Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions disposent de plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section Infrastructure AWS mondiale
AWS Identity and Access Management (IAM) et AWS Security Token Service (AWS STS) sont des services régionaux autonomes disponibles dans le monde entier.
L'IAM est un élément essentiel Service AWS. Chaque opération effectuée AWS doit être authentifiée et autorisée par IAM. IAM vérifie chaque demande en fonction des identités et des politiques stockées dans IAM pour déterminer si la demande est autorisée ou refusée. IAM a été conçu avec un plan de contrôle et un plan de données séparés afin que le service s’authentifie même en cas de défaillance inattendue. Les ressources IAM utilisées dans les autorisations, telles que les rôles et les politiques, sont stockées dans le plan de contrôle. Les clients IAM peuvent modifier la configuration de ces ressources en utilisant des opérations IAM telles que DeletePolicy et AttachRolePolicy. Ces demandes de modification de configuration sont envoyées au plan de contrôle. Il existe un seul plan de contrôle IAM pour tous les avions commerciaux Régions AWS, situé dans la région de l'est des États-Unis (Virginie du Nord). Le système IAM propage ensuite les modifications de configuration aux plans de données IAM dans chaque Région AWS activée. Le plan de données IAM est essentiellement une réplique en lecture seule des données de configuration du plan de contrôle IAM. Chacun Région AWS dispose d'une instance totalement indépendante du plan de données IAM, qui effectue l'authentification et l'autorisation pour les demandes provenant de la même région. Dans chaque région, le plan de données IAM est réparti sur au moins trois zones de disponibilité et possède une capacité suffisante pour tolérer la perte d'une zone de disponibilité sans nuire au client. Les plans de contrôle et de données IAM ont été conçus pour un temps d'interruption planifié nul, toutes les mises à jour logicielles et les opérations de mise à l'échelle étant effectuées de manière invisible pour les clients.
AWS STS les demandes sont toujours dirigées vers un seul point de terminaison global par défaut. Vous pouvez utiliser un point de terminaison AWS STS régional pour réduire la latence ou fournir une redondance supplémentaire pour vos applications. Pour en savoir plus, consultez Gérez AWS STS dans un Région AWS.
Note
À compter du début de 2025, dans Régions AWS la mesure où elles sont activées par défaut, les AWS STS
demandes adressées au point de terminaison global (https://sts.amazonaws.com) seront automatiquement traitées au même Région AWS titre que vos charges de travail. Ces changements seront progressivement déployés d'ici la mi-2025. Ces modifications ne seront pas déployées dans les régions adhérentes. Nous vous recommandons d'utiliser les points de terminaison AWS STS régionaux appropriés. Pour de plus amples informations, veuillez consulter AWS STS modifications du point de terminaison global.
Certains événements peuvent interrompre la communication Régions AWS entre les réseaux. Cependant, même lorsque vous ne pouvez pas communiquer avec le point de terminaison IAM global, vous AWS STS pouvez toujours authentifier les principaux IAM et IAM peut autoriser vos demandes. Les détails spécifiques d'un événement qui interrompt la communication détermineront votre capacité à accéder aux AWS services. Dans la plupart des cas, vous pouvez continuer à utiliser les informations d'identification IAM dans votre AWS environnement. Les conditions suivantes peuvent s'appliquer à un événement qui interrompt la communication.
- Clés d'accès pour utilisateurs IAM
-
Vous pouvez vous authentifier indéfiniment dans une région avec les clés d'accès longue durée pour utilisateurs IAM. Lorsque vous utilisez le AWS Command Line Interface et APIs, vous pouvez fournir des clés AWS d'accès afin AWS de vérifier votre identité dans les demandes programmatiques.
Important
Selon les bonnes pratiques, nous recommandons à vos utilisateurs de se connecter avec des informations d'identification temporaires plutôt qu'avec des clés d'accès longue durée.
- Informations d’identification temporaires
-
Vous pouvez demander de nouvelles informations d'identification temporaires auprès du point de terminaison du service AWS STS régional pendant au moins 24 heures. Les opérations d'API suivantes génèrent des informations d'identification temporaires.
-
AssumeRole
-
AssumeRoleWithWebIdentity
-
AssumeRoleWithSAML
-
GetFederationToken
-
GetSessionToken
-
- Principaux et autorisations
-
-
Il se peut que vous ne puissiez pas ajouter, modifier ou supprimer des principaux ou des autorisations dans IAM.
-
Il se peut que vos informations d'identification ne reflètent pas les modifications que vous avez récemment apportées à vos autorisations dans IAM. Pour de plus amples informations, veuillez consulter Les modifications que j'apporte ne sont pas toujours visibles immédiatement.
-
- AWS Management Console
-
-
Vous pouvez utiliser un point de terminaison de connexion régional pour vous connecter à l' AWS Management Console en tant qu'utilisateur IAM. Les points de terminaison de connexion régionaux ont le format d'URL suivant.
https://{Account ID}.signin.aws.amazon.com/console?region={Region}Exemple : https://111122223333.signin.aws.amazon.com /console ? région=us-ouest-2
-
Il se peut que vous ne puissiez pas terminer l'authentification multifactorielle (MFA) Universal 2nd Factor (U2F).
-
Bonnes pratiques pour la résilience IAM
AWS a intégré la résilience dans Régions AWS les zones de disponibilité. Lorsque vous respectez les bonnes pratiques IAM suivantes dans les systèmes qui interagissent avec votre environnement, vous profitez de cette résilience.
-
Utilisez un point de terminaison de service AWS STS régional au lieu du point de terminaison global par défaut.
-
Passez en revue la configuration de votre environnement pour les ressources vitales qui créent ou modifient régulièrement des ressources IAM, et préparez une solution de secours qui utilise les ressources IAM existantes.
