Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création d’un utilisateur IAM pour l’accès d’urgence
<a name="getting-started-emergency-iam-user"></a>

Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité au sein de vous Compte AWS qui possède des autorisations spécifiques pour une seule personne ou application. 

Avoir un utilisateur IAM pour un accès d'urgence est l'une des raisons recommandées pour créer un utilisateur IAM afin que vous puissiez accéder à votre compte Compte AWS si votre fournisseur d'identité n'est pas accessible.

**Note**  
Une [bonne pratique](best-practices.md) en matière de sécurité consiste à fournir un accès à vos ressources par le biais de la fédération d’identité plutôt que de créer des utilisateurs IAM. Pour en savoir plus sur les situations spécifiques dans lesquelles un utilisateur IAM est nécessaire, veuillez consulter [Quand créer un utilisateur IAM (au lieu d'un rôle)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose).

## Pour créer un utilisateur IAM pour l’accès d’urgence
<a name="getting-started-emergency-iam-user-section-1"></a>

**Autorisations minimales**  
Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :  
`access-analyzer:ValidatePolicy`
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateGroup`
`iam:CreateLoginProfile`
`iam:CreateUser`
`iam:GetAccountPasswordPolicy`
`iam:GetLoginProfile`
`iam:GetUser`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListPolicies`
`iam:ListUserPolicies`
`iam:ListUsers`

------
#### [ Console ]<a name="gs-proc-iam-user-user"></a>

1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.

1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.

1. Dans le volet de navigation, sélectionnez **Utilisateurs**, puis **Créer un utilisateur**.
**Note**  
Si IAM Identity Center est activé, un message AWS Management Console s'affiche pour vous rappeler qu'il est préférable de gérer l'accès des utilisateurs dans IAM Identity Center. Dans le cadre de cette procédure, l’utilisateur IAM que vous créez est spécifiquement destiné à n’être utilisé que lorsque votre fournisseur d’identité n’est pas disponible.

1. Sur la page **Spécifier les détails de l'utilisateur**, sous **Détails de l'utilisateur**, dans **Nom d'utilisateur**, entrez le nom du nouvel utilisateur. Il s'agit de son nom de connexion pour AWS. Pour cet exemple, entrez **EmergencyAccess**.
**Note**  
Les noms d’utilisateur peuvent combiner jusqu’à 64 lettres, chiffres et caractères suivants : plus (\$1), égal (=), virgule (,), point (.), arobase (@), trait de soulignement (\$1) et tiret (-). Les noms doivent être uniques au sein d'un compte. Ils ne sont pas distingués au cas par cas. Par exemple, vous ne pouvez pas créer deux utilisateurs nommés TESTUSER et testuser. Lorsqu'un nom d'utilisateur est utilisé dans une politique ou dans le cadre d'un ARN, il est sensible à la casse. Lorsqu'un nom d'utilisateur apparaît aux clients dans la console, par exemple lors du processus de connexion, il n'est pas sensible à la casse.

1. Cochez la case située en regard de **Fournir un accès utilisateur à l’ AWS Management Console– *facultatif***, puis sélectionnez **Je souhaite créer un utilisateur IAM**.

1. Sous **Mot de passe de la console**, sélectionnez **Mot de passe généré automatiquement**.

1. Décochez la case située en regard de l’option **L’utilisateur doit générer un nouveau mot de passe à la prochaine connexion (recommandé)**. Comme cet utilisateur IAM est destiné à un accès d'urgence, un administrateur de confiance conserve le mot de passe et ne le fournit qu'en cas de besoin.

1. Sur la page **Définir les autorisations**, sous **Options d'autorisations**, sélectionnez **Ajouter un utilisateur au groupe**. Ensuite, sous **Groupes d'utilisateurs**, sélectionnez **Créer un groupe**.

1. Sur la page **Créer un groupe d'utilisateurs**, saisissez **EmergencyAccessGroup** dans le champ **Nom du groupe d'utilisateurs**. Ensuite, sous **Politiques d'autorisations**, sélectionnez **AdministratorAccess**.

1. Choisissez **Créer un groupe d’utilisateurs** pour revenir à la page **Définir les autorisations**. 

1. Sous **Groupes d'utilisateurs**, sélectionnez le nom du groupe **EmergencyAccessGroup** précédemment créé.

1. Sélectionnez **Suivant** pour accéder à la page **Vérifier et créer**.

1. Sur la page **Vérifier et créer**, examinez la liste des appartenances aux groupes à attribuer au nouvel utilisateur. Une fois que vous êtes prêt à continuer, sélectionnez **Créer l'utilisateur**.

1. Sur la page **Récupérer le mot de passe**, sélectionnez **Télécharger le fichier .csv** pour enregistrer le fichier .csv contenant les informations d’identification de l’utilisateur (URL de connexion, nom d’utilisateur et mot de passe).

1. Enregistrez ce fichier pour l’utiliser si vous devez vous connecter à IAM et que vous n’avez pas accès à votre fournisseur d’identité.

Le nouvel utilisateur IAM apparaît dans la liste **Utilisateurs**. Cliquez sur le lien **Nom d'utilisateur** pour afficher les détails de l'utilisateur. 

------
#### [ AWS CLI ]

1. Créez un utilisateur nommé **EmergencyAccess**.
   + [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

   ```
   aws iam create-user \
      --user-name EmergencyAccess
   ```

1. (Facultatif) Donnez à utilisateur l'accès à l’interface AWS Management Console. Un mot de passe est requis. Pour créer un mot de passe pour un utilisateur IAM, vous pouvez utiliser le paramètre `--cli-input-json` pour transmettre un fichier JSON contenant le mot de passe. Vous devez également fournir à l’utilisateur l’[URL de la page de connexion de votre compte](id_users_sign-in.md).
   + [était un objectif create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)

     ```
      
     aws iam create-login-profile \
        --generate-cli-skeleton > create-login-profile.json
     ```
   + Ouvrez le fichier `create-login-profile.json` dans un éditeur de texte et saisissez un mot de passe conforme à votre politique en matière de mots de passe, puis enregistrez le fichier. Par exemple : 

     ```
     {
      "UserName": "EmergencyAccess",
      "Password": "Ex@3dRA0djs",
      "PasswordResetRequired": false
     }
     ```
   + Réutilisez la commande `aws iam create-login-profile` en passant le paramètre `--cli-input-json` pour spécifier votre fichier JSON.

     ```
     aws iam create-login-profile \
        --cli-input-json file://create-login-profile.json
     ```
**Note**  
Si le mot de passe que vous avez fourni dans le fichier JSON enfreint la politique de mot de passe de votre compte, vous recevrez une erreur `PasswordPolicyViolation`. Dans ce cas, consultez la [politique de mot de passe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html#default-policy-details) de votre compte et mettez à jour le mot de passe dans le fichier JSON afin de respecter les exigences.

1. Créez la politique AWS gérée**EmergencyAccessGroup**, associez la politique gérée `AdministratorAccess` au groupe et ajoutez l'**EmergencyAccess**utilisateur au groupe. 
**Note**  
Une *politique gérée par AWS * est une politique autonome qui est créée et gérée par AWS. Chaque politique possède son propre Amazon Resource Name (ARN) dans lequel figure le nom de la politique. Par exemple, il `arn:aws:iam::aws:policy/IAMReadOnlyAccess` s'agit d'une politique AWS gérée. Pour plus d'informations sur ARNs, voir[IAM ARNs](reference_identifiers.md#identifiers-arns). Pour obtenir la liste des politiques AWS gérées pour Services AWS, consultez la section [stratégies AWS gérées](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
   + [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html) 

     ```
     aws iam create-group \
        --group-name EmergencyAccessGroup
     ```
   + [était un objectif attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)

     ```
     aws iam attach-group-policy \
        --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
        --group-name >EmergencyAccessGroup
     ```
   + [était un objectif add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html) 

     ```
     aws iam add-user-to-group \
        --user-name EmergencyAccess \
        --group-name EmergencyAccessGroup
     ```
   + Exécutez la commande [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) afficher la liste de **EmergencyAccessGroup** et de ses membres.

     ```
     aws iam get-group \
        --group-name EmergencyAccessGroup
     ```

------