Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez générer et télécharger un rapport d'identification répertoriant tous les utilisateurs de votre compte et l'état de leurs différents identifiants, notamment les mots de passe, les clés d'accès et les MFA appareils. Vous pouvez obtenir un rapport d'identification à partir du AWS Management Console, des outils de ligne de commande AWS SDKs
Vous pouvez utiliser les rapports sur les informations d'identification à des fins d'audit et de conformité. Vous pouvez utiliser les rapports pour auditer les effets des exigences en matière de cycle de vie des informations d'identification, comme la mise à jour de mot de passe et de clé d'accès. Vous pouvez fournir les rapports à un auditeur externe ou accorder des autorisations à un auditeur pour qu'il télécharge les rapports directement.
Vous pouvez générer un rapport sur les informations d'identification à quelques heures d'intervalle. Lorsque vous demandez un rapport, IAM vérifiez d'abord si un rapport Compte AWS a été généré au cours des quatre dernières heures. Le cas échéant, le rapport le plus récent est téléchargé. Si le rapport le plus récent pour le compte a été généré il y a plus de quatre heures ou qu'il n'y a pas eu d'autres rapport généré précédemment pour le compte, IAM génère et télécharge un nouveau rapport.
Rubriques
Autorisations nécessaires
Les autorisations suivantes sont nécessaires pour créer et télécharger des rapports :
-
Pour créer un rapport sur les informations d'identification :
iam:GenerateCredentialReport
-
Pour télécharger le rapport :
iam:GetCredentialReport
Présentation du format du rapport
Les rapports d'identification sont formatés sous forme de fichiers de valeurs séparées par des virgules (). CSV Vous pouvez ouvrir CSV des fichiers à l'aide d'un tableur courant pour effectuer une analyse, ou vous pouvez créer une application qui consomme les CSV fichiers par programmation et effectue une analyse personnalisée.
Le CSV fichier contient les colonnes suivantes :
- utilisateur
-
Nom convivial de l'utilisateur.
- arn
-
Le nom de ressource Amazon (ARN) de l'utilisateur. Pour plus d'informations sur ARNs, consultez ARN IAM.
- user_creation_time
-
Date et heure de création de l'utilisateur, au format ISO8601 date-heure
. - password_enabled
-
Lorsqu'un utilisateur dispose d'un mot de passe, cette valeur est
TRUE
. Sinon, la valeur est définie commeFALSE
. Cette valeur concerneFALSE
les nouveaux comptes membres créés dans le cadre de votre organisation, car ils ne disposent pas d'informations d'identification d'utilisateur root par défaut. - password_last_used
-
Date et heure auxquelles le mot de passe de l'utilisateur Utilisateur racine d'un compte AWS ou de l'utilisateur a été utilisé pour la dernière fois pour se connecter à un AWS site Web, au format date-heure ISO 8601
. AWS les sites Web qui enregistrent l'heure de dernière connexion d'un utilisateur sont AWS Management Console les forums de AWS discussion et le AWS Marketplace. Quand un mot de passe est utilisé plusieurs fois dans un intervalle de 5 minutes, seule la première utilisation est enregistrée dans ce champ. -
La valeur de ce champ est
no_information
dans les cas suivants :-
Le mot de passe de l'utilisateur n'a jamais été utilisé.
-
Aucune donnée de connexion n'est associée au mot de passe, comme lorsque le mot de passe de l'utilisateur n'a pas été utilisé depuis le 20 octobre 2014, date de début du suivi de cette information par IAM.
-
-
La valeur de ce champ est
N/A
(non applicable) lorsque l'utilisateur ne dispose pas de mot de passe.
-
Important
En raison d'un problème de service, les données relatives à la dernière utilisation du mot de passe n'incluent pas l'utilisation du mot de passe entre le 3 mai 2018 à 22h50 et le 23 mai 2018 PDT à PDT 14h08. Cela affecte les dates de dernière connexion indiquées dans la IAM console et les dates de dernière utilisation du mot de passe dans le rapport IAM d'identification et renvoyées par l'GetUser APIopération. Si des utilisateurs se sont connectés au cours de la période concernée, la date de dernière d'utilisation du mot de passe renvoyée est la date de la dernière connexion de l'utilisateur avant le 3 mai 2018. Pour les utilisateurs qui se sont connectés après le 23 mai 2018 à 14:08PDT, la date de dernière utilisation du mot de passe renvoyé est exacte.
Si vous utilisez les informations de dernière utilisation du mot de passe pour identifier les informations d'identification non utilisées à supprimer, par exemple en supprimant des utilisateurs qui ne se AWS sont pas connectés au cours des 90 derniers jours, nous vous recommandons d'ajuster votre fenêtre d'évaluation pour inclure les dates postérieures au 23 mai 2018. Par ailleurs, si vos utilisateurs utilisent des clés d'accès pour accéder AWS par programmation, vous pouvez vous référer aux dernières informations utilisées sur les clés d'accès, car elles sont exactes pour toutes les dates.
- password_last_changed
-
Date et heure auxquelles le mot de passe de l'utilisateur a été défini pour la dernière fois, au format ISO8601 date-heure
. Si l'utilisateur ne dispose pas d'un mot de passe, la valeur de ce champ est N/A
(non applicable). - password_next_rotation
-
Lorsque le compte dispose d'une politique de mot de passe qui exige la rotation des mots de passe, ce champ contient la date et l'heure, au format ISO 8601
, auxquelles l'utilisateur doit définir un nouveau mot de passe. La valeur de Compte AWS (root) est toujours not_supported
. - mfa_active
-
Lorsqu'un dispositif d'authentification multifactorielle (MFA) a été activé pour l'utilisateur, cette valeur est
TRUE
. Sinon, la valeur est définie commeFALSE
. - access_key_1_active
-
Lorsque l'utilisateur dispose d'une clé d'accès et que l'état de celle-ci est
Active
, cette valeur estTRUE
. Sinon, la valeur est définie commeFALSE
. S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs. - access_key_1_last_rotated
-
Date et heure, au format ISO 8601, auxquelles la clé d'accès de l'utilisateur a été créée ou modifiée pour la dernière fois
. Si l'utilisateur ne dispose pas d'une clé d'accès active, la valeur de ce champ est N/A
(non applicable). S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs. - access_key_1_last_used_date
-
Date et heure, au format ISO 8601, auxquelles la clé d'accès de l'utilisateur a été utilisée pour la dernière fois
pour signer une demande. AWS API Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs. La valeur de ce champ est
N/A
(non applicable) dans les cas suivants :-
L'utilisateur ne dispose pas d'une clé d'accès.
-
La clé d'accès n'a jamais été utilisée.
-
La clé d'accès n'a pas été utilisée depuis le 22 avril 2015, date de début du suivi de cette information par IAM.
-
- access_key_1_last_used_region
-
Région AWS dans laquelle la clé d'accès a été utilisée pour la dernière fois. Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs.
La valeur de ce champ est
N/A
(non applicable) dans les cas suivants :-
L'utilisateur ne dispose pas d'une clé d'accès.
-
La clé d'accès n'a jamais été utilisée.
-
La clé d'accès a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.
-
Le dernier service utilisé n'est pas spécifique à une région, comme Amazon S3.
-
- access_key_1_last_used_service
-
Le AWS service auquel vous avez accédé le plus récemment à l'aide de la clé d'accès. La valeur de ce champ utilise l'espace de noms du service, par exemple, pour Amazon
s3
S3 et pour Amazon.ec2
EC2 Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs.La valeur de ce champ est
N/A
(non applicable) dans les cas suivants :-
L'utilisateur ne dispose pas d'une clé d'accès.
-
La clé d'accès n'a jamais été utilisée.
-
La clé d'accès a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.
-
- access_key_2_active
-
Lorsque l'utilisateur dispose d'une seconde clé d'accès et que l'état de celle-ci est
Active
, cette valeur estTRUE
. Sinon, la valeur est définie commeFALSE
. S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs.Note
Les utilisateurs peuvent avoir jusqu'à deux clés d'accès, afin de faciliter la rotation en mettant d'abord à jour la clé, puis en supprimant la clé précédente. Pour plus d'informations sur la mise à jour des clés d'accès, veuillez consulter Mise à jour des clés d’accès.
- access_key_2_last_rotated
-
Date et heure, au format ISO 8601, auxquelles la deuxième clé d'accès de l'utilisateur a été créée ou mise à jour pour la dernière fois
. Si l'utilisateur ne dispose pas d'une seconde clé d'accès active, la valeur de ce champ est N/A
(non applicable). S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs. - access_key_2_last_used_date
-
Date et heure, au format ISO 8601, auxquelles la deuxième clé d'accès de l'utilisateur a été utilisée pour la dernière fois
pour signer une demande. AWS API Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs. La valeur de ce champ est
N/A
(non applicable) dans les cas suivants :-
L'utilisateur ne dispose pas d'une seconde clé d'accès.
-
La seconde clé d'accès de l'utilisateur n'a jamais été utilisée.
-
La seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.
-
- access_key_2_last_used_region
-
Région AWS dans laquelle la seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois. Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs. La valeur de ce champ est
N/A
(non applicable) dans les cas suivants :-
L'utilisateur ne dispose pas d'une seconde clé d'accès.
-
La seconde clé d'accès de l'utilisateur n'a jamais été utilisée.
-
La seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.
-
Le dernier service utilisé n'est pas spécifique à une région, comme Amazon S3.
-
- access_key_2_last_used_service
-
Le AWS service auquel l'utilisateur a accédé le plus récemment à l'aide de la deuxième clé d'accès. La valeur de ce champ utilise l'espace de noms du service, par exemple, pour Amazon
s3
S3 et pour Amazon.ec2
EC2 Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S'applique à la fois à l'utilisateur root du compte et IAM aux utilisateurs. La valeur de ce champ estN/A
(non applicable) dans les cas suivants :-
L'utilisateur ne dispose pas d'une seconde clé d'accès.
-
La seconde clé d'accès de l'utilisateur n'a jamais été utilisée.
-
La seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.
-
- cert_1_active
-
Lorsque l'utilisateur dispose d'un certificat de signature X.509 et que l'état de celui-ci est
Active
, cette valeur estTRUE
. Sinon, la valeur est définie commeFALSE
. - cert_1_last_rotated
-
Date et heure, au format ISO 8601, auxquelles le certificat de signature de l'utilisateur a été créé ou modifié pour la dernière fois
. Si l'utilisateur ne dispose pas d'un certificat de signature actif, la valeur de ce champ est N/A
(non applicable). - cert_2_active
-
Lorsque l'utilisateur dispose d'un second certificat de signature X.509 et que l'état de celui-ci est
Active
, cette valeur estTRUE
. Sinon, la valeur est définie commeFALSE
.Note
Les utilisateurs peuvent disposer de deux certificats de signature X.509 afin de faciliter la rotation des certificats.
- cert_2_last_rotated
-
Date et heure, au format ISO 8601, auxquelles le deuxième certificat de signature de l'utilisateur a été créé ou modifié pour la dernière fois
. Si l'utilisateur ne dispose pas d'un second certificat de signature actif, la valeur de ce champ est N/A
(non applicable).
Obtention de rapports d'informations d'identification (console)
Vous pouvez utiliser le AWS Management Console pour télécharger un rapport d'identification sous forme de fichier de valeurs séparées par des virgules ()CSV.
Pour télécharger un rapport sur les informations d'identification (console)
Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/
. -
Dans le panneau de navigation, sélectionnez Rapport sur les informations d'identification.
-
Choisissez Télécharger le rapport.
Obtention de rapports d'informations d'identification (AWS CLI)
Pour télécharger un rapport sur les informations d'identification (AWS CLI)
-
Générez un rapport sur les informations d'identification. AWS stocke un seul rapport. Si un rapport existe, la génération d'un rapport sur les informations d'identification remplace le rapport précédent.
aws iam generate-credential-report
-
Affichez le dernier rapport généré :
aws iam get-credential-report
Obtenir des rapports d'identification ()AWS
API
Pour télécharger un rapport sur les informations d'identification (AWS API)
-
Générez un rapport sur les informations d'identification. AWS stocke un seul rapport. Si un rapport existe, la génération d'un rapport sur les informations d'identification remplace le rapport précédent.
GenerateCredentialReport
-
Affichez le dernier rapport généré :
GetCredentialReport