Sélectionner vos préférences de cookies

Nous utilisons des cookies essentiels et des outils similaires qui sont nécessaires au fonctionnement de notre site et à la fourniture de nos services. Nous utilisons des cookies de performance pour collecter des statistiques anonymes afin de comprendre comment les clients utilisent notre site et d’apporter des améliorations. Les cookies essentiels ne peuvent pas être désactivés, mais vous pouvez cliquer sur « Personnaliser » ou « Refuser » pour refuser les cookies de performance.

Si vous êtes d’accord, AWS et les tiers approuvés utiliseront également des cookies pour fournir des fonctionnalités utiles au site, mémoriser vos préférences et afficher du contenu pertinent, y compris des publicités pertinentes. Pour accepter ou refuser tous les cookies non essentiels, cliquez sur « Accepter » ou « Refuser ». Pour effectuer des choix plus détaillés, cliquez sur « Personnaliser ».

Préférences
Contactez-nous
Commentaire
AWS Documentation
Créer un compte AWS

Informations d'identification de sécurité temporaires dans IAM

PDF
RSS
Mode de mise au point
Informations d'identification de sécurité temporaires dans IAM - AWS Identity and Access Management
AWS STS et AWS régionsScénarios courants d'informations d'identification temporairesExemples d'application qui utilisent des informations d'identification temporairesRessources supplémentaires pour les informations d'identification temporaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vous pouvez utiliser le AWS Security Token Service (AWS STS) pour créer et fournir à des utilisateurs de confiance des informations d'identification de sécurité temporaires qui peuvent contrôler l'accès à vos AWS ressources. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :

  • Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois les informations d'identification AWS expirées, il ne les reconnaît plus ou n'autorise aucun type d'accès à partir des demandes d'API effectuées avec elles.

  • Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.

Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :

  • Il n'est pas nécessaire de distribuer ou d'intégrer des informations d'identification AWS de sécurité à long terme dans une application.

  • Vous pouvez donner accès à vos AWS ressources aux utilisateurs sans avoir à définir leur AWS identité. Les informations d’identification temporaires sont le fondement des rôles et de la fédération d’identité.

  • Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.

AWS STS et AWS régions

Les informations d'identification de sécurité temporaires sont générées par AWS STS. Par défaut, AWS STS il s'agit d'un service global avec un seul point de terminaison àhttps://sts.amazonaws.com. Toutefois, vous pouvez également choisir d'effectuer des appels d' AWS STS API vers des points de terminaison situés dans toute autre région prise en charge. Cela permet de réduire la latence (décalage serveur) en envoyant des demandes aux serveurs situés dans une région géographiquement plus proche de vous. Quelle que soit la région d'où proviennent vos informations d'identification, elles fonctionnent dans le monde entier. Pour plus d'informations, veuillez consulter Gérez AWS STS dans un Région AWS.

Scénarios courants d'informations d'identification temporaires

Les informations d'identification temporaires sont utiles dans des scénarios impliquant la fédération d'identité, la délégation, l'accès entre comptes et les rôles IAM.

Fédération des identités

Vous pouvez gérer les identités de vos utilisateurs dans un système externe AWS et accorder aux utilisateurs qui se connectent à partir de ces systèmes l'accès pour effectuer AWS des tâches et accéder à vos AWS ressources. IAM prend en charge deux types de fédération d'identité. Dans les deux cas, les identités sont stockées à l'extérieur de AWS. La distinction réside dans l'endroit où se trouve le système externe : dans votre centre de données ou dans un tiers externe sur le Web. Pour comparer les fonctionnalités d’informations d’identification de sécurité temporaires pour la fédération d’identité, consultez Comparaison des informations d’identification AWS STS.

Pour plus d'informations sur les fournisseurs d'identité externes, consultez Fournisseurs d'identité et fédération.

  • Fédération OpenID Connect (OIDC) : vous pouvez autoriser les utilisateurs à se connecter à l’aide d’un fournisseur d’identité tiers bien établi, tel que Login with Amazon, Facebook, Google, ou tout autre fournisseur compatible OIDC 2.0 pour votre application mobile ou Web ; vous n’avez pas besoin de créer un code de connexion personnalisé ni de gérer vos propres identités d’utilisateur. L'utilisation de la fédération OIDC vous aide à Compte AWS garantir votre sécurité, car vous n'avez pas à distribuer des informations de sécurité à long terme, telles que des clés d'accès utilisateur IAM, avec votre application. Pour de plus amples informations, veuillez consulter Fédération OIDC.

    AWS STS La fédération OIDC prend en charge Login with Amazon, Facebook, Google et tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC).

    Note

    Pour les applications mobiles, nous vous recommandons d'utiliser Amazon Cognito. Vous pouvez utiliser ce service avec AWS SDKs for mobile development afin de créer des identités uniques pour les utilisateurs et de les authentifier afin de sécuriser l'accès à vos AWS ressources. Amazon Cognito prend en charge les mêmes fournisseurs d'identité AWS STS, prend également en charge l'accès non authentifié (invité) et vous permet de migrer les données utilisateur lorsqu'un utilisateur se connecte. Amazon Cognito fournit également des opérations d'API pour la synchronisation des données utilisateur afin de les conserver à mesure que les utilisateurs passent d'un périphérique à l'autre. Pour plus d'informations, consultez Authentification avec Amplify dans la documentation Amplify.

  • Fédération SAML : vous pouvez authentifier les utilisateurs sur le réseau de votre organisation, puis leur fournir un accès AWS sans leur créer de nouvelles AWS identités ni leur demander de se connecter avec des informations d'identification différentes. C'est ce que l'on appelle l'approche d'authentification unique pour l'accès temporaire. AWS STS prend en charge les normes ouvertes telles que le langage SAML (Security Assertion Markup Language) 2.0, avec lequel vous pouvez utiliser Microsoft AD FS pour tirer parti de votre Microsoft Active Directory. SAML 2.0 vous permet également de gérer votre propre solution pour fédérer les identités des utilisateurs. Pour de plus amples informations, veuillez consulter Fédération SAML 2.0.

    • Courtier de fédération personnalisé : vous pouvez utiliser le système d'authentification de votre organisation pour accorder l'accès aux AWS ressources. Pour obtenir un exemple de scénario, consultez Permettre à un courtier d'identité personnalisé d'accéder à la AWS console.

    • Federation using SAML 2.0 (Fédération à l'aide de SAML 2.0) : vous pouvez utiliser le système d'authentification de votre organisation et SAML pour accorder l'accès aux ressources AWS . Pour obtenir des informations et un exemple de scénario, consultez Fédération SAML 2.0.

Rôles pour l'accès entre comptes

De nombreuses organisations gèrent plusieurs Compte AWS. À l'aide des rôles et de l'accès entre comptes, vous pouvez définir des identités utilisateur dans un compte et utiliser ces identités pour accéder aux ressources AWS dans d'autres comptes qui appartiennent à votre organisation. Cette procédure s'appelle la délégation pour un accès temporaire. Pour de plus amples informations sur la création de rôles entre comptes, veuillez consulter la rubrique Création d'un rôle pour accorder des autorisations à un utilisateur IAM. Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, veuillez consulter Qu'est-ce que l'Analyseur d'accès IAM ?.

Rôles pour Amazon EC2

Si vous exécutez des applications sur des EC2 instances Amazon et que ces applications ont besoin d'accéder à AWS des ressources, vous pouvez fournir des informations d'identification de sécurité temporaires à vos instances lorsque vous les lancez. Ces informations d'identification de sécurité temporaires sont disponibles pour toutes les applications qui s'exécutent sur l'instance, vous n'avez donc pas besoin de stocker des informations d'identification à long terme sur l'instance. Pour de plus amples informations, veuillez consulter Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2.

Pour en savoir plus sur les informations d'identification des EC2 rôles IAM Amazon, consultez la section Rôles IAM pour Amazon EC2 dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Autres AWS services

Vous pouvez utiliser des informations d'identification de sécurité temporaires pour accéder à la plupart AWS des services. Pour obtenir une liste des services qui acceptent les informations d'identification de sécurité temporaires, consultez la section AWS services qui fonctionnent avec IAM.

Exemples d'application qui utilisent des informations d'identification temporaires

Vous pouvez utiliser AWS Security Token Service (AWS STS) pour créer et fournir à des utilisateurs de confiance des informations d'identification de sécurité temporaires qui peuvent contrôler l'accès à vos AWS ressources. Pour plus d'informations sur AWS STS, voirInformations d'identification de sécurité temporaires dans IAM. Pour découvrir comment gérer les informations d'identification AWS STS de sécurité temporaires, vous pouvez télécharger les exemples d'applications suivants qui mettent en œuvre des exemples de scénarios complets :

Exemples pour la fédération OIDC

Les exemples d'applications suivants montrent comment les utiliser OIDCfederation avec des fournisseurs tels que Login with Amazon, Amazon Cognito, Facebook ou Google. Vous pouvez échanger l'authentification de ces fournisseurs contre des informations AWS de sécurité temporaires pour accéder aux AWS services.

  • Tutoriels Amazon Cognito — Nous vous recommandons d'utiliser Amazon Cognito pour AWS SDKs le développement mobile. Amazon Cognito offre le moyen le plus simple de gérer l'identité pour les applications mobiles et fournit des fonctions supplémentaires telles que la synchronisation et l'identité entre périphériques. Pour plus d'informations sur Amazon Cognito, consultez Authentification avec Amplify dans la documentation Amplify.

Les scénarios et applications suivants peuvent vous aider à utiliser les informations d'identification de sécurité temporaires :

Pour plus d'informations sur les politiques et les autorisations, AWS consultez les rubriques suivantes :

Sur cette page

Related resources

AWS Identity and Access Management Référence d'API
AWS CLI commandes pour AWS Identity and Access Management
SDKs et outils 

Related resources

AWS Identity and Access Management Référence d'API
AWS CLI commandes pour AWS Identity and Access Management
SDKs et outils 
ConfidentialitéConditions d'utilisation du sitePréférences de cookies
© 2025, Amazon Web Services, Inc. ou ses affiliés. Tous droits réservés.