Résilience dans AWS Identity and Access Management

L’infrastructure mondiale AWS s’articule autours de régions et de zones de disponibilité AWS. AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, reliées par un réseau à latence faible, à débit élevé et à forte redondance. Pour plus d’informations sur les régions et les zones de disponibilité AWS, consultez AWS Infrastructure mondiale.

AWS Identity and Access Management (IAM) et AWS Security Token Service (AWS STS) sont des services autonomes basés sur la région qui sont disponibles dans le monde entier.

IAM est un Service AWS essentiel. Chaque opération effectuée dans AWS doit être authentifiée et autorisée par IAM. IAM vérifie chaque demande en fonction des identités et des politiques stockées dans IAM pour déterminer si la demande est autorisée ou refusée. IAM a été conçu avec un plan de contrôle et un plan de données séparés afin que le service s’authentifie même en cas de défaillance inattendue. Les ressources IAM utilisées dans les autorisations, telles que les rôles et les politiques, sont stockées dans le plan de contrôle. Les clients IAM peuvent modifier la configuration de ces ressources en utilisant des opérations IAM telles que DeletePolicy et AttachRolePolicy. Ces demandes de modification de configuration sont envoyées au plan de contrôle. Il existe un seul plan de contrôle IAM pour toutes les Régions AWS commerciales, qui est situé dans la région USA Est (Virginie du Nord). Le système IAM propage ensuite les modifications de configuration aux plans de données IAM dans chaque Région AWS activée. Le plan de données IAM est essentiellement une réplique en lecture seule des données de configuration du plan de contrôle IAM. Chaque Région AWS possède une instance totalement indépendante du plan de données IAM, qui effectue l'authentification et l'autorisation pour les demandes provenant de la même région. Dans chaque région, le plan de données IAM est réparti sur au moins trois zones de disponibilité et possède une capacité suffisante pour tolérer la perte d'une zone de disponibilité sans nuire au client. Les plans de contrôle et de données IAM ont été conçus pour un temps d'interruption planifié nul, toutes les mises à jour logicielles et les opérations de mise à l'échelle étant effectuées de manière invisible pour les clients.

Par défaut, les demandes AWS STS sont envoyées à un seul point de terminaison mondial. Vous pouvez utiliser un point de terminaison AWS STS régional pour réduire la latence ou fournir une redondance supplémentaire pour vos applications. Pour en savoir plus, consultez Gestion de AWS STS dans un Région AWS.

Certains événements peuvent interrompre la communication entre les Régions AWS sur le réseau. Cependant, même lorsque vous ne pouvez pas communiquer avec le point de terminaison IAM global, AWS STS peut toujours authentifier les principaux IAM et IAM peut autoriser vos demandes. Les détails spécifiques d'un événement qui interrompt la communication déterminent votre capacité à accéder aux services AWS. Dans la plupart des cas, vous pouvez continuer à utiliser les informations d'identification IAM dans votre environnement AWS. Les conditions suivantes peuvent s'appliquer à un événement qui interrompt la communication.

Clés d'accès pour utilisateurs IAM

Vous pouvez vous authentifier indéfiniment dans une région avec les clés d'accès longue durée pour utilisateurs IAM. Lorsque vous utilisez l'AWS Command Line Interface et les API, vous pouvez fournir des clés d'accès AWS de manière à ce qu'AWS puisse vérifier votre identité dans les requêtes programmatiques.

Important

Selon les bonnes pratiques, nous recommandons à vos utilisateurs de se connecter avec des informations d'identification temporaires plutôt qu'avec des clés d'accès longue durée.

Informations d’identification temporaires

Vous pouvez demander de nouvelles informations d'identification temporaires avec le point de terminaison du service régional AWS STS pendant au moins 24 heures. Les opérations d'API suivantes génèrent des informations d'identification temporaires.

AssumeRole
AssumeRoleWithWebIdentity
AssumeRoleWithSAML
GetFederationToken
GetSessionToken

Principaux et autorisations

Il se peut que vous ne puissiez pas ajouter, modifier ou supprimer des principaux ou des autorisations dans IAM.
Il se peut que vos informations d'identification ne reflètent pas les modifications que vous avez récemment apportées à vos autorisations dans IAM. Pour en savoir plus, consultez Les modifications que j'apporte ne sont pas toujours visibles immédiatement.

AWS Management Console

Vous pouvez utiliser un point de terminaison de connexion régional pour vous connecter à l'AWS Management Console en tant qu'utilisateur IAM. Les points de terminaison de connexion régionaux ont le format d'URL suivant.

https://{Account ID}.signin.aws.amazon.com/console?region={Region}

Exemple : https://111122223333.signin.aws.amazon.com/console?region=us-west-2
Il se peut que vous ne puissiez pas terminer l'authentification multifactorielle (MFA) Universal 2nd Factor (U2F).

Bonnes pratiques pour la résilience IAM

AWS a intégré la résilience dans les Régions AWS et les zones de disponibilité. Lorsque vous respectez les bonnes pratiques IAM suivantes dans les systèmes qui interagissent avec votre environnement, vous profitez de cette résilience.

Utilisez un point de terminaison du service régional AWS STS au lieu du point de terminaison global par défaut.
Passez en revue la configuration de votre environnement pour les ressources vitales qui créent ou modifient régulièrement des ressources IAM, et préparez une solution de secours qui utilise les ressources IAM existantes.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Validation de la conformité

Sécurité de l’infrastructure