Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Création d’un utilisateur IAM pour les charges de travail qui ne peuvent pas utiliser de rôles IAM
**Important**
En tant que [bonne pratique](best-practices.md#lock-away-credentials), nous vous recommandons de demander à vos utilisateurs humains d'utiliser des [informations d'identification temporaires](id_credentials_temp.md) lors de l'accès AWS.
Vous pouvez également gérer vos identités d’utilisateur, y compris votre utilisateur administratif, avec [AWS IAM Identity Center](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html). Nous vous recommandons d’utiliser IAM Identity Center pour gérer l’accès à vos comptes et les autorisations au sein de ceux-ci. Si vous utilisez un fournisseur d’identité externe, vous pouvez également configurer les autorisations d’accès pour les identités des utilisateurs dans IAM Identity Center.
Si votre cas d’utilisation nécessite des utilisateurs IAM disposant d’un accès programmatique et d’informations d’identification à long terme, nous vous recommandons d’établir des procédures de mise à jour des clés d’accès. Pour de plus amples informations, veuillez consulter [Mise à jour des clés d’accès](id-credentials-access-keys-update.md).
Pour effectuer certaines tâches de gestion des comptes et des services, vous devez vous connecter à l’aide des informations d’identification de l’utilisateur racine. Pour afficher les tâches qui nécessitent que vous vous connectiez en tant qu’utilisateur racine, consultez [Tâches nécessitant les informations d'identification de l'utilisateur root](id_root-user.md#root-user-tasks).
## Pour créer un utilisateur IAM pour les charges de travail qui ne peuvent pas utiliser de rôles IAM
**Autorisations minimales**
Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :
`iam:AddUserToGroup`
`iam:AttachGroupPolicy`
`iam:CreateAccessKey`
`iam:CreateGroup`
`iam:CreateServiceSpecificCredential`
`iam:CreateUser`
`iam:GetAccessKeyLastUsed`
`iam:GetAccountPasswordPolicy`
`iam:GetAccountSummary`
`iam:GetGroup`
`iam:GetLoginProfile`
`iam:GetPolicy`
`iam:GetRole`
`iam:GetUser`
`iam:ListAccessKeys`
`iam:ListAttachedGroupPolicies`
`iam:ListAttachedUserPolicies`
`iam:ListGroupPolicies`
`iam:ListGroups`
`iam:ListGroupsForUser`
`iam:ListInstanceProfilesForRole`
`iam:ListMFADevices`
`iam:ListPolicies`
`iam:ListRoles`
`iam:ListRoleTags`
`iam:ListSSHPublicKeys`
`iam:ListServiceSpecificCredentials`
`iam:ListSigningCertificates`
`iam:ListUserPolicies`
`iam:ListUserTags`
`iam:ListUsers`
`iam:UploadSSHPublicKey`
`iam:UploadSigningCertificate`
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le volet de navigation, choisissez **Utilisateurs**, puis **Créer des utilisateurs**.
1. Sur la page **Spécification de détails de l’utilisateur**, procédez comme suit :
1. Pour **Nom d’utilisateur**, saisissez ***WorkloadName***. Remplacez ***WorkloadName*** par le nom de la charge de travail qui utilisera le compte.
1. Choisissez **Suivant**.
1. (Facultatif) Sur la page **Définir les autorisations**, procédez comme suit :
1. Choisissez **ajouter un utilisateur au groupe**.
1. Choisissez **Créer un groupe**.
1. Dans la boîte de dialogue **Créer un groupe d’utilisateurs**, pour **Nom du groupe d’utilisateurs**, saisissez un nom qui reflète l’utilisation des charges de travail du groupe. Pour cet exemple, utilisez le nom **Automation**.
1. Sous **Politiques d'autorisations**, cochez la case correspondant à la politique **PowerUserAccess**gérée.
**Astuce**
Saisissez *Power* dans le champ de recherche des **Politiques d’autorisations** pour trouver rapidement la politique gérée.
1. Choisissez **Créer un groupe d'utilisateurs**.
1. De retour sur la page avec la liste des groupes IAM, cochez la case de votre nouveau groupe d’utilisateurs. Sélectionnez **Refresh** (Actualiser) si vous ne voyez pas le nouveau groupe d'utilisateurs dans la liste.
1. Choisissez **Suivant**.
1. (Facultatif) Dans la section **Balises**, ajoutez des métadonnées à l’utilisateur en associant les balises sous forme de paires clé-valeur. Pour de plus amples informations, veuillez consulter [Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md).
1. Vérifiez l’appartenance du nouvel utilisateur à un groupe d’utilisateurs. Une fois que vous êtes prêt à continuer, choisissez **Create user** (Créer un utilisateur).
1. Une notification de statut apparaît pour vous informer que l’utilisateur a été créé avec succès. Sélectionnez **Afficher l’utilisateur** pour accéder à la page des détails de l’utilisateur.
1. Sélectionnez l’onglet **Informations d’identification de sécurité**. Créez ensuite les informations d’identification requises pour la charge de travail.
+ **Clés d’accès** : sélectionnez **Créer une clé d’accès** pour générer et télécharger des clés d’accès pour l’utilisateur.
**Important**
Il s'agit de votre seule opportunité de consulter ou de télécharger les clés d'accès secrètes, et vous devez fournir ces informations à vos utilisateurs avant qu'ils puissent utiliser l' AWS API. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. **Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.**
+ **Clés publiques SSH pour AWS CodeCommit** —Sélectionnez **Télécharger la clé publique SSH pour télécharger une clé publique** SSH afin que l'utilisateur puisse communiquer avec CodeCommit les référentiels via SSH.
+ **Informations d'identification Git HTTPS pour AWS CodeCommit** —Sélectionnez **Générer des informations d'identification** pour générer un ensemble unique d'informations d'identification utilisateur à utiliser avec les référentiels Git. Sélectionnez **Télécharger les informations d’identification** pour enregistrer le nom d’utilisateur et le mot de passe dans un fichier .csv. C’est la seule fois où cette information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.
+ **Informations d’identification pour Amazon Keyspaces (pour Apache Cassandra)** : sélectionnez **Générer des informations d’identification** pour générer des informations d’identification utilisateur spécifiques au service à utiliser avec Amazon Keyspaces. Sélectionnez **Télécharger les informations d’identification** pour enregistrer le nom d’utilisateur et le mot de passe dans un fichier .csv. C’est la seule fois où cette information est disponible. Si vous oubliez ou perdez le mot de passe, vous devrez le réinitialiser.
**Important**
Les informations d’identification spécifiques au service sont des informations d’identification à long terme associées à un utilisateur IAM spécifique et ne peuvent être utilisées que pour le service pour lequel elles ont été créées. Pour autoriser les rôles IAM ou les identités fédérées à accéder à toutes vos AWS ressources à l'aide d'informations d'identification temporaires, utilisez l' AWS authentification avec le plugin d'authentification SigV4 pour Amazon Keyspaces. Pour de plus d’informations, consultez [Utilisation d’informations d’identification temporaires pour se connecter à Amazon Keyspaces à l’aide d’un rôle IAM et du plug-in SigV4](https://docs.aws.amazon.com/keyspaces/latest/devguide/access.credentials.html#temporary.credentials.IAM) dans le *Guide du développeur Amazon Keyspaces (pour Apache Cassandra)*.
+ **Certificats de signature X.509** —Sélectionnez **Créer un certificat X.509** si vous devez effectuer des demandes sécurisées selon le protocole SOAP et que vous vous trouvez dans une région non prise en charge par. AWS Certificate Manager ACM est l'outil préféré pour mettre en service, gérer et déployer vos certificats de serveur. Pour plus d'informations sur l'utilisation d'ACM, consultez le [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
Vous avez créé un utilisateur doté d'un accès programmatique et vous l'avez configuré avec la fonction **PowerUserAccess**job. La politique d'autorisation de cet utilisateur accorde un accès complet à tous les services, à l'exception d'IAM et AWS Organizations.
Vous pouvez utiliser ce même processus pour donner à des charges de travail supplémentaires un accès programmatique à vos Compte AWS ressources, si les charges de travail ne sont pas en mesure d'assumer des rôles IAM. Cette procédure a utilisé la politique **PowerUserAccess**gérée pour attribuer des autorisations. Pour respecter les pratiques exemplaires du moindre privilège, envisagez d’utiliser une politique plus restrictive ou de créer une politique personnalisée qui limite l’accès aux seules ressources requises par le programme. Pour en savoir plus sur l'utilisation de politiques qui limitent les autorisations des utilisateurs à AWS des ressources spécifiques, consultez [Gestion de l'accès aux AWS ressources](access.md) et[Exemples de politiques basées sur l'identité IAM](access_policies_examples.md). Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter [Modification des utilisateurs dans les groupes IAM](id_groups_manage_add-remove-users.md).
------
#### [ AWS CLI ]
1. Créez un utilisateur nommé **Automation**.
+ [aws iam create-user](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)
```
aws iam create-user \
--user-name Automation
```
1. Créez un groupe d'utilisateurs IAM nommé**AutomationGroup**, associez la politique AWS gérée `PowerUserAccess` au groupe, puis ajoutez l'**Automation**utilisateur au groupe.
**Note**
Une *politique gérée par AWS * est une politique autonome qui est créée et gérée par AWS. Chaque politique possède son propre Amazon Resource Name (ARN) dans lequel figure le nom de la politique. Par exemple, il `arn:aws:iam::aws:policy/IAMReadOnlyAccess` s'agit d'une politique AWS gérée. Pour plus d'informations sur ARNs, voir[IAM ARNs](reference_identifiers.md#identifiers-arns). Pour obtenir la liste des politiques AWS gérées pour Services AWS, consultez la section [stratégies AWS gérées](https://docs.aws.amazon.com//aws-managed-policy/latest/reference/policy-list.html).
+ [aws iam create-group](https://docs.aws.amazon.com/cli/latest/reference/iam/create-group.html)
```
aws iam create-group \
--group-name AutomationGroup
```
+ [était un objectif attach-group-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-group-policy.html)
```
aws iam attach-group-policy \
--policy-arn arn:aws:iam::aws:policy/PowerUserAccess \
--group-name AutomationGroup
```
+ [était un objectif add-user-to-group](https://docs.aws.amazon.com/cli/latest/reference/iam/add-user-to-group.html)
```
aws iam add-user-to-group \
--user-name Automation \
--group-name AutomationGroup
```
+ Exécutez la commande [aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html) afficher la liste de **AutomationGroup** et de ses membres.
```
aws iam get-group \
--group-name AutomationGroup
```
1. Créez les informations d’identification de sécurité requises pour la charge de travail.
+ **Création de clés d'accès pour les tests** — [aws iam create-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
```
aws iam create-access-key \
--user-name Automation
```
La sortie de cette commande affiche la clé d’accès secrète et l’ID de clé d’accès. Enregistrez et stockez ces informations dans un emplacement sûr. Si ces informations d’identification sont perdues, elles ne peuvent pas être récupérées et vous devez générer une nouvelle clé d’accès.
**Important**
Ces clés d’accès utilisateur IAM sont des informations d’identification à long terme qui présentent un risque de sécurité pour votre compte. Une fois les tests terminés, nous vous recommandons de supprimer ces clés d’accès. Si vous envisagez des clés d'accès dans certains scénarios, déterminez si vous pouvez activer le MFA pour l'utilisateur IAM de votre charge de travail et utiliser [aws sts get-session-token](https://docs.aws.amazon.com/cli/latest/reference/sts/get-session-token.html) pour obtenir des informations d'identification temporaires pour la session au lieu d'utiliser des clés d'accès IAM.
+ **Téléchargez des clés publiques SSH pour AWS CodeCommit** — [aws iam upload-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-ssh-public-key.html)
L’exemple suivant suppose que vos clés publiques SSH sont stockées dans le fichier `sshkey.pub`.
```
aws upload-ssh-public-key \
--user-name Automation \
--ssh-public-key-body file://sshkey.pub
```
+ **Télécharger un certificat de signature X.509** — [aws iam upload-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/upload-signing-certificate.html)
Téléchargez un certificat X.509 si vous devez effectuer des demandes sécurisées via le protocole SOAP et que vous vous trouvez dans une région non prise en charge par. AWS Certificate Manager ACM est l'outil préféré pour mettre en service, gérer et déployer vos certificats de serveur. Pour plus d'informations sur l'utilisation d'ACM, consultez le [https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html).
L’exemple suivant suppose que votre certificat de signature X.509 est stocké dans le fichier `certificate.pem`.
```
aws iam upload-signing-certificate \
--user-name Automation \
--certificate-body file://certificate.pem
```
Vous pouvez utiliser ce même processus pour donner à des charges de travail supplémentaires un accès programmatique à vos Compte AWS ressources, si les charges de travail ne sont pas en mesure d'assumer des rôles IAM. Cette procédure a utilisé la politique **PowerUserAccess**gérée pour attribuer des autorisations. Pour respecter les pratiques exemplaires du moindre privilège, envisagez d’utiliser une politique plus restrictive ou de créer une politique personnalisée qui limite l’accès aux seules ressources requises par le programme. Pour en savoir plus sur l'utilisation de politiques qui limitent les autorisations des utilisateurs à AWS des ressources spécifiques, consultez [Gestion de l'accès aux AWS ressources](access.md) et[Exemples de politiques basées sur l'identité IAM](access_policies_examples.md). Pour ajouter des utilisateurs supplémentaires au groupe d'utilisateurs une fois celui-ci créé, veuillez consulter [Modification des utilisateurs dans les groupes IAM](id_groups_manage_add-remove-users.md).
------