Gestion des identités et des accès dans Amazon SNS - Amazon Simple Notification Service

Gestion des identités et des accès dans Amazon SNS

L'accès à Amazon SNS requiert des informations d'identification qu'AWS peut utiliser pour authentifier vos demandes. Ces informations d'identification doivent disposer d'autorisations pour accéder aux ressources AWS, telles que les rubriques et les messages Amazon SNS. Les sections suivantes vous expliquent comment vous pouvez utiliser AWS Identity and Access Management (IAM) et Amazon SNS pour sécuriser vos ressources en contrôlant qui peut y accéder.

Authentification

Vous pouvez utiliser les types d'identité suivants pour accéder à AWS :

  • Utilisateur root Compte AWS

    Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion disposant d'un accès complet à tous les Services AWS et ressources du compte. Cette identité est appelée Compte AWS utilisateur root. Vous pouvez y accéder en vous connectant à l'aide de l'adresse électronique et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur root pour vos tâches quotidiennes. Protégez vos informations d'identification de l'utilisateur root et utilisez-les uniquement pour effectuer les tâches que seul l'utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui requièrent une connexion en tant qu'utilisateur root, consultez Tâches nécessitant des informations d'identification d'utilisateur root dans la Référence générale AWS.

  • Utilisateurs et groupes IAM

    Un utilisateur IAM est une identité dans votre Compte AWS qui dispose d'autorisations spécifiques pour une seule personne ou application. Un utilisateur IAM peut disposer d'informations d'identification à long terme, comme un nom d'utilisateur et un mot de passe ou un ensemble de clés d'accès. Pour découvrir comment générer des clés d'accès, consultez Gestion des clés d'accès pour les utilisateurs IAM dans le Guide de l'utilisateur IAM. Lorsque vous générez des clés d'accès pour un utilisateur IAM, veillez à afficher et enregistrer la paire de clés de manière sécurisée. Vous ne pourrez plus récupérer la clé d'accès secrète à l'avenir. Au lieu de cela, vous devrez générer une nouvelle paire de clés d'accès.

    Un groupe IAM est une identité qui concerne un ensemble d'utilisateurs IAM. Vous ne pouvez pas vous connecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pour plusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pour de grands ensembles d'utilisateurs. Par exemple, vous pouvez avoir un groupe nommé IAMAdmins et accorder à ce groupe les autorisations d'administrer des ressources IAM.

    Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personne ou une application, alors qu'un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. Les utilisateurs disposent d'informations d'identification permanentes, mais les rôles fournissent des informations d'identification temporaires. Pour en savoir plus, consultez Quand créer un utilisateur IAM (au lieu d'un rôle) dans le Guide de l'utilisateur IAM.

  • Rôle IAM

    Un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une identité AWS avec des politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire dans AWS. En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

    • Accès par des utilisateurs fédérés : au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités existantes provenant de AWS Directory Service, de votre répertoire d'utilisateurs d'entreprise, d'un fournisseur d'identité web ou du Magasin d'identités d'IAM Identity Center. Ces identités s'appellent identités fédérées. Pour attribuer des autorisations à des identités fédérés, vous pouvez créer un rôle et définir des autorisations pour le rôle. Quand une identité externe s'authentifie, l'identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Si vous utilisez IAM Identity Center, vous configurez un jeu d'autorisations. IAM Identity Center met en corrélation le jeu d'autorisations avec un rôle dans IAM afin de contrôler à quoi vos identités peuvent accéder après leur authentification. Pour plus d'informations sur la fédération d'identité, consultez la rubrique Création d'un rôle pour un fournisseur d'identité tiers du Guide de l'utilisateur IAM. Pour plus d'informations sur IAM Identity Center, consultez Qu'est-ce que IAM Identity Center ? dans le Guide de l'utilisateur AWS IAM Identity Center (successor to AWS Single Sign-On).

    • Accès Service AWS : une fonction de service est un rôle IAM qu'un service endosse pour effectuer des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer une fonction du service à partir d'IAM. Pour de plus amples informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à un Service AWS dans le Guide de l'utilisateur IAM.

    • Applications s'exécutant sur Amazon EC2 : vous pouvez utiliser un rôle IAM pour gérer des informations d'identification temporaires pour les applications s'exécutant sur une instance EC2 et effectuant des requêtes d'API AWS CLI ou AWS. Cette solution est préférable au stockage des clés d'accès au sein de l'instance EC2. Pour attribuer un rôle AWS à une instance EC2 et le rendre disponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le Guide de l'utilisateur IAM.

Contrôle d'accès

Amazon SNS dispose de son propre système d'autorisations basées sur les ressources pour utiliser des politiques écrites dans le même langage que celui des politiques AWS Identity and Access Management (IAM). Cela signifie que vous pouvez obtenir le même type de résultat avec des politiques Amazon SNS et des politiques IAM.

Note

Il est important de comprendre que tous les Comptes AWS peuvent déléguer leurs autorisations à des utilisateurs possédant leurs propres comptes. L'accès intercomptes vous permet de partager l'accès à vos ressources AWS sans avoir à gérer d'utilisateurs supplémentaires. Pour plus d'informations sur l'accès entre comptes, consultez Activation de l'accès entre comptes dans le Guide de l'utilisateur IAM.