Régions AWS STS et AWS Scénarios courants d'informations d'identification temporaires Exemples d'application qui utilisent des informations d'identification temporaires Ressources supplémentaires pour les informations d'identification temporaires

Informations d'identification de sécurité temporaires dans IAM

Vous pouvez utiliser AWS Security Token Service (AWS STS) pour créer et fournir aux utilisateurs de confiance des informations d'identification de sécurité temporaires permettant de contrôler l'accès à vos ressources AWS. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :

Les informations d'identification de sécurité temporaires sont à court terme, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois que les informations d'identification arrivent à expiration, AWS ne les reconnaît plus ou n'autorise plus aucun accès aux demandes d'API effectuées avec elles.
Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.

Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :

Vous n'avez pas besoin de distribuer ou d'intégrer des informations d'identification de sécurité AWS à long terme avec une application.
Vous pouvez fournir aux utilisateurs l'accès à vos ressources AWS sans devoir définir une identité AWS pour eux. Les informations d’identification temporaires sont le fondement des rôles et de la fédération d’identité.
Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.

Régions AWS STS et AWS

Les informations d'identification de sécurité temporaires sont générées par AWS STS. Par défaut, AWS STS est un service global avec un point de terminaison unique à l'adresse https://sts.amazonaws.com. Toutefois, vous pouvez choisir également d'effectuer des appels d'API AWS STS aux points de terminaison dans une autre région prise en charge. Cela permet de réduire la latence (décalage serveur) en envoyant des demandes aux serveurs situés dans une région géographiquement plus proche de vous. Quelle que soit la région d'où proviennent vos informations d'identification, elles fonctionnent dans le monde entier. Pour plus d'informations, veuillez consulter Gestion de AWS STS dans un Région AWS.

Scénarios courants d'informations d'identification temporaires

Les informations d'identification temporaires sont utiles dans des scénarios impliquant la fédération d'identité, la délégation, l'accès entre comptes et les rôles IAM.

Fédération des identités

Vous pouvez gérer vos identités utilisateur dans un système externe situé en dehors d'AWS et accorder aux utilisateurs qui se connectent depuis ces systèmes un accès leur permettant d'effectuer des tâches AWS et d'accéder à vos ressources AWS. IAM prend en charge deux types de fédération d'identité. Dans les deux cas, les identités sont stockées en dehors d'AWS. La distinction réside dans l'endroit où se trouve le système externe : dans votre centre de données ou dans un tiers externe sur le Web. Pour comparer les fonctionnalités d’informations d’identification de sécurité temporaires pour la fédération d’identité, consultez Comparaison des informations d’identification AWS STS.

Pour plus d'informations sur les fournisseurs d'identité externes, consultez Fournisseurs d'identité et fédération.

Fédération OpenID Connect (OIDC) : vous pouvez autoriser les utilisateurs à se connecter à l’aide d’un fournisseur d’identité tiers bien établi, tel que Login with Amazon, Facebook, Google, ou tout autre fournisseur compatible OIDC 2.0 pour votre application mobile ou Web ; vous n’avez pas besoin de créer un code de connexion personnalisé ni de gérer vos propres identités d’utilisateur. L’utilisation de la fédération OIDC vous permet d’assurer la sécurité de votre Compte AWS, car vous n’avez pas à fournir d’informations d’identification de sécurité à long terme, telles que les clés d’accès des utilisateurs IAM, avec votre application. Pour en savoir plus, consultez Fédération OIDC.

La fédération OIDC d’AWS STS prend en charge la connexion avec Amazon, Facebook, Google et tout fournisseur d’identité compatible avec OpenID Connect (OIDC).

Note
Pour les applications mobiles, nous vous recommandons d'utiliser Amazon Cognito. Vous pouvez utiliser ce service avec les kits AWS SDK pour le développement mobile afin de créer des identités uniques pour les utilisateurs et les authentifier pour un accès sécurisé à vos ressources AWS. Amazon Cognito prend en charge les mêmes fournisseurs d'identité que AWS STS. Il prend également en charge l'accès non authentifié (invité), et vous permet de migrer les données utilisateur lorsqu'un utilisateur se connecte. Amazon Cognito fournit également des opérations d'API pour la synchronisation des données utilisateur afin de les conserver à mesure que les utilisateurs passent d'un périphérique à l'autre. Pour plus d'informations, consultez Authentification avec Amplify dans la documentation Amplify.
Fédération SAML : vous pouvez authentifier des utilisateurs dans le réseau de votre organisation, puis donner accès à AWS à ces utilisateurs sans leur créer d’identités AWS et leur demander de se connecter avec des informations d’identification différentes. Cette procédure s'appelle l'authentification unique (SSO) pour un accès temporaire. AWS STS prend en charge les normes ouvertes telles que Security Assertion Markup Language (SAML) 2.0, qui vous permettent d'utiliser Microsoft AD FS pour tirer parti de votre Microsoft Active Directory. SAML 2.0 vous permet également de gérer votre propre solution pour fédérer les identités des utilisateurs. Pour plus d'informations, veuillez consulter Fédération SAML 2.0.
- Custom federation broker (Broker de fédération personnalisé) : vous pouvez utiliser le système d'authentification de votre organisation pour accorder l'accès aux ressources AWS. Pour obtenir un exemple de scénario, consultez Permettre à un courtier d'identité personnalisé d'accéder à la AWS console.
- Federation using SAML 2.0 (Fédération à l'aide de SAML 2.0) : vous pouvez utiliser le système d'authentification de votre organisation et SAML pour accorder l'accès aux ressources AWS. Pour obtenir des informations et un exemple de scénario, consultez Fédération SAML 2.0.

Rôles pour l'accès entre comptes

De nombreuses organisations gèrent plusieurs Compte AWS. À l'aide des rôles et de l'accès entre comptes, vous pouvez définir des identités utilisateur dans un compte et utiliser ces identités pour accéder aux ressources AWS dans d'autres comptes qui appartiennent à votre organisation. Cette procédure s'appelle la délégation pour un accès temporaire. Pour de plus amples informations sur la création de rôles entre comptes, veuillez consulter la rubrique Création d'un rôle pour accorder des autorisations à un utilisateur IAM. Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, veuillez consulter Qu'est-ce que l'Analyseur d'accès IAM ?.

Rôles pour Amazon EC2

Si vous exécutez des applications sur des instances Amazon EC2 et que ces applications doivent accéder à des ressources AWS, vous pouvez fournir des informations d'identification de sécurité temporaires à vos instances lorsque vous les lancez. Ces informations d'identification de sécurité temporaires sont disponibles pour toutes les applications qui s'exécutent sur l'instance, vous n'avez donc pas besoin de stocker des informations d'identification à long terme sur l'instance. Pour en savoir plus, consultez Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2.

Pour en savoir plus sur les informations d’identification des rôles IAM Amazon EC2, consultez Rôles IAM pour Amazon EC2 dans le Guide de l’utilisateur Amazon Elastic Compute Cloud.

Autres services AWS

Vous pouvez utiliser des informations d'identification de sécurité temporaires pour accéder à la plupart des services AWS. Pour obtenir une liste des services qui acceptent les informations d'identification de sécurité temporaires, consultez la section AWS services qui fonctionnent avec IAM.

Exemples d'application qui utilisent des informations d'identification temporaires

Vous pouvez utiliser AWS Security Token Service (AWS STS) pour créer et fournir aux utilisateurs de confiance des informations d'identification de sécurité temporaires permettant de contrôler l'accès à vos ressources AWS. Pour plus d’informations sur AWS STS, consultez Informations d'identification de sécurité temporaires dans IAM. Pour savoir comment vous pouvez utiliser AWS STS pour gérer des informations d'identification temporaires, vous pouvez télécharger les exemples d'applications suivants qui implémentent des exemples de scénarios complets :

Activation de la fédération à AWS à l'aide de Windows Active Directory, ADFS et SAML 2.0. Montre comment déléguer l'accès à l'aide de la fédération d'entreprise pour AWS à l'aide de Windows Active Directory (AD), d'Active Directory Federation Services (Services de fédération Active Directory - ADFS) 2.0 et de SAML (Security Assertion Markup Language - Langage de balisage d'assertion de sécurité) 2.0.
Permettre à un courtier d'identité personnalisé d'accéder à la AWS consoleExplique comment créer un proxy de fédération permettant d'autoriser l'authentification unique (SSO) afin que les utilisateurs Active Directory existants puissent se connecter à AWS Management Console.
Comment utiliser Shibboleth pour l'authentification unique au AWS Management Console.. Explique comment utiliser Shibboleth et SAML pour fournir aux utilisateurs un accès avec authentification unique (SSO) à l'AWS Management Console.

Exemples pour la fédération OIDC

Les exemples d’applications suivants illustrent comment utiliser OIDCfederation avec des fournisseurs tels que Login with Amazon, Amazon Cognito, Facebook ou Google. Vous pouvez remplacer l'authentification à partir de ces fournisseurs par des informations d'identification de sécurité AWS temporaires afin d'accéder aux services AWS.

Didacticiels Amazon Cognito : nous vous recommandons d'utiliser Amazon Cognito avec les kits AWS SDK pour le développement mobile. Amazon Cognito offre le moyen le plus simple de gérer l'identité pour les applications mobiles et fournit des fonctions supplémentaires telles que la synchronisation et l'identité entre périphériques. Pour plus d'informations sur Amazon Cognito, consultez Authentification avec Amplify dans la documentation Amplify.

Ressources supplémentaires pour les informations d'identification de sécurité temporaires

Les scénarios et applications suivants peuvent vous aider à utiliser les informations d'identification de sécurité temporaires :

Comment intégrer AWS STS SourceIdentity à votre fournisseur d'identité. Cette publication vous montre comment configurer l'attribut AWS STSSourceIdentity lorsque vous utilisez Okta, Ping ou OneLogin comme fournisseur d'identité (IdP).
Fédération OIDC. Cette section explique comment configurer les rôles IAM lorsque vous utilisez la fédération OIDC et l’API AssumeRoleWithWebIdentity.
APIAccès sécurisé avec MFA. Cette rubrique explique comment utiliser les rôles pour exiger l'authentification multi-facteur (MFA) afin de protéger les actions d'API sensibles de votre compte.

Pour plus d'informations sur les politiques et autorisations dans AWS, consultez les rubriques suivantes :

Gestion de l'accès pour les ressources AWS
Logique d'évaluation de politiques.
Managing Access Permissions to Your Amazon S3 Resources (gestion des autorisations d'accès à vos ressources Amazon S3) dans le guide de l'utilisateur du service de stockage simple Amazon.
Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, veuillez consulter Qu'est-ce que l'Analyseur d'accès IAM ?.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Affichage de la réponse SAML dans le navigateur

Comparaison des informations d’identification AWS STS