Gérer les clés d'accès pour IAM les utilisateurs - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gérer les clés d'accès pour IAM les utilisateurs

Important

Il est recommandé d'utiliser des informations d'identification de sécurité temporaires (telles que IAM des rôles) au lieu de créer des informations d'identification à long terme telles que des clés d'accès. Avant de créer des clés d'accès, passez en revue les alternatives aux clés d'accès à long terme.

Les clés d'accès sont des informations d'identification à long terme pour un IAM utilisateur ou le Utilisateur racine d'un compte AWS. Vous pouvez utiliser les touches d'accès pour signer des demandes programmatiques adressées au AWS CLI ou AWS API (directement ou en utilisant le AWS SDK). Pour de plus amples informations, veuillez consulter AWS Signature Version 4 pour les API demandes.

Les clés d'accès se composent de deux parties : un ID de clé d'accès (par exemple, AKIAIOSFODNN7EXAMPLE) et une clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Vous devez utiliser à la fois l'ID de la clé d'accès et la clé d'accès secrète pour authentifier vos demandes.

Lorsque vous créez une paire de clé d'accès, enregistrez l'ID de clé d'accès et la clé d'accès secrète dans un emplacement sécurisé. La clé d'accès secrète est accessible uniquement au moment de sa création. Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. Pour plus d'instructions, voirMettre à jour les clés d'accès.

Vous pouvez avoir un maximum de deux clés d'accès par utilisateur.

Important

Gérez vos clés d'accès en toute sécurité. Ne communiquez pas vos clés d'accès à des tiers non autorisés, même pour vous aider à trouver les identifiants de votre compte. En effet, vous lui accorderiez ainsi un accès permanent à votre compte.

Les rubriques suivantes détaillent les tâches de gestion associées aux clés d'accès.

Autorisations requises pour gérer les clés d'accès

Note

iam:TagUser est une autorisation facultative permettant d'ajouter et de modifier des descriptions pour la clé d'accès. Pour plus d’informations, consultez Marquer IAM les utilisateurs.

Pour créer des clés d'accès pour votre propre IAM utilisateur, vous devez disposer des autorisations définies dans la politique suivante :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:GetUser", "iam:ListAccessKeys", "iam:TagUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

Pour mettre à jour les clés d'accès de votre propre IAM utilisateur, vous devez disposer des autorisations définies dans la politique suivante :

{ "Version": "2012-10-17", "Statement": [ { "Sid": "ManageOwnAccessKeys", "Effect": "Allow", "Action": [ "iam:CreateAccessKey", "iam:DeleteAccessKey", "iam:GetAccessKeyLastUsed", "iam:GetUser", "iam:ListAccessKeys", "iam:UpdateAccessKey", "iam:TagUser" ], "Resource": "arn:aws:iam::*:user/${aws:username}" } ] }

Gestion des clés d'accès (console)

Vous pouvez utiliser le AWS Management Console pour gérer les clés d'accès d'un IAM utilisateur.

Pour créer, modifier ou supprimer vos propres clés d'accès (outil)
  1. Utilisez votre AWS identifiant ou alias de compte, votre nom IAM d'utilisateur et votre mot de passe pour vous connecter à la IAMconsole.

    Note

    Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom IAM d'utilisateur et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez Sign in to a different account (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion IAM utilisateur de votre compte.

    Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.

  2. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis Security credentials (Informations d'identification de sécurité).

    AWS Lien vers les identifiants de sécurité de la console de gestion

Effectuez l’une des actions suivantes :

Pour créer une clé d'accès
  1. Dans la section Clés d'accès, choisissez Créer une clé d'accès. Si vous avez déjà deux clés d'accès, ce bouton est désactivé et vous devez supprimer une clé d'accès avant de pouvoir en créer une nouvelle.

  2. Sur la page des bonnes pratiques et alternatives en matière de clés d'accès, choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez Other (Autre), puis Next (Suivant).

  3. (Facultatif) Définissez une valeur de balise de description pour la clé d'accès. Cela ajoute une paire clé-valeur de balise à votre IAM utilisateur. Cela peut vous aider à identifier et à mettre à jour les clés d'accès par la suite. La clé de balise est définie sur l'identifiant de la clé d'accès. La valeur de balise est définie selon la description de la clé d'accès que vous spécifiez. Lorsque vous avez terminé, sélectionnez Create access key (Créer la clé d'accès).

  4. Sur la page Retrieve access keys (Récupérer les clés d'accès), choisissez Show (Afficher) (pour révéler la valeur de la clé d'accès secrète de votre utilisateur) ou Download .csv file (Télécharger le fichier .csv). C'est le seul moment où vous pouvez enregistrer votre clé d'accès secrète. Après avoir enregistré votre clé d'accès secrète dans un emplacement sécurisé, sélectionnez Done (Terminé).

Pour désactiver une clé d'accès
  • Dans la section Access keys (Clés d'accès), recherchez la clé que vous souhaitez désactiver, puis choisissez Actions, puis Deactivate (Désactiver). À l'invite de confirmation, cliquez sur Deactivate (Désactiver). Une clé d'accès désactivée compte toujours dans votre limite de deux clés d'accès.

Pour activer une clé d'accès
  • Dans la section Access keys (Clés d'accès), recherchez la clé que vous souhaitez activer, puis choisissez Actions, puis Activate (Activer).

Pour supprimer une clé d'accès dont vous n'avez plus besoin
  • Dans la section Access keys (Clés d'accès), recherchez la clé que vous souhaitez suprimer, puis choisissez Actions, puis Delete (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord désactiver, puis confirmer la suppression. Nous vous recommandons de vérifier que la clé d'accès n'est plus utilisée avant de la supprimer définitivement.

Pour créer, modifier ou supprimer les clés d'accès d'un autre IAM utilisateur (console)
  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom utilisateur dont vous souhaitez gérer les clés d'accès, puis sélectionnez l'onglet Informations d'identification de sécurité.

  4. Dans la section Clés d'accès, procédez comme suit :

    • Pour créer une clé d'accès, choisissez Créer une clé d'accès. Si le bouton est désactivé, vous devez supprimer l'une des clés existantes avant de pouvoir en créer une nouvelle. Sur la page Bonnes pratiques et alternatives en matière de clés d'accès, passez en revue les bonnes pratiques et alternatives. Choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez Other (Autre), puis Next (Suivant). Sur la page Retrieve access key page (Récupérer les clés d'accès), choisissez Show (Afficher) pour révéler la valeur de la clé d'accès secrète de votre utilisateur. Pour enregistrer l'ID de clé d'accès et la clé d'accès secrète dans un fichier .csv, dans un emplacement sécurisé sur votre ordinateur, sélectionnez le bouton Download .csv file (Télécharger un fichier .csv). Lorsque vous créez une clé d'accès pour votre utilisateur, cette paire de clés est activée par défaut et votre utilisateur peut immédiatement l'utiliser.

    • Pour désactiver une clé d'accès active, choisissez Actions, puis Deactivate (Désactiver).

    • Pour activer une clé d'accès inactive, choisissez Actions, puis Activate (Activer).

    • Pour supprimer votre clé d'accès, choisissez Actions, puis Delete (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord désactiver, puis confirmer la suppression. AWS vous recommande de procéder comme suit : vous désactivez d'abord la clé et vérifiez qu'elle n'est plus utilisée. Lorsque vous utilisez le AWS Management Console, vous devez désactiver votre clé avant de la supprimer.

Pour répertorier les clés d'accès d'un IAM utilisateur (console)
  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet Informations d'identification de sécurité. Dans la section Clés d'accès, vous pouvez consulter les clés d'accès de l'utilisateur ainsi que le statut de celles-ci.

    Note

    Seul l'ID de clé d'accès de l'utilisateur est visible. La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.

Pour répertorier la clé d'accès IDs pour plusieurs IAM utilisateurs (console)
  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Au besoin, ajoutez la colonne ID de clé d'accès à la table des utilisateurs en procédant comme suit :

    1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres ( Settings icon ).

    2. Dans Gérer les colonnes, sélectionnez ID de clé d'accès.

    3. Choisissez Fermer pour revenir à la liste des utilisateurs.

  4. La colonne ID de clé d'accès présente chaque ID de clé d'accès, suivi par son état ; par exemple, 23478207027842073230762374023 (Active) ou 22093740239670237024843420327 (Inactive).

    Vous pouvez utiliser ces informations pour afficher et copier les clés d'accès des utilisateurs ayant une ou deux clés d'accès. La colonne affiche Aucun pour les utilisateurs sans clé d'accès.

    Note

    Seul l'ID et l'état de la clé d'accès de l'utilisateur sont visibles. La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.

Pour savoir quel IAM utilisateur possède une clé d'accès spécifique (console)
  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez utilisateurs.

  3. Dans la zone de recherche, saisissez ou collez l'ID de la clé d'accès de l'utilisateur que vous recherchez.

  4. Au besoin, ajoutez la colonne ID de clé d'accès à la table des utilisateurs en procédant comme suit :

    1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres ( Settings icon ).

    2. Dans Gérer les colonnes, sélectionnez ID de clé d'accès.

    3. Choisissez Fermer pour retourner la liste des utilisateurs et vérifier que l'utilisateur filtré est le propriétaire de la clé d'accès spécifiée.

Gestion des clés d'accès (AWS CLI)

Pour gérer les clés IAM d'accès utilisateur depuis le AWS CLI, exécutez les commandes suivantes.

Gestion des clés d'accès (AWS API)

Pour gérer les clés d'accès d'un IAM utilisateur depuis le AWS API, effectuez les opérations suivantes.