AWS STS and AWS régions Scénarios courants d'informations d'identification temporaires Exemples d'application qui utilisent des informations d'identification temporaires Ressources supplémentaires pour les informations d'identification temporaires

Informations d'identification de sécurité temporaires dans IAM

Vous pouvez utiliser le plugin AWS Security Token Service (AWS STS) pour créer et fournir aux utilisateurs de confiance des informations de sécurité temporaires qui peuvent contrôler l'accès à votre AWS ressources. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :

Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois les informations d'identification expirées, AWS ne les reconnaît plus ni n'autorise aucun type d'accès à partir des API demandes faites auprès d'eux.
Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.

Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :

Vous n'êtes pas obligé de distribuer ou d'intégrer à long terme AWS informations d'identification de sécurité associées à une application.
Vous pouvez donner accès à votre AWS ressources destinées aux utilisateurs sans avoir à définir un AWS identité pour eux. Les informations d'identification temporaires sont à la base de la fédération des rôles et des identités.
Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.

AWS STS and AWS régions

Les informations d'identification de sécurité temporaires sont générées par AWS STS. Par défaut, AWS STS est un service mondial doté d'un seul point de terminaison àhttps://sts.amazonaws.com. Cependant, vous pouvez également choisir de faire AWS STS APIappels vers des points de terminaison situés dans toute autre région prise en charge. Cela permet de réduire la latence (décalage serveur) en envoyant des demandes aux serveurs situés dans une région géographiquement plus proche de vous. Quelle que soit la région d'où proviennent vos informations d'identification, elles fonctionnent dans le monde entier. Pour plus d'informations, veuillez consulter Gérer AWS STS dans un Région AWS.

Scénarios courants d'informations d'identification temporaires

Les informations d'identification temporaires sont utiles dans les scénarios impliquant la fédération d'identités, la délégation, l'accès entre comptes et IAM les rôles.

Fédération des identités

Vous pouvez gérer les identités de vos utilisateurs dans un système externe en dehors de AWS et accordez aux utilisateurs qui se connectent depuis ces systèmes l'accès pour effectuer AWS tâches et accédez à votre AWS ressources. IAMprend en charge deux types de fédération d'identité. Dans les deux cas, les identités sont stockées en dehors de AWS. La différence réside dans l'emplacement du système externe : dans votre centre de données ou dans un tiers externe sur le Web. Pour comparer les fonctionnalités des informations d'identification de sécurité temporaires pour la fédération d'identités, voirComparez les AWS STS informations d'identification.

Pour plus d'informations sur les fournisseurs d'identité externes, consultez Fournisseurs d'identité et fédération.

Fédération OpenID Connect (OIDC) — Vous pouvez autoriser les utilisateurs à se connecter via un fournisseur d'identité tiers connu tel que Login with Amazon, Facebook, Google ou tout autre fournisseur compatible OIDC 2.0 pour votre application mobile ou Web. Vous n'avez pas besoin de créer de code de connexion personnalisé ni de gérer vos propres identités d'utilisateur. L'utilisation OIDC de la fédération vous aide à conserver votre Compte AWS sécurisé, car vous n'avez pas à distribuer des informations de sécurité à long terme, telles que des clés IAM d'accès utilisateur, avec votre application. Pour de plus amples informations, veuillez consulter OIDCfédération.

AWS STS OIDCLa fédération prend en charge Login with Amazon, Facebook, Google et tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC).

Note
Pour les applications mobiles, nous vous recommandons d'utiliser Amazon Cognito. Vous pouvez utiliser ce service avec AWS SDKspour le développement mobile afin de créer des identités uniques pour les utilisateurs et de les authentifier pour un accès sécurisé à votre AWS ressources. Amazon Cognito prend en charge les mêmes fournisseurs d'identité que AWS STS, et prend également en charge l'accès non authentifié (invité) et vous permet de migrer les données utilisateur lorsqu'un utilisateur se connecte. Amazon Cognito propose également des API opérations de synchronisation des données utilisateur afin qu'elles soient préservées lorsque les utilisateurs passent d'un appareil à l'autre. Pour plus d'informations, consultez Authentification avec Amplify dans la documentation Amplify.
SAMLfédération : vous pouvez authentifier les utilisateurs du réseau de votre organisation, puis leur donner accès à AWS sans créer de nouvelles AWS leur identité et leur demander de se connecter avec des informations d'identification différentes. C'est ce que l'on appelle l'approche d'authentification unique pour l'accès temporaire. AWS STS prend en charge des normes ouvertes telles que Security Assertion Markup Language (SAML) 2.0, avec lesquelles vous pouvez utiliser Microsoft AD FS pour tirer parti de votre Microsoft Active Directory. Vous pouvez également utiliser la SAML version 2.0 pour gérer votre propre solution de fédération des identités d'utilisateurs. Pour de plus amples informations, veuillez consulter SAMLfédération 2.0.
- Courtier de fédération personnalisé : vous pouvez utiliser le système d'authentification de votre organisation pour accorder l'accès à AWS ressources. Pour obtenir un exemple de scénario, consultez Permettre à un courtier d'identité personnalisé d'accéder à la AWS console.
- Fédération à l'aide de la SAML version 2.0 : vous pouvez utiliser le système d'authentification de votre organisation et SAML accorder l'accès à AWS ressources. Pour obtenir des informations et un exemple de scénario, consultez SAMLfédération 2.0.

Rôles pour l'accès entre comptes

De nombreuses organisations en gèrent plus d'un Compte AWS. À l'aide des rôles et de l'accès entre comptes, vous pouvez définir les identités des utilisateurs dans un compte et utiliser ces identités pour accéder AWS des ressources dans d'autres comptes appartenant à votre organisation. Cette procédure s'appelle la délégation pour un accès temporaire. Pour de plus amples informations sur la création de rôles entre comptes, veuillez consulter la rubrique Création d'un rôle pour déléguer des autorisations à un IAM utilisateur. Pour savoir si les responsables de comptes situés en dehors de votre zone de confiance (organisation de confiance ou compte) ont accès à vos rôles, voir Qu'est-ce qu'IAMAccess Analyzer ? .

Rôles pour Amazon EC2

Si vous exécutez des applications sur des EC2 instances Amazon et que ces applications doivent accéder à AWS ressources, vous pouvez fournir des informations de sécurité temporaires à vos instances lorsque vous les lancez. Ces informations d'identification de sécurité temporaires sont disponibles pour toutes les applications qui s'exécutent sur l'instance, vous n'avez donc pas besoin de stocker des informations d'identification à long terme sur l'instance. Pour de plus amples informations, veuillez consulter Utiliser un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon.

Pour en savoir plus sur les informations d'identification des EC2 rôles IAM Amazon, consultez IAMles rôles d'Amazon EC2 dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.

Autre AWS services

Vous pouvez utiliser des informations d'identification de sécurité temporaires pour accéder à la plupart AWS services. Pour obtenir une liste des services qui acceptent les informations d'identification de sécurité temporaires, consultez la section AWS des services qui fonctionnent avec IAM.

Exemples d'application qui utilisent des informations d'identification temporaires

Vous pouvez utiliser … AWS Security Token Service (AWS STS) pour créer et fournir aux utilisateurs de confiance des informations de sécurité temporaires qui peuvent contrôler l'accès à votre AWS ressources. Pour plus d'informations sur AWS STS, voir Informations d'identification de sécurité temporaires dans IAM. Pour voir comment vous pouvez utiliser AWS STS pour gérer les informations d'identification de sécurité temporaires, vous pouvez télécharger les exemples d'applications suivants qui mettent en œuvre des exemples de scénarios complets :

Permettre à la Fédération de AWS À l'aide de Windows Active DirectoryADFS, et SAML 2.0. Démontre comment déléguer l'accès à l'aide de la fédération d'entreprise pour AWS à l'aide de Windows Active Directory (AD), Active Directory Federation Services (ADFS) 2.0 et SAML (Security Assertion Markup Language) 2.0.
Permettre à un courtier d'identité personnalisé d'accéder à la AWS console. Montre comment créer un proxy de fédération personnalisé qui active l'authentification unique (SSO) afin que les utilisateurs Active Directory existants puissent se connecter au AWS Management Console.
Comment utiliser Shibboleth pour l'authentification unique AWS Management Console. . Montre comment utiliser Shibboleth et fournir SAMLaux utilisateurs un accès par authentification unique () SSO au AWS Management Console.

Exemples pour la OIDC fédération

Les exemples d'applications suivants montrent comment les utiliser OIDCfederation avec des fournisseurs tels que Login with Amazon, Amazon Cognito, Facebook ou Google. Vous pouvez échanger l'authentification auprès de ces fournisseurs contre une authentification temporaire AWS informations d'identification de sécurité pour accéder AWS services.

Tutoriels Amazon Cognito — Nous vous recommandons d'utiliser Amazon Cognito avec AWS SDKspour le développement mobile. Amazon Cognito offre le moyen le plus simple de gérer l'identité pour les applications mobiles et fournit des fonctions supplémentaires telles que la synchronisation et l'identité entre périphériques. Pour plus d'informations sur Amazon Cognito, consultez Authentification avec Amplify dans la documentation Amplify.

Ressources supplémentaires pour les informations d'identification de sécurité temporaires

Les scénarios et applications suivants peuvent vous aider à utiliser les informations d'identification de sécurité temporaires :

Comment intégrer AWS STS SourceIdentity auprès de votre fournisseur d'identité. Cet article vous explique comment configurer AWS STS SourceIdentityattribut lorsque vous utilisez Okta, Ping ou OneLogin comme IdP.
OIDCfédération. Cette section explique comment configurer les IAM rôles lorsque vous utilisez la OIDC fédération et le AssumeRoleWithWebIdentityAPI.
APIAccès sécurisé avec MFA. Cette rubrique explique comment utiliser les rôles pour exiger une authentification multifactorielle (MFA) afin de protéger les API actions sensibles de votre compte.

Pour plus d'informations sur les politiques et les autorisations dans AWS consultez les rubriques suivantes :

Gestion de l'accès aux AWS ressources
Logique d’évaluation de stratégies.
Managing Access Permissions to Your Amazon S3 Resources (gestion des autorisations d'accès à vos ressources Amazon S3) dans le guide de l'utilisateur du service de stockage simple Amazon.
Pour savoir si les responsables de comptes situés en dehors de votre zone de confiance (organisation de confiance ou compte) ont accès à vos rôles, voir Qu'est-ce qu'IAMAccess Analyzer ? .

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Afficher la SAML réponse dans le navigateur

Comparez les AWS STS informations d'identification