie pour vous assurer que vous avez accordé les autorisations souhaitées, puis choisissez Créer une stratégie pour enregistrer votre nouvelle stratégie.

  25. Revenez à l'onglet ou à la fenêtre initial(e) et actualisez votre liste de stratégies.

  26. Dans la zone de recherche, entrez globalaccelerator:CreateAcceleratorPolicy. Cochez la case en regard de la nouvelle stratégie. Choisissez ensuite Next Step.

  27. ChoisissezSuivant: Vérificationpour afficher vos nouveaux utilisateurs. Une fois que vous êtes prêt à continuer, choisissez Créer un utilisateur.

  28. Téléchargez ou copiez les mots de passe de vos nouveaux utilisateurs et proposez-les aux utilisateurs en toute sécurité. Séparément, fournissez à vos utilisateurs unlien vers la page de votre console utilisateur IAMet les noms d'utilisateur que vous venez de créer.

Autorise les utilisateurs à gérer eux-mêmes leurs informations d'identification

Pour configurer l'authentification MFA, vous devez avoir accès physique au matériel sur lequel le périphérique MFA virtuel de l'utilisateur est hébergé. Par exemple, vous pouvez configurer le MFA pour un utilisateur qui utilisera un appareil MFA virtuel s'exécutant sur un smartphone. Dans ce cas, vous devez avoir le smartphone à proximité afin de finaliser l'assistant. De ce fait, vous pouvez préférer laisser les utilisateurs configurer et gérer leurs propres périphériques MFA virtuels. Dans ce cas, vous devez accorder aux utilisateurs les autorisations nécessaires pour effectuer les actions IAM nécessaires.

Pour créer une stratégie permettant la gestion automatique d'informations d'identification (console)

  1. Connectez-vous à AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, choisissez Stratégies, puis Créer une stratégie.

  3. Choisissez l'onglet JSON et copiez le texte du document de stratégie JSON suivant. Collez ce texte dans la zone de texte JSON.

    Important

    Cet exemple de stratégie n'autorise pas les utilisateurs à réinitialiser leur mot de passe lors de leur connexion. Les nouveaux utilisateurs et les utilisateurs ayant un mot de passe qui a expiré peuvent essayer de le faire. Vous pouvez autoriser cette opération en ajoutant iam:ChangePassword et iam:CreateLoginProfile à l'instruction BlockMostAccessUnlessSignedInWithMFA. Cependant, IAM ne le recommande pas.

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowAllUsersToListAccounts",
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases",
                "iam:ListUsers",
                "iam:ListVirtualMFADevices",
                "iam:GetAccountPasswordPolicy",
                "iam:GetAccountSummary"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformation",
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword",
                "iam:CreateAccessKey",
                "iam:CreateLoginProfile",
                "iam:DeleteAccessKey",
                "iam:DeleteLoginProfile",
                "iam:GetLoginProfile",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:UpdateLoginProfile",
                "iam:ListSigningCertificates",
                "iam:DeleteSigningCertificate",
                "iam:UpdateSigningCertificate",
                "iam:UploadSigningCertificate",
                "iam:ListSSHPublicKeys",
                "iam:GetSSHPublicKey",
                "iam:DeleteSSHPublicKey",
                "iam:UpdateSSHPublicKey",
                "iam:UploadSSHPublicKey"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        },
        {
            "Sid": "AllowIndividualUserToViewAndManageTheirOwnMFA",
            "Effect": "Allow",
            "Action": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:EnableMFADevice",
                "iam:ListMFADevices",
                "iam:ResyncMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Sid": "AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA",
            "Effect": "Allow",
            "Action": [
                "iam:DeactivateMFADevice"
            ],
            "Resource": [
                "arn:aws:iam::*:mfa/${aws:username}",
                "arn:aws:iam::*:user/${aws:username}"
            ],
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }
        },
        {
            "Sid": "BlockMostAccessUnlessSignedInWithMFA",
            "Effect": "Deny",
            "NotAction": [
                "iam:CreateVirtualMFADevice",
                "iam:DeleteVirtualMFADevice",
                "iam:ListVirtualMFADevices",
                "iam:EnableMFADevice",
                "iam:ResyncMFADevice",
                "iam:ListAccountAliases",
                "iam:ListUsers",
                "iam:ListSSHPublicKeys",
                "iam:ListAccessKeys",
                "iam:ListServiceSpecificCredentials",
                "iam:ListMFADevices",
                "iam:GetAccountSummary",
                "sts:GetSessionToken"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:MultiFactorAuthPresent": "false"
                }
            }
        }
    ]
}

    A quoi sert cette stratégie ?

    • La .AllowAllUsersToListAccountspermet à l'utilisateur de consulter des informations de base concernant le compte et ses utilisateurs dans la console IAM. Ces autorisations doivent se trouver dans leur propre instruction, car elles ne prennent pas en charge ou n'ont pas besoin de spécifier d'ARN de ressource particulier et spécifient à la place "Resource" : "*".

    • La .AllowIndividualUserToSeeAndManageOnlyTheirOwnAccountInformationL'instruction permet à l'utilisateur de gérer ses propres informations d'utilisateur, de mot de passe, de clés d'accès, de certificats de signature, de clés publiques SSH et de MFA dans la console IAM. Elle permet également aux utilisateurs de se connecter pour la première fois si un administrateur leur demande de définir un mot de passe initial. L'ARN de ressource limite l'utilisation de ces autorisations uniquement à l'entité IAM appartenant à l'utilisateur.

    • L'instruction AllowIndividualUserToViewAndManageTheirOwnMFA permet à l'utilisateur d'afficher ou gérer son périphérique MFA. Notez que les ARN de ressource de cette instruction autorisent uniquement l'accès à un périphérique MFA ou un utilisateur dont le nom est strictement identique à celui de l'utilisateur actuellement connecté. Les utilisateurs ne peuvent pas créer ou modifier un périphérique MFA autre que le leur.

    • L'instruction AllowIndividualUserToDeactivateOnlyTheirOwnMFAOnlyWhenUsingMFA permet à l'utilisateur de désactiver uniquement son propre périphérique MFA et uniquement s'il s'est connecté à l'aide de MFA. Ceci permet d'éviter que d'autres personnes disposant seulement des clés d'accès (et non du périphérique MFA) ne désactivent le périphérique MFA et n'accèdent au compte.

    • La .BlockMostAccessUnlessSignedInWithMFAutilise une combinaison de"Deny"and"NotAction"pour refuser l'accès à toutes les actions sauf quelques actions dans IAM et d'autres services AWSifl'utilisateur n'est pas connecté avec MFA. Pour plus d'informations sur la logique de cette instruction, consultezNotAction avec Denydans leGuide de l'utilisateur IAM. Si l'utilisateur s'est connecté à l'aide de MFA, le test "Condition" échoue et la dernière instruction « deny » n'a aucun effet ; les autres stratégies ou instructions pour l'utilisateur déterminent les autorisations de ce dernier. Cette instruction garantit que lorsque l'utilisateur ne s'est pas connecté avec MFA, celui-ci ne peut exécuter que les actions répertoriées et uniquement si une autre instruction ou stratégie accorde l'accès à ces actions.

      La version ...IfExists de l'opérateur Bool permet de s'assurer que si la clé aws:MultiFactorAuthPresent est manquante, la condition renvoie la valeur true. Cela signifie qu'un utilisateur qui accède à une API avec des informations d'identification à long terme, comme une clé d'accès, se voit refuser l'accès aux opérations d'API non IAM.

  4. Lorsque vous avez terminé, choisissez Examiner une stratégie.

  5. Sur la page Review (Vérification), tapez Force_MFA pour le nom de la stratégie. Pour la description de la stratégie, saisissezThis policy allows users to manage their own passwords and MFA devices but nothing else unless they authenticate with MFA.Examiner la stratégieRécapitulatifPour afficher les autorisations accordées par votre stratégie, puis choisissezCréer une stratégiepour sauvegarder votre travail.

    La nouvelle stratégie s'affiche dans la liste des stratégies gérées et est prête à être attachée.

Pour attacher la stratégie à un utilisateur (console)

  1. Dans le volet de navigation, sélectionnez Users.

  2. Choisissez le nom (et non pas la case à cocher correspondante) de l'utilisateur que vous voulez modifier.

  3. Sous l'onglet Autorisations, choisissez Ajouter des autorisations.

  4. Choisissez Attacher directement les stratégies existantes.

  5. Dans la zone de recherche, saisissez Force, puis cochez la case située en regard de Force_MFA dans la liste. Ensuite, sélectionnez Next (Suivant). Vérification.

  6. Vérifiez vos modifications et choisissez Ajouter des autorisations.

Activer MFA pour votre utilisateur IAM

Pour plus de sécurité, nous recommandons à tous les utilisateurs IAM de configurer l'authentification multi-facteurs (Multi-Factor Authentication, MFA) pour mieux protéger vos ressources Global Accelerator. L'authentification MFA ajoute une couche de sécurité supplémentaire, car elle exige que les utilisateurs fournissent une authentification unique à partir d'un périphérique MFA pris en charge par AWS, en plus de leurs informations d'identification de connexion classiques. Le périphérique AWS MFA le plus sécurisé est la clé de sécurité U2F. Si votre société possède déjà des périphérique U2F, nous vous recommandons d'activer ces périphériques pour AWS. Dans le cas contraire, vous devez acheter un périphérique pour chacun de vos utilisateurs et attendre de recevoir le matériel. Pour de plus amples informations, veuillez consulterActivation d'une clé de sécurité U2Fdans leGuide de l'utilisateur IAM.

Si vous n'avez pas déjà un périphérique U2F, vous pouvez démarrer rapidement et à moindre coût en activant un périphérique MFA virtuel. Cela nécessite que vous installiez une application logicielle sur un téléphone ou un autre appareil mobile. Le périphérique génère un code numérique à six chiffres basé sur un algorithme de mot de passe unique synchronisé. Lorsque l'utilisateur se connecte à AWS, il est invité à entrer un code à partir de l'appareil. Chaque périphérique MFA virtuel attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique MFA virtuel d'un autre utilisateur pour s'authentifier. Pour obtenir une liste des applications que vous pouvez utiliser comme appareils MFA virtuels, consultez Multi-Factor Authentication.

Note

Pour configurer l'authentification MFA d'un utilisateur IAM, vous devez avoir un accès physique au périphérique mobile sur lequel le périphérique MFA virtuel de l'utilisateur est hébergé.

Pour activer un périphérique MFA virtuel pour un utilisateur IAM (console)

  1. Connectez-vous à AWS Management Console et ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation, sélectionnez Users.

  3. Dans la liste Nom d'utilisateur, choisissez le nom utilisateur MFA prévu.

  4. Choisissez l'onglet Informations d'identification de sécurité. En regard de Assigned MFA device (Appareil MFA affecté), choisissez Manage (Gérer).

  5. Dans l'assistant Gérer l'appareil MFA, choisissez Appareil MFA virtuel, puis Continuer.

    IAM génère et affiche les informations de configuration du périphérique MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.

  6. Ouvrez votre application MFA virtuelle.

    Pour obtenir une liste des applications que vous pouvez utiliser pour héberger des périphériques MFA virtuels, consultez Authentification multi-facteurs. Si l'application MFA virtuelle prend en charge plusieurs comptes (plusieurs périphériques MFA virtuels), choisissez l'option permettant de créer un compte (un nouveau périphérique MFA virtuel).

  7. Déterminez si l'application MFA prend en charge les codes QR, puis effectuez l'une des actions suivantes :

    • Dans l'assistant, choisissez Show QR code (Afficher le code QR), puis utiliser l'application pour analyser le code QR. Par exemple, vous pouvez choisir l'icône de caméra ou une option similaire à Scan code, puis utiliser la caméra du périphérique pour analyser le code.

    • Dans l'assistant Gérer le périphérique MFA, choisissez Afficher la clé secrète pour la configuration manuelle, puis saisissez la clé secrète dans votre application MFA.

    Une fois que vous avez terminé, le périphérique MFA virtuel commence à générer des mots de passe uniques.

  8. Dans l'assistant Gérer l'appareil MFA, dans la zone MFA Code 1 (Code MFA 1), saisissez le mot de passe unique qui s'affiche actuellement sur le périphérique MFA virtuel. Attendez jusqu'à 30 secondes pour que le périphérique génère un nouveau mot de passe unique. Saisissez ensuite le second mot de passe unique dans la zone MFA Code 2 (Code MFA 2). Choisissez Assign MFA (Affecter le MFA).

    Important

    Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le périphérique MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser le périphérique. Pour de plus amples informations, veuillez consulterResynchronisation de périphériques MFA virtuels et matérielsdans leGuide de l'utilisateur IAM.

    L'appareil MFA virtuel est maintenant prêt à être utilisé avec AWS.