Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vous pouvez utiliser le AWS Security Token Service (AWS STS) pour créer et fournir à des utilisateurs de confiance des informations d'identification de sécurité temporaires qui peuvent contrôler l'accès à vos AWS ressources. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :
-
Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois les informations d'identification AWS expirées, il ne les reconnaît plus ou n'autorise aucun type d'accès à partir des demandes d'API effectuées avec elles.
-
Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.
Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :
-
Il n'est pas nécessaire de distribuer ou d'intégrer des informations d'identification AWS de sécurité à long terme dans une application.
-
Vous pouvez donner accès à vos AWS ressources aux utilisateurs sans avoir à définir leur AWS identité. Les informations d’identification temporaires sont le fondement des rôles et de la fédération d’identité.
-
Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.
AWS STS et AWS régions
Les informations d'identification de sécurité temporaires sont générées par AWS STS. Par défaut, AWS STS il s'agit d'un service global avec un seul point de terminaison àhttps://sts.amazonaws.com
. Toutefois, vous pouvez également choisir d'effectuer des appels d' AWS STS API vers des points de terminaison situés dans toute autre région prise en charge. Cela permet de réduire la latence (décalage serveur) en envoyant des demandes aux serveurs situés dans une région géographiquement plus proche de vous. Quelle que soit la région d'où proviennent vos informations d'identification, elles fonctionnent dans le monde entier. Pour plus d'informations, veuillez consulter Gérez AWS STS dans un Région AWS.
Scénarios courants d'informations d'identification temporaires
Les informations d'identification temporaires sont utiles dans des scénarios impliquant la fédération d'identité, la délégation, l'accès entre comptes et les rôles IAM.
Fédération des identités
Vous pouvez gérer les identités de vos utilisateurs dans un système externe AWS et accorder aux utilisateurs qui se connectent à partir de ces systèmes l'accès pour effectuer AWS des tâches et accéder à vos AWS ressources. IAM prend en charge deux types de fédération d'identité. Dans les deux cas, les identités sont stockées à l'extérieur de AWS. La distinction réside dans l'endroit où se trouve le système externe : dans votre centre de données ou dans un tiers externe sur le Web. Pour comparer les fonctionnalités d’informations d’identification de sécurité temporaires pour la fédération d’identité, consultez Comparaison des informations d’identification AWS STS.
Pour plus d'informations sur les fournisseurs d'identité externes, consultez Fournisseurs d'identité et fédération.
-
Fédération OpenID Connect (OIDC) : vous pouvez autoriser les utilisateurs à se connecter à l’aide d’un fournisseur d’identité tiers bien établi, tel que Login with Amazon, Facebook, Google, ou tout autre fournisseur compatible OIDC 2.0 pour votre application mobile ou Web ; vous n’avez pas besoin de créer un code de connexion personnalisé ni de gérer vos propres identités d’utilisateur. L'utilisation de la fédération OIDC vous aide à Compte AWS garantir votre sécurité, car vous n'avez pas à distribuer des informations de sécurité à long terme, telles que des clés d'accès utilisateur IAM, avec votre application. Pour de plus amples informations, veuillez consulter Fédération OIDC.
AWS STS La fédération OIDC prend en charge Login with Amazon, Facebook, Google et tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC).
Note
Pour les applications mobiles, nous vous recommandons d'utiliser Amazon Cognito. Vous pouvez utiliser ce service avec AWS SDKs for mobile development afin de créer des identités uniques pour les utilisateurs et de les authentifier afin de sécuriser l'accès à vos AWS ressources. Amazon Cognito prend en charge les mêmes fournisseurs d'identité AWS STS, prend également en charge l'accès non authentifié (invité) et vous permet de migrer les données utilisateur lorsqu'un utilisateur se connecte. Amazon Cognito fournit également des opérations d'API pour la synchronisation des données utilisateur afin de les conserver à mesure que les utilisateurs passent d'un périphérique à l'autre. Pour plus d'informations, consultez Authentification avec Amplify
dans la documentation Amplify. -
Fédération SAML : vous pouvez authentifier les utilisateurs sur le réseau de votre organisation, puis leur fournir un accès AWS sans leur créer de nouvelles AWS identités ni leur demander de se connecter avec des informations d'identification différentes. C'est ce que l'on appelle l'approche d'authentification unique pour l'accès temporaire. AWS STS prend en charge les normes ouvertes telles que le langage SAML (Security Assertion Markup Language) 2.0, avec lequel vous pouvez utiliser Microsoft AD FS pour tirer parti de votre Microsoft Active Directory. SAML 2.0 vous permet également de gérer votre propre solution pour fédérer les identités des utilisateurs. Pour de plus amples informations, veuillez consulter Fédération SAML 2.0.
-
Courtier de fédération personnalisé : vous pouvez utiliser le système d'authentification de votre organisation pour accorder l'accès aux AWS ressources. Pour obtenir un exemple de scénario, consultez Permettre à un courtier d'identité personnalisé d'accéder à la AWS console.
-
Federation using SAML 2.0 (Fédération à l'aide de SAML 2.0) : vous pouvez utiliser le système d'authentification de votre organisation et SAML pour accorder l'accès aux ressources AWS . Pour obtenir des informations et un exemple de scénario, consultez Fédération SAML 2.0.
-
Rôles pour l'accès entre comptes
De nombreuses organisations gèrent plusieurs Compte AWS. À l'aide des rôles et de l'accès entre comptes, vous pouvez définir des identités utilisateur dans un compte et utiliser ces identités pour accéder aux ressources AWS dans d'autres comptes qui appartiennent à votre organisation. Cette procédure s'appelle la délégation pour un accès temporaire. Pour de plus amples informations sur la création de rôles entre comptes, veuillez consulter la rubrique Création d'un rôle pour accorder des autorisations à un utilisateur IAM. Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, veuillez consulter Qu'est-ce que l'Analyseur d'accès IAM ?.
Rôles pour Amazon EC2
Si vous exécutez des applications sur des EC2 instances Amazon et que ces applications ont besoin d'accéder à AWS des ressources, vous pouvez fournir des informations d'identification de sécurité temporaires à vos instances lorsque vous les lancez. Ces informations d'identification de sécurité temporaires sont disponibles pour toutes les applications qui s'exécutent sur l'instance, vous n'avez donc pas besoin de stocker des informations d'identification à long terme sur l'instance. Pour de plus amples informations, veuillez consulter Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2.
Pour en savoir plus sur les informations d'identification des EC2 rôles IAM Amazon, consultez la section Rôles IAM pour Amazon EC2 dans le guide de l'utilisateur d'Amazon Elastic Compute Cloud.
Autres AWS services
Vous pouvez utiliser des informations d'identification de sécurité temporaires pour accéder à la plupart AWS des services. Pour obtenir une liste des services qui acceptent les informations d'identification de sécurité temporaires, consultez la section AWS services qui fonctionnent avec IAM.
Exemples d'application qui utilisent des informations d'identification temporaires
Vous pouvez utiliser AWS Security Token Service (AWS STS) pour créer et fournir à des utilisateurs de confiance des informations d'identification de sécurité temporaires qui peuvent contrôler l'accès à vos AWS ressources. Pour plus d'informations sur AWS STS, voirInformations d'identification de sécurité temporaires dans IAM. Pour découvrir comment gérer les informations d'identification AWS STS de sécurité temporaires, vous pouvez télécharger les exemples d'applications suivants qui mettent en œuvre des exemples de scénarios complets :
-
Activation de la fédération pour AWS l'utilisation de Windows Active Directory, ADFS et SAML 2.0.
Démontre comment déléguer l'accès à l'aide de la fédération d'entreprise à AWS Windows Active Directory (AD), Active Directory Federation Services (ADFS) 2.0 et SAML (Security Assertion Markup Language) 2.0. -
Permettre à un courtier d'identité personnalisé d'accéder à la AWS consoleExplique comment créer un proxy de fédération permettant d'autoriser l'authentification unique (SSO) afin que les utilisateurs Active Directory existants puissent se connecter à AWS Management Console.
-
Comment utiliser Shibboleth pour l'authentification unique au. AWS Management Console
. Explique comment utiliser Shibboleth et SAML pour fournir aux utilisateurs un accès avec authentification unique (SSO) à l' AWS Management Console.
Exemples pour la fédération OIDC
Les exemples d'applications suivants montrent comment les utiliser OIDCfederation avec des fournisseurs tels que Login with Amazon, Amazon Cognito, Facebook ou Google. Vous pouvez échanger l'authentification de ces fournisseurs contre des informations AWS de sécurité temporaires pour accéder aux AWS services.
-
Tutoriels Amazon Cognito — Nous vous recommandons d'utiliser Amazon Cognito pour AWS SDKs le développement mobile. Amazon Cognito offre le moyen le plus simple de gérer l'identité pour les applications mobiles et fournit des fonctions supplémentaires telles que la synchronisation et l'identité entre périphériques. Pour plus d'informations sur Amazon Cognito, consultez Authentification avec Amplify
dans la documentation Amplify.
Ressources supplémentaires pour les informations d'identification de sécurité temporaires
Les scénarios et applications suivants peuvent vous aider à utiliser les informations d'identification de sécurité temporaires :
-
Comment s'intégrer AWS STS SourceIdentity à votre fournisseur d'identité
. Cet article explique comment configurer l' AWS STS SourceIdentity
attribut lorsque vous utilisez Okta, Ping ou OneLogin comme IdP. -
Fédération OIDC. Cette section explique comment configurer les rôles IAM lorsque vous utilisez la fédération OIDC et l’API
AssumeRoleWithWebIdentity
. -
Accès sécurisé aux API avec MFA. Cette rubrique explique comment utiliser les rôles pour exiger l'authentification multi-facteur (MFA) afin de protéger les actions d'API sensibles de votre compte.
Pour plus d'informations sur les politiques et les autorisations, AWS consultez les rubriques suivantes :
-
Managing Access Permissions to Your Amazon S3 Resources (gestion des autorisations d'accès à vos ressources Amazon S3) dans le guide de l'utilisateur du service de stockage simple Amazon.
-
Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, veuillez consulter Qu'est-ce que l'Analyseur d'accès IAM ?.