ACCT.03 : configurer l'accès à la console pour chaque utilisateur - AWS Conseils prescriptifs

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

ACCT.03 : configurer l'accès à la console pour chaque utilisateur

Il est AWS recommandé d'utiliser des informations d'identification temporaires pour accorder l'accès aux ressources Comptes AWS et à ces dernières. Les informations d'identification temporaires ont une durée de vie limitée. Vous n'avez donc pas besoin d'en effectuer une rotation ou de les révoquer de manière explicite une fois celles-ci devenues inutiles. Pour plus d'informations, veuillez consulter Informations d'identification de sécurité temporaires (documentation IAM).

Pour les utilisateurs humains, AWS recommande d'utiliser des identités fédérées provenant d'un fournisseur d'identité centralisé (IdP), AWS IAM Identity Center tel qu'Okta, Active Directory ou Ping Identity. La fédération des utilisateurs vous permet de définir des identités dans un emplacement unique et central, et les utilisateurs peuvent s'authentifier en toute sécurité auprès de plusieurs applications et sites Web AWS, notamment en utilisant un seul ensemble d'informations d'identification. Pour plus d'informations, consultez la section Fédération des identités dans AWS et IAM Identity Center (AWS site Web).

Note

La fédération d'identité peut compliquer le passage d'une architecture à compte unique à une architecture à comptes multiples. Il est courant que les start-ups retardent l'implémentation de la fédération d'identité jusqu'à ce qu'elles aient établi une architecture à comptes multiples gérée dans AWS Organizations.

Mise en place de la fédération d'identité

  1. Si vous utilisez IAM Identity Center, veuillez consulter Getting started (documentation IAM Identity Center).

    Si vous utilisez un IdP externe ou tiers, veuillez consulter Création de fournisseurs d'identité IAM (documentation IAM).

  2. Assurez-vous que votre IdP applique l'authentification multifactorielle (MFA).

  3. Appliquez les autorisations conformément à ACCT.04 : attribuer des autorisations.

Pour les start-ups qui ne sont pas prêtes à configurer la fédération d'identité, vous pouvez créer des utilisateurs directement dans IAM. Il ne s'agit pas d'une bonne pratique de sécurité recommandée, car ce sont des informations d'identification à long terme qui n'expirent jamais. Il s'agit toutefois d'une pratique courante pour les start-ups en phase de démarrage afin d'éviter les difficultés liées à la transition vers une architecture à comptes multiples lorsqu'elles sont prêtes sur le plan opérationnel.

À titre de référence, vous pouvez créer un utilisateur IAM pour chaque personne devant accéder à l' AWS Management Console. Si vous configurez des utilisateurs IAM, ne partagez pas les informations d'identification entre les utilisateurs et effectuez régulièrement une rotation des informations d'identification à long terme.

Avertissement

Les utilisateurs IAM disposent d'informations d'identification à long terme, ce qui présente un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de n'octroyer à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces utilisateurs lorsqu'ils ne sont plus nécessaires.

Pour créer un utilisateur IAM

  1. Création d'utilisateurs IAM (documentation IAM).

  2. Appliquez les autorisations conformément à ACCT.04 : attribuer des autorisations.