Création et configuration d'un utilisateur IAM Création d'un groupe IAM Ajout d'un utilisateur IAM à un groupe IAM Générer des informations d'identification pour un utilisateur IAM Créer un rôle IAM Création d'une stratégie IAM

Gestion de l’identité et des accès

Gestion des identités et des accès AWS (IAM) vous permet de gérer de manière plus sécurisée l'accès à vos ressources Comptes AWS et à vos ressources. Avec IAM, vous pouvez créer plusieurs utilisateurs dans votre serveur principal (root). Compte AWS Ces utilisateurs peuvent avoir leurs propres informations d'identification : mot de passe, identifiant de clé d'accès et clé secrète, mais tous les utilisateurs IAM partagent un numéro de compte unique.

Vous pouvez gérer le niveau d'accès aux ressources de chaque utilisateur IAM en attachant des politiques IAM à l'utilisateur. Par exemple, vous pouvez associer une politique à un utilisateur IAM qui lui donne accès au service Amazon S3 et aux ressources associées de votre compte, mais qui ne donne accès à aucun autre service ou ressource.

Pour une gestion des accès plus efficace, vous pouvez créer des groupes IAM, qui sont des ensembles d'utilisateurs. Lorsque vous associez une stratégie à un groupe, elle s'applique à tous les utilisateurs qui appartiennent à ce groupe.

Outre la gestion des autorisations au niveau des utilisateurs et des groupes, IAM soutient également le concept des rôles IAM. Tout comme les utilisateurs et les groupes, vous pouvez associer des politiques aux rôles IAM. Vous pouvez ensuite associer le rôle IAM à une instance Amazon EC2. Les applications qui s'exécutent sur l'instance EC2 peuvent y accéder à AWS l'aide des autorisations fournies par le rôle IAM. Pour plus d'informations sur l'utilisation des rôles IAM avec la boîte à outils, consultez Création d'un rôle IAM. Pour plus d'informations sur IAM, consultez le guide de l'utilisateur d'IAM.

Création et configuration d'un utilisateur IAM

Les utilisateurs IAM vous permettent d'autoriser d'autres personnes à accéder à votre Compte AWS. En associant des stratégies aux utilisateurs IAM, vous pouvez limiter avec précision les ressources auxquelles un utilisateur IAM peut accéder et les opérations qu'il peut effectuer sur ces ressources.

Il est recommandé que tous les utilisateurs qui accèdent à et Compte AWS doivent le faire en tant qu'utilisateurs IAM, même le propriétaire du compte. Cela garantit que si les informations d'identification de l'un des utilisateurs IAM sont compromises, seules ces informations d'identification peuvent être désactivées. Il n'est pas nécessaire de désactiver ou modifier les informations d'identification racine du compte.

Dans le Toolkit for Visual Studio, vous pouvez attribuer des autorisations à un utilisateur IAM soit en attachant une politique IAM à l'utilisateur, soit en l'affectant à un groupe. Les utilisateurs IAM affectés à un groupe obtiennent leurs autorisations en fonction des politiques associées au groupe. Pour plus d'informations, consultez Création d'un groupe IAM et Ajout d'un utilisateur IAM à un groupe IAM.

Dans le Toolkit for Visual Studio, vous pouvez également générer des AWS informations d'identification (ID de clé d'accès et clé secrète) pour l'utilisateur IAM. Pour plus d'informations, consultez Génération d'informations d'identification pour un utilisateur IAM

Boîte de dialogue permettant de générer des AWS informations d'identification avec des options permettant de créer une clé d'accès et de télécharger.

Le Toolkit for Visual Studio permet de spécifier les informations d'identification des utilisateurs IAM pour accéder aux services via AWS Explorer. Les utilisateurs d'IAM n'ayant généralement pas un accès complet à tous les Amazon Web Services, il est possible que certaines fonctionnalités d' AWS Explorer ne soient pas disponibles. Si vous utilisez AWS Explorer pour modifier les ressources alors que le compte actif est un utilisateur IAM, puis que vous passez du compte actif au compte root, les modifications risquent de ne pas être visibles tant que vous n'actualisez pas la vue dans AWS Explorer. Pour actualiser la vue, cliquez sur le bouton d'actualisation ().

Pour plus d'informations sur la configuration des utilisateurs IAM depuis le AWS Management Console, consultez la section Travailler avec les utilisateurs et les groupes dans le guide de l'utilisateur IAM.

Pour créer un utilisateur IAM

Dans l' AWS Explorateur, développez le Gestion des identités et des accès AWSnœud, ouvrez le menu contextuel (clic droit) pour Utilisateurs, puis choisissez Créer un utilisateur.
Dans la boîte de dialogue Créer un utilisateur, tapez le nom de l'utilisateur IAM et cliquez sur OK. Il s'agit du nom convivial IAM. Pour plus d'informations sur les contraintes relatives aux noms des utilisateurs IAM, consultez le guide de l'utilisateur IAM.

Create an IAM user

Le nouvel utilisateur apparaîtra sous la forme d'un sous-nœud sous Utilisateurs sous le Gestion des identités et des accès AWSnœud.

Pour plus d'informations sur la manière de créer une stratégie et de l'associer à l'utilisateur, consultez Création d'une stratégie IAM.

Création d'un groupe IAM

Les groupes permettent d'appliquer des politiques IAM à un ensemble d'utilisateurs. Pour plus d'informations sur la gestion des utilisateurs et des groupes IAM, consultez la section Travailler avec les utilisateurs et les groupes dans le guide de l'utilisateur IAM.

Pour créer un groupe IAM

Dans AWS Explorer, sous Identity and Access Management, ouvrez le menu contextuel (clic droit) pour Groups et choisissez Create Group.
Dans la boîte de dialogue Créer un groupe, tapez le nom du groupe IAM et cliquez sur OK.

Create IAM group

Le nouveau groupe IAM apparaîtra sous le sous-nœud Groups d'Identity and Access Management.

Pour plus d'informations sur la création d'une stratégie et son attachement au groupe IAM, voir Création d'une stratégie IAM.

Ajout d'un utilisateur IAM à un groupe IAM

Les utilisateurs IAM membres d'un groupe IAM obtiennent des autorisations d'accès conformément aux politiques associées au groupe. L'objectif d'un groupe IAM est de faciliter la gestion des autorisations au sein d'un ensemble d'utilisateurs IAM.

Pour plus d'informations sur la manière dont les politiques associées à un groupe IAM interagissent avec les politiques associées aux utilisateurs IAM membres de ce groupe IAM, reportez-vous à la section Gestion des politiques IAM dans le guide de l'utilisateur IAM.

Dans AWS Explorer, vous ajoutez des utilisateurs IAM aux groupes IAM à partir du sous-nœud Utilisateurs, et non du sous-nœud Groupes.

Pour ajouter un utilisateur IAM à un groupe IAM

Dans AWS Explorer, sous Identity and Access Management, ouvrez le menu contextuel (clic droit) pour les utilisateurs et choisissez Modifier.

Assign an IAM user to a IAM group
Le volet gauche de l'onglet Groupes affiche les groupes IAM disponibles. Le volet droit affiche les groupes dont l'utilisateur IAM spécifié est déjà membre.

Pour ajouter l'utilisateur IAM à un groupe, dans le volet de gauche, sélectionnez le groupe IAM, puis cliquez sur le bouton >.

Pour supprimer l'utilisateur IAM d'un groupe, dans le volet droit, sélectionnez le groupe IAM, puis cliquez sur le bouton <.

Pour ajouter l'utilisateur IAM à tous les groupes IAM, cliquez sur le bouton >>. De même, pour supprimer l'utilisateur IAM de tous les groupes, cliquez sur le bouton <<.

Pour sélectionner plusieurs groupes, sélectionnez-les en séquence. Vous n'avez pas besoin de maintenir la touche Ctrl enfoncée. Pour effacer un groupe dans votre sélection, sélectionnez-le une deuxième fois.
Lorsque vous avez fini d'affecter l'utilisateur IAM aux groupes IAM, choisissez Enregistrer.

Générer des informations d'identification pour un utilisateur IAM

Avec Toolkit for Visual Studio, vous pouvez générer l'ID de clé d'accès et la clé secrète utilisés pour effectuer des appels d'API à AWS. Ces clés peuvent également être spécifiées pour accéder à Amazon Web Services via le Toolkit. Pour en savoir plus sur la spécification des informations d'identification à utiliser avec la boîte à outils, consultez les informations d'identification. Pour plus d'informations sur la manière de gérer les informations d'identification en toute sécurité, consultez la section Meilleures pratiques pour la gestion des clés AWS d'accès.

Le kit d'outils ne peut pas être utilisé pour générer un mot de passe pour un utilisateur IAM.

Pour générer des informations d'identification pour un utilisateur IAM

Dans AWS Explorer, ouvrez le menu contextuel (clic droit) d'un utilisateur IAM et choisissez Modifier.
Pour générer des informations d'identification, choisissez Créer dans l'onglet Clés d'accès.

Vous ne pouvez générer que deux jeux d'informations d'identification par utilisateur IAM. Si vous avez déjà deux jeux d'informations d'identification et que vous avez besoin de créer un jeu supplémentaire, vous devez supprimer l'un des jeux existants.

reate credentials for IAM user

Si vous souhaitez que le kit d'outils enregistre une copie cryptée de votre clé d'accès secrète sur votre disque local, sélectionnez Enregistrer la clé d'accès secrète localement. AWS renvoie uniquement la clé d'accès secrète lors de sa création. Vous pouvez également copier la clé d'accès secrète à partir de la boîte de dialogue et l'enregistrer dans un emplacement sûr.
Choisissez OK.

Une fois que vous avez généré les informations d'identification, vous pouvez les afficher dans l'onglet Clés d'accès. Si vous avez choisi que la boîte à outils enregistre la clé secrète localement, elle sera affichée ici.

Onglet Clés d'accès affichant une clé active avec les options d'ID, de statut, de date de création et de clé secrète.

Create credentials for IAM user

Si vous avez enregistré la clé secrète vous-même et que vous souhaitez aussi que la boîte à outils l'enregistre, tapez la clé d'accès secrète dans la zone Clé d'accès secrète, puis sélectionnez Save the secret access key locally (Enregistrer la clé d’accès secrète localement).

Pour désactiver les informations d'identification, choisissez Rendre inactif. (Vous pouvez le faire si vous pensez que les informations d'identification ont été compromises. Vous pouvez réactiver les informations d'identification si vous recevez l'assurance qu'elles sont sécurisées.)

Créer un rôle IAM

Le Toolkit for Visual Studio prend en charge la création et la configuration de rôles IAM. Tout comme pour les utilisateurs et les groupes, vous pouvez associer des politiques aux rôles IAM. Vous pouvez ensuite associer le rôle IAM à une instance Amazon EC2. L'association avec l'instance EC2 est gérée par le biais d'un profil d'instance, qui est un conteneur logique du rôle. Les applications qui s'exécutent sur l'instance EC2 reçoivent automatiquement le niveau d'accès spécifié par la politique associée au rôle IAM. Cela est vrai même si l'application n'a pas spécifié d'autres AWS informations d'identification.

Par exemple, vous pouvez créer un rôle et y associer une politique qui limite l'accès à Amazon S3 uniquement. Après avoir associé ce rôle à une instance EC2, vous pouvez exécuter une application sur cette instance et l'application aura accès à Amazon S3, mais pas à d'autres services ou ressources. L'avantage de cette approche est que vous n'avez pas à vous soucier du transfert et du stockage sécurisés des AWS informations d'identification sur l'instance EC2.

Pour plus d'informations sur les rôles IAM, reportez-vous à la section Utilisation des rôles IAM dans le guide de l'utilisateur IAM. Pour des exemples de programmes accédant à l' AWS aide du rôle IAM associé à une instance Amazon EC2, consultez les guides AWS du développeur pour Java, .NET , PHP et Ruby (Configuration des informations d'identification à l'aide d'IAM, création d'un rôle IAM et Utilisation des politiques IAM).

Pour créer un rôle IAM

Dans AWS Explorer, sous Identity and Access Management, ouvrez le menu contextuel (clic droit) pour les rôles, puis choisissez Create Roles.
Dans la boîte de dialogue Créer un rôle, tapez le nom du rôle IAM et cliquez sur OK.

Create IAM role

Le nouveau rôle IAM apparaîtra sous Roles in Identity and Access Management.

Pour plus d'informations sur la manière de créer une stratégie et de l'associer au rôle, consultez Create an IAM Policy (Créer une stratégie IAM).

Création d'une stratégie IAM

Les politiques sont fondamentales pour l'IAM. Les politiques peuvent être associées à des entités IAM telles que des utilisateurs, des groupes ou des rôles. Ces stratégies spécifient le niveau d'accès autorisé pour un utilisateur, un groupe ou un rôle.

Pour créer une stratégie IAM

Dans AWS Explorer, développez le Gestion des identités et des accès AWSnœud, puis développez-le pour le type d'entité (groupes, rôles ou utilisateurs) auquel vous allez associer la politique. Par exemple, ouvrez le menu contextuel d'un rôle IAM et choisissez Modifier.

Un onglet associé au rôle apparaîtra dans l' AWS explorateur. Cliquez sur le lien Ajouter une stratégie.

Dans la boîte de dialogue New Policy Name (Nouveau nom de la stratégie), saisissez un nom pour la stratégie (par exemple, s3-access).

Boîte de dialogue permettant de saisir un nouveau nom de politique, avec « s3-access » saisi dans le champ de saisie.

New Policy Name dialog box

Dans l'éditeur de stratégie, ajoutez des déclarations de stratégie pour spécifier le niveau d'accès à fournir au rôle (dans cet exemple, winapp-instance-role -2) associé à la politique. Dans cet exemple, une politique fournit un accès complet à Amazon S3, mais aucun accès à d'autres ressources.

Interface de l'éditeur de politiques affichant les actions autorisées pour Amazon S3 le rôle winapp-instance-role -2.

Specify IAM policy

Pour un contrôle d'accès plus précis, vous pouvez étendre les sous-nœuds dans l'éditeur de politiques pour autoriser ou interdire les actions associées à Amazon Web Services.

Après avoir modifié la stratégie, cliquez sur le lien Enregistrer.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Utilisation d'Amazon SQS depuis Explorer AWS

AWS Lambda