Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
IAMutilisateurs
Important
IAMles meilleures pratiques recommandent d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à l' AWS aide d'informations d'identification temporaires plutôt que d'utiliser des IAM utilisateurs dotés d'informations d'identification à long terme. Nous vous recommandons de n'utiliser des IAM utilisateurs que pour des cas d'utilisation spécifiques non pris en charge par les utilisateurs fédérés.
Un IAMutilisateur est une entité que vous créez dans votre Compte AWS. L'IAMutilisateur représente l'utilisateur humain ou la charge de travail qui utilise l'IAMutilisateur pour interagir avec les AWS ressources. Un IAM utilisateur se compose d'un nom et d'informations d'identification.
Un IAM utilisateur doté d'autorisations d'administrateur n'est pas la même chose que le Utilisateur racine d'un compte AWS. Pour de plus amples informations sur l'utilisateur racine, veuillez consulter Utilisateur racine d'un compte AWS.
Comment AWS identifie un IAM utilisateur
Lorsque vous créez un IAM utilisateur, IAM créez les méthodes suivantes pour identifier cet utilisateur :
-
Un « nom convivial » pour l'IAMutilisateur, qui est le nom que vous avez spécifié lors de sa IAM création, tel que
Richard
ouAnaya
. Ce sont les noms que vous voyez dans AWS Management Console. -
Un nom de ressource Amazon (ARN) pour l'IAMutilisateur. Vous utilisez le ARN lorsque vous avez besoin d'identifier de manière unique l'IAMutilisateur dans l'ensemble AWS. Par exemple, vous pouvez utiliser an ARN pour spécifier l'IAMutilisateur en tant que a
Principal
dans une IAM politique pour un compartiment Amazon S3. ARNPour un IAM utilisateur, cela peut ressembler à ceci :arn:aws:iam::
account-ID-without-hyphens
:user/Richard -
Identifiant unique pour l'IAMutilisateur. Cet identifiant est renvoyé uniquement lorsque vous utilisez API les outils pour Windows PowerShell ou AWS CLI pour créer l'IAMutilisateur ; il ne figure pas dans la console.
Pour plus d'informations sur ces identifiants, consultez IAMidentifiants.
IAMutilisateurs et informations d'identification
Vous pouvez y accéder AWS de différentes manières en fonction des informations IAM d'identification de l'utilisateur :
-
Mot de passe de console : mot de passe que l'IAMutilisateur peut saisir pour se connecter à des sessions interactives telles que le AWS Management Console. La désactivation du mot de passe (accès à la console) d'un IAM utilisateur l'empêche de se connecter à l' AWS Management Console aide de ses informations de connexion. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé.
-
Clés d'accès : utilisées pour passer des appels programmatiques à AWS. Cependant, il existe des alternatives plus sûres à envisager avant de créer des clés d'accès pour IAM les utilisateurs. Pour plus d'informations, consultez Considérations et alternatives relatives aux clés d'accès à long terme dans Références générales AWS. Si l'IAMutilisateur dispose de clés d'accès actives, elles continuent de fonctionner et autorisent l' AWS CLI accès via Outils pour Windows PowerShell ou l'Application AWS Console Mobile. AWS API
-
SSHclés à utiliser avec CodeCommit : clé SSH publique au SSH format ouvert qui peut être utilisée pour s'authentifier auprès CodeCommit de.
-
Certificats de serveur :SSL/TLScertificats que vous pouvez utiliser pour vous authentifier auprès de certains AWS services. Nous vous recommandons d'utiliser AWS Certificate Manager (ACM) pour provisionner, gérer et déployer vos certificats de serveur. À utiliser IAM uniquement lorsque vous devez prendre en charge HTTPS les connexions dans une région qui n'est pas prise en charge parACM. Pour savoir quelles régions sont prises en chargeACM, consultez la section AWS Certificate Manager Points de terminaison et quotas dans le Références générales AWS.
Vous pouvez choisir les informations d'identification qui conviennent à votre IAM utilisateur. Lorsque vous utilisez le AWS Management Console pour créer un IAM utilisateur, vous devez choisir d'inclure au moins un mot de passe de console ou des clés d'accès. Par défaut, un nouvel IAM utilisateur créé à l'aide du AWS CLI ou ne AWS API possède aucune information d'identification. Vous devez créer le type d'informations d'identification pour un IAM utilisateur en fonction de votre cas d'utilisation.
Vous disposez des options suivantes pour administrer les mots de passe, les clés d'accès et les dispositifs d'authentification multifactorielle (MFA) :
-
Gestion des mots de passe d'utilisateurs IAM. Créez et modifiez les mots de passe permettant d'accéder à AWS Management Console. Définissez une politique de mot de passe afin d'appliquer une complexité minimale pour les mots de passe. Permettez IAM aux utilisateurs de modifier leurs propres mots de passe.
-
Gérez les clés d'accès de vos IAM utilisateurs. Créez et mettez à jour les clés d'accès afin de permettre l'accès par programmation aux ressources de votre compte.
-
Activez l'authentification multifactorielle (MFA) pour l'IAMutilisateur. Il est recommandé d'exiger une authentification multifactorielle pour tous les IAM utilisateurs de votre compte. AvecMFA, IAM les utilisateurs doivent fournir deux formes d'identification : tout d'abord, ils fournissent les informations d'identification qui font partie de leur identité d'utilisateur (un mot de passe ou une clé d'accès). En outre, ils fournissent un code numérique temporaire généré sur un matériel ou par une application sur un smartphone ou une tablette.
-
Recherche de mots de passe et clés d'accès inutilisés. Toute personne possédant un mot de passe ou des clés d'accès pour votre compte ou un IAM utilisateur de votre compte a accès à vos AWS ressources. La meilleure pratique en matière de sécurité consiste à supprimer les mots de passe et les clés d'accès lorsque IAM les utilisateurs n'en ont plus besoin.
-
Téléchargez un rapport d'informations d'identification pour votre compte. Vous pouvez générer et télécharger un rapport d'identification répertoriant tous les IAM utilisateurs de votre compte et l'état de leurs différents identifiants, notamment les mots de passe, les clés d'accès et les MFA appareils. Pour les mots de passe et les clés d'accès, le rapport d'informations d'identification indique leur dernière date d'utilisation.
IAMutilisateurs et autorisations
Par défaut, un nouvel IAM utilisateur n'est pas autorisé à faire quoi que ce soit. Ils ne sont pas autorisés à effectuer des AWS opérations ou à accéder à des AWS ressources. L'avantage d'avoir des IAM utilisateurs individuels est que vous pouvez attribuer des autorisations individuellement à chaque utilisateur. Vous pouvez attribuer des autorisations administratives à quelques utilisateurs, qui pourront ensuite administrer vos AWS ressources et même créer et gérer d'autres IAM utilisateurs. Dans la plupart des cas, toutefois, vous souhaitez limiter les autorisations d'un utilisateur aux seules tâches (AWS actions ou opérations) et aux ressources nécessaires à la tâche.
Prenons l'exemple d'un utilisateur nommé Diego. Lorsque vous créez l'IAMutilisateurDiego
, vous lui créez un mot de passe et vous lui associez des autorisations qui lui permettent de lancer une EC2 instance Amazon spécifique et de lire (GET
) les informations d'une table d'une RDS base de données Amazon. Pour les procédures relatives à la création d'IAMutilisateurs et à leur octroi d'informations d'identification et d'autorisations initiales, voirCréez un IAM utilisateur dans votre Compte AWS. Pour les procédures relatives à la modification des autorisations pour les utilisateurs existants, consultez Modifier les autorisations d'un IAM utilisateur. Pour les procédures relatives à la modification des clés d'accès et du mot de passe de l'utilisateur, consultez Mots de passe utilisateur dans AWS et Gérer les clés d'accès pour IAM les utilisateurs.
Vous pouvez également ajouter une limite d'autorisations à vos IAM utilisateurs. Une limite d'autorisations est une fonctionnalité avancée qui vous permet d'utiliser des politiques AWS gérées pour limiter le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un IAM utilisateur ou à un rôle. Pour plus d'informations sur les types de politiques et les utilisations, veuillez consulter Politiques et autorisations dans AWS Identity and Access Management.
IAMutilisateurs et comptes
Chaque IAM utilisateur est associé à un seul et unique utilisateur Compte AWS. Les IAM utilisateurs étant définis au sein de votre Compte AWS entreprise, ils n'ont pas besoin de disposer d'un mode de paiement enregistré auprès de AWS. Toute AWS activité effectuée par IAM les utilisateurs sur votre compte est facturée sur votre compte.
Le nombre et la taille des IAM ressources d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter IAMet AWS STS quotas.
IAMutilisateurs en tant que comptes de service
Un IAM utilisateur est une ressource associée à IAM des informations d'identification et à des autorisations. Un IAM utilisateur peut représenter une personne ou une application qui utilise ses informations d'identification pour effectuer des AWS demandes. En général, ceci est appelé un compte de service. Si vous choisissez d'utiliser les informations d'identification à long terme d'un IAM utilisateur dans votre application, n'intégrez pas les clés d'accès directement dans le code de votre application. Le AWS SDKs et le vous AWS Command Line Interface permettent de placer les clés d'accès dans des emplacements connus afin de ne pas avoir à les conserver dans le code. Pour plus d'informations, voir Gérer correctement les clés IAM d'accès utilisateur dans le Références générales AWS. Il est également recommandé d'utiliser des informations d'identification de sécurité temporaires (IAMrôles) au lieu de clés d'accès à long terme.