Qu'est-ce qu'une authentification ? - MediaConvert

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Qu'est-ce qu'une authentification ?

L'authentification correspond au processus par lequel vous vous connectez à AWS à l'aide de vos informations d'identification.

En tant que principal, vous devez être authentifié (connecté àAWS) à l'aide d'une entité (utilisateur racine, utilisateur IAM ou rôle IAM) à laquelle envoyer une demandeAWS. Un utilisateur IAM peut disposer d'informations d'identification à long terme, comme un nom d'utilisateur et un mot de passe ou un ensemble de clés d'accès. Lorsque vous assumez un rôle IAM, vous recevez des informations d'identification de sécurité temporaires.

Pour vous authentifier à partir de la AWS Management Console en tant qu'utilisateur, vous devez vous connecter à l'aide de votre nom d'utilisateur et de votre mot de passe. Pour vous authentifier à partir de la ligne de commande AWS CLI ou de l'API AWS, vous devez fournir votre clé d'accès et votre clé secrète ou des informations d'identification temporaires. AWS fournit des outils CLI et SDK pour signer de façon chiffrée votre demande à l'aide de vos informations d'identification. Si vous n'utilisez pas les outils AWS, vous devez signer la demande vous-même. Quelle que soit la méthode d'authentification que vous utilisez, vous devrez peut-être également fournir des informations de sécurité supplémentaires. Par exemple, AWS vous recommande d'utiliser l'authentification multi-facteur (MFA) pour améliorer la sécurité de votre compte.

En tant que mandataire, vous pouvez vous connecter à AWS à l'aide des entités suivantes (utilisateurs ou rôles) :

  • Utilisateur root de Compte AWS : lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion qui bénéficie d'un accès complet à tous les Services AWS et toutes les ressources du compte. Cette identité est appelée Compte AWS utilisateur root. Vous pouvez y accéder en vous connectant à l'aide de l'adresse électronique et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur root pour vos tâches quotidiennes. Protégez vos informations d'identification d'utilisateur root et utilisez-les pour effectuer les tâches que seul l'utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu'utilisateur root, consultez Tâches nécessitant des informations d'identification d'utilisateur root dans la Référence générale d'AWS.

  • Utilisateur IAM — Un utilisateur IAM est une entité au sein de votreAWS compte qui dispose d'autorisations spécifiques. MediaConvert prend en charge Signature Version 4, un protocole permettant l'authentification des demandes d'API entrantes. Pour de plus amples informations sur l'authentification des demandes, veuillez consulter Processus de signature Signature Version 4 dans les AWSRéférences générales.

  • Rôle IAM : un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une identité AWS avec des politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire dans AWS. En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

    • Federated user access (Accès utilisateur fédéré) : pour attribuer des autorisations à une identité fédérée, vous pouvez créer un rôle et définir des autorisations pour le rôle. Quand une identité externe s'authentifie, l'identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour obtenir des informations sur les rôles pour la fédération, consultez Création d'un rôle pour un fournisseur d'identité tiers (fédération) dans le Guide de l'utilisateur IAM. Si vous utilisez IAM Identity Center, vous configurez un jeu d'autorisations. IAM Identity Center met en corrélation le jeu d'autorisations avec un rôle dans IAM afin de contrôler à quoi vos identités peuvent accéder après leur authentification. Pour plus d'informations sur les jeux d'autorisations, veuillez consulter la rubrique Jeux d'autorisations dans le AWS IAM Identity Center (successor to AWS Single Sign-On) Guide d'utilisateur.

    • Autorisations utilisateur temporaires : Un utilisateur IAM peut assumer un rôle pour accepter différentes autorisations temporaires concernant un tâche spécifique.

    • Accès comptes multiples : Vous pouvez utiliser un rôle IAM pour permettre à un principal de confiance d'un compte différent d'accéder aux ressources de votre compte. Les rôles constituent le principal moyen d'accorder l'accès entre plusieurs comptes. Toutefois, certainsAWS services vous permettent d'attacher une stratégie directement à une ressource (au lieu d'utiliser un rôle en tant que proxy). MediaConvert ne prend pas en charge les stratégies basées sur les ressource. Pour plus d'informations sur le choix d'une stratégie basée sur un rôle ou sur une stratégie pour autoriser l'accès entre comptes, consultez Contrôle de l'accès aux principaux dans un autre compte.

    • Accès par un service AWS – Une fonction de service est un rôle IAM qu'un service endosse pour effectuer des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer une fonction du service à partir d'IAM. Pour de plus amples informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à un Service AWS dans le Guide de l'utilisateur IAM.

    • Applications s'exécutant sur Amazon EC2 : vous pouvez utiliser un rôle IAM pour gérer des informations d'identification temporaires pour les applications s'exécutant sur une instance EC2 et effectuant des requêtes d'API AWS CLI ou AWS. Cette solution est préférable au stockage des clés d'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le Guide de l'utilisateur IAM.