Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Utilisateurs IAM
**Important**
[Les meilleures pratiques](best-practices.md) IAM recommandent de demander aux utilisateurs humains d'utiliser la fédération avec un fournisseur d'identité pour accéder à l'aide d'informations d'identification temporaires plutôt que d' AWS utiliser des utilisateurs IAM dotés d'informations d'identification à long terme. Nous vous recommandons de n’utiliser les utilisateurs IAM que pour les [cas d’utilisation spécifiques](gs-identities-iam-users.md) non pris en charge par les utilisateurs fédérés.
Un *utilisateur IAM* est une entité que vous créez dans votre Compte AWS. L’utilisateur IAM représente l’utilisateur humain ou la charge de travail qui utilise l’utilisateur IAM pour interagir avec les ressources AWS . Un utilisateur IAM se compose d’un nom et d’informations d’identification.
Un utilisateur IAM doté d'autorisations d'administrateur n'est pas un Utilisateur racine d'un compte AWS. Pour de plus amples informations sur l'utilisateur racine, veuillez consulter [Utilisateur racine d'un compte AWS](id_root-user.md).
## Comment AWS identifier un utilisateur IAM
Lorsque vous créez un utilisateur IAM, IAM implémente les éléments suivants pour l'identifier :
+ Un « nom convivial » pour l'utilisateur IAM. Il s'agit du nom que vous avez spécifié lors de la création de l'utilisateur IAM, par exemple `Richard` ou `Anaya`. Ce sont les noms que vous voyez dans AWS Management Console. Étant donné que les noms d'utilisateur IAM apparaissent dans Amazon Resource Names (ARNs), nous vous déconseillons d'inclure des informations d'identification personnelle dans le nom IAM. Reportez-vous à [Exigences relatives aux noms IAM](reference_iam-quotas.md#reference_iam-quotas-names) pour connaître les exigences et les restrictions relatives aux noms IAM.
+ Un Amazon Resource Name (ARN) pour l'utilisateur IAM. Vous utilisez l'ARN lorsque vous devez identifier de manière unique l'utilisateur IAM dans l'ensemble du AWS site. Par exemple, vous pouvez utiliser un ARN pour spécifier l'utilisateur IAM en tant que `Principal` dans la politique IAM d'un compartiment Amazon S3. L'ARN d'un utilisateur IAM peut se présenter comme suit :
`arn:aws:iam::account-ID-without-hyphens:user/Richard`
+ Un identifiant unique pour l'utilisateur IAM. Cet ID est renvoyé uniquement lorsque vous utilisez l'API, Tools for Windows PowerShell ou AWS CLI pour créer l'utilisateur IAM ; il ne figure pas dans la console.
Pour plus d'informations sur ces identifiants, consultez [Identifiants IAM](reference_identifiers.md).
## Utilisateurs IAM et informations d'identification
Vous pouvez y accéder de différentes manières AWS en fonction des informations d'identification de l'utilisateur IAM :
+ [**Mot de passe de la console**](id_credentials_passwords.md) : un mot de passe que l'utilisateur IAM peut entrer pour se connecter à des sessions interactives telles que l' AWS Management Console. La désactivation du mot de passe (accès à la console) pour un utilisateur IAM l'empêche de se connecter à l' AWS Management Console aide de ses informations d'identification. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé. Les utilisateurs IAM dont l'accès à la console est activé peuvent également utiliser ces mêmes informations d'identification pour s'authentifier AWS CLI et accéder au SDK à l'aide de la commande. `aws login` AWS CLI Ces utilisateurs devront disposer d'[SignInLocalDevelopmentAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/SignInLocalDevelopmentAccess.html)autorisations. [Pour plus de détails, reportez-vous à la section Authentification et identifiants d'accès AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
+ [**Clés d'accès**](id_credentials_access-keys.md) : utilisées pour passer des appels programmatiques à AWS. Toutefois, il existe des alternatives plus sécurisées à envisager avant de créer des clés d'accès pour les utilisateurs IAM. Pour plus d'informations, consultez [Considérations et alternatives relatives aux clés d'accès à long terme](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) dans *Références générales AWS*. Si l'utilisateur IAM dispose de clés d'accès actives, celles-ci continuent de fonctionner et autorisent l'accès via les AWS CLI Outils pour Windows PowerShell, AWS l'API ou l'Application AWS Console Mobile.
+ [**Clés SSH à utiliser avec CodeCommit**](id_credentials_ssh-keys.md) : une clé publique SSH au format OpenSSH qui peut être utilisée pour s'authentifier auprès d' CodeCommit.
+ [**Certificats de serveur**](id_credentials_server-certs.md) : SSL/TLS certificats que vous pouvez utiliser pour vous authentifier auprès de certains AWS services. Nous vous recommandons d'utiliser AWS Certificate Manager (ACM) pour provisionner, gérer et déployer vos certificats de serveur. Utilisez IAM uniquement lorsque vous devez prendre en charge des connexions HTTPS dans une région non prise en charge par ACM. Pour savoir quelles régions prennent en charge ACM, consultez [Points de terminaison et quotas AWS Certificate Manager](https://docs.aws.amazon.com/general/latest/gr/acm.html) dans *Références générales AWS*.
Vous pouvez choisir les informations d'identification qui conviennent à votre utilisateur IAM. Lorsque vous utilisez la AWS Management Console pour créer un utilisateur IAM, vous devez au moins choisir d'inclure un mot de passe ou des clés d'accès à la console. Par défaut, un tout nouvel utilisateur IAM créé à l'aide de l' AWS API AWS CLI or ne possède aucune information d'identification. Vous devez créer le type d'informations d'identification pour un utilisateur IAM en fonction de votre cas d'utilisation.
Vous disposez des options suivantes pour administrer les mots de passe, les clés d'accès et les dispositifs d'authentification multifactorielle (MFA) :
+ **[Gérer les mots de passe pour vos utilisateurs IAM](id_credentials_passwords.md).** Créez et modifiez les mots de passe permettant d'accéder à AWS Management Console. Définissez une politique de mot de passe afin d'appliquer une complexité minimale pour les mots de passe. Autorisez les utilisateurs IAM à modifier leurs propres mots de passe.
+ **[Gérer les clés d'accès pour vos utilisateurs IAM](id_credentials_access-keys.md).** Créez et mettez à jour les clés d'accès afin de permettre l'accès par programmation aux ressources de votre compte.
+ **[Activez l'authentification multifactorielle (MFA) pour l'utilisateur IAM.](id_credentials_mfa.md)** Selon les [bonnes pratiques](best-practices.md), nous vous recommandons d'exiger une authentification multifactorielle pour tous les utilisateurs IAM de votre compte. Avec MFA, les utilisateurs IAM doivent fournir deux formes d’identification : tout d’abord, ils fournissent les informations d’identification faisant partie de leur identité utilisateur (un mot de passe ou une clé d’accès). En outre, ils fournissent un code numérique temporaire généré sur un matériel ou par une application sur un smartphone ou une tablette.
+ **[Recherche de mots de passe et clés d'accès inutilisés](id_credentials_finding-unused.md).** Toute personne disposant d'un mot de passe ou de clés d'accès pour votre compte ou d'un utilisateur IAM de votre compte a accès à vos AWS ressources. En matière de sécurité, les [pratiques exemplaires](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) consistent à supprimer les mots de passe et les clés d’accès dont les utilisateurs IAM n’ont plus besoin.
+ **[Téléchargez un rapport d'informations d'identification pour votre compte](id_credentials_getting-report.md).** Vous pouvez générer et télécharger un rapport sur les informations d'identification qui répertorie tous les utilisateurs IAM de votre compte et le statut de leurs diverses informations d'identification, notamment leurs mots de passe, clés d'accès et dispositifs MFA. Pour les mots de passe et les clés d'accès, le rapport d'informations d'identification indique leur dernière date d'utilisation.
## Rôles et autorisations IAM
Par défaut, un nouvel utilisateur IAM ne dispose d'aucune [autorisation](access.md) pour faire quoi que ce soit. Ils ne sont pas autorisés à effectuer des AWS opérations ou à accéder à des AWS ressources. Lorsque vous configurez des utilisateurs IAM individuels, il est également possible de leur affecter des autorisations individuellement. Vous pouvez attribuer des autorisations administratives à quelques utilisateurs, qui pourront ensuite administrer vos AWS ressources et même créer et gérer d'autres utilisateurs IAM. Dans la plupart des cas, toutefois, vous souhaitez limiter les autorisations d'un utilisateur aux seules tâches (AWS actions ou opérations) et aux ressources nécessaires à la tâche.
Prenons l'exemple d'un utilisateur nommé Diego. Lorsque vous créez l'utilisateur IAM`Diego`, vous lui créez un mot de passe et vous lui associez des autorisations qui lui permettent de lancer une EC2 instance Amazon spécifique et de lire (`GET`) les informations d'une table d'une base de données Amazon RDS. Pour les procédures relatives à la création des utilisateurs IAM et à l’octroi d’informations d’identification initiales, consultez [Créez un utilisateur IAM dans votre Compte AWS](id_users_create.md). Pour les procédures relatives à la modification des autorisations pour les utilisateurs existants, consultez [Modification des autorisations pour un utilisateur IAM](id_users_change-permissions.md). Pour les procédures relatives à la modification des clés d'accès et du mot de passe de l'utilisateur, consultez [Mots de passe utilisateur dans AWS](id_credentials_passwords.md) et [Gestion des clés d’accès pour les utilisateurs IAM](id_credentials_access-keys.md).
Vous pouvez également ajouter une limite des autorisations à vos utilisateurs IAM. Une limite d'autorisations est une fonctionnalité avancée qui vous permet d'utiliser des politiques AWS gérées pour limiter le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un utilisateur ou à un rôle IAM. Pour plus d'informations sur les types de politiques et les utilisations, veuillez consulter [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md).
## Utilisateurs et comptes IAM
Chaque utilisateur IAM est associé à un seul et même Compte AWS. Comme les utilisateurs IAM sont définis au sein de votre Compte AWS entreprise, ils n'ont pas besoin de disposer d'un mode de paiement enregistré auprès AWS de. Toute AWS activité effectuée par les utilisateurs IAM sur votre compte est facturée sur votre compte.
Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md).
## Utilisateurs IAM en tant que comptes de service
Un utilisateur IAM est une ressource dans IAM à laquelle des informations d'identification et ses autorisations sont associées. Un utilisateur IAM peut représenter une personne ou une application qui utilise ses informations d'identification pour exécuter des demandes AWS . En général, ceci est appelé un *compte de service*. Si vous choisissez d'utiliser les informations d'identification à long terme d'un utilisateur IAM dans votre application, **n'incorporez pas directement les clés d'accès dans le code de votre application.** Le AWS SDKs et le vous AWS Command Line Interface permettent de placer les clés d'accès dans des emplacements connus afin de ne pas avoir à les conserver dans le code. Pour de plus amples informations, consultez [Gestion correcte des clés d'accès utilisateur IAM](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#iam-user-access-keys) (français non garanti) dans *Références générales AWS*. En tant que bonne pratique, vous pouvez également [utiliser des informations d'identification de sécurité temporaires (rôles IAM) au lieu des clés d'accès à long terme](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html#use-roles).
# Comment les utilisateurs d'IAM se connectent à AWS
Pour vous connecter en AWS Management Console tant qu'utilisateur IAM, vous devez fournir votre identifiant de compte ou votre alias de compte en plus de votre nom d'utilisateur et de votre mot de passe. Lorsque votre administrateur a créé votre utilisateur IAM dans la console, il a dû vous envoyer vos informations d'identification de connexion, notamment votre nom d'utilisateur et l'URL de la page de connexion à votre compte, qui inclut votre ID de compte ou votre alias de compte.
```
https://My_AWS_Account_ID.signin.aws.amazon.com/console/
```
**Conseil**
Pour créer un marque-page pour la page de connexion à votre compte dans votre navigateur web, vous devez saisir manuellement l'URL de connexion de votre compte lors de la création du marque-page. N'utilisez pas la fonction « Marquer cette page » de votre navigateur web, en raison des redirections qui risquent de masquer l'URL de connexion.
Vous pouvez également vous connecter au point de terminaison général suivant et saisir manuellement votre ID de compte ou votre alias de compte :
```
[https://console.aws.amazon.com/](https://console.aws.amazon.com/)
```
Pour plus de commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser le nom d'utilisateur IAM et les informations de compte. La prochaine fois que l'utilisateur accède à une page du AWS Management Console, la console utilise le cookie pour le rediriger vers la page de connexion au compte.
Vous n'avez accès qu'aux AWS ressources spécifiées par votre administrateur dans la politique associée à votre identité d'utilisateur IAM. Pour travailler dans la console, vous devez disposer des autorisations nécessaires pour effectuer les actions effectuées par la console, telles que la liste et la création de AWS ressources. Pour plus d’informations, consultez [Gestion de l'accès aux AWS ressources](access.md) et [Exemples de politiques basées sur l'identité IAM](access_policies_examples.md).
**Note**
Si votre organisation dispose déjà d'un système d'identité, vous souhaiterez peut-être créer une option d'authentification unique (SSO). Le SSO permet aux utilisateurs d'accéder AWS Management Console à votre compte sans qu'ils aient besoin d'une identité d'utilisateur IAM. L'authentification unique élimine également la nécessité pour les utilisateurs de se connecter au site de votre organisation et de s'y connecter AWS séparément. Pour de plus amples informations, veuillez consulter [Permettre à un courtier d'identité personnalisé d'accéder à la AWS console](id_roles_providers_enable-console-custom-url.md).
**Enregistrement des informations de connexion dans CloudTrail**
Si vous activez CloudTrail l'enregistrement des événements de connexion dans vos journaux, vous devez savoir comment CloudTrail choisit où enregistrer les événements.
+ Si les utilisateurs se connectent directement à une console, ils sont redirigés vers un point de terminaison de connexion international ou régional, si la console de service sélectionnée prend en charge les régions. Par exemple, la page d'accueil de la console principale prend en charge les régions, donc si vous vous connectez à l'URL suivante :
```
https://alias.signin.aws.amazon.com/console
```
vous êtes redirigé vers un point de connexion régional tel que`https://us-east-2.signin.aws.amazon.com`, ce qui entraîne une entrée de CloudTrail journal régional dans le journal régional de l'utilisateur :
En revanche, la console Amazon S3 ne prend pas en charge les régions, donc si vous vous connectez à l'URL suivante
```
https://alias.signin.aws.amazon.com/console/s3
```
AWS vous redirige vers le point de connexion global à l'adresse`https://signin.aws.amazon.com`, ce qui entraîne une entrée de CloudTrail journal globale.
+ Vous pouvez demander manuellement un point de terminaison de connexion régional spécifique en vous connectant à la page d'accueil régionale de la console principale à l'aide d'une syntaxe d'URL similaire à ce qui suit :
```
https://alias.signin.aws.amazon.com/console?region=ap-southeast-1
```
AWS vous redirige vers le point de connexion `ap-southeast-1` régional et entraîne un événement de CloudTrail journal régional.
Pour plus d'informations sur IAM CloudTrail et IAM, consultez la section [Journalisation des événements IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) avec. CloudTrail
Si les utilisateurs ont besoin d'un accès par programmation pour utiliser votre compte, vous pouvez créer une paire de clés d'accès (un ID de clé d'accès et une clé d'accès secrète) pour chaque utilisateur. Toutefois, il existe des alternatives plus sécurisées à envisager avant de créer des clés d'accès pour les utilisateurs. Pour plus d'informations, consultez [Considérations et alternatives relatives aux clés d'accès à long terme](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html#alternatives-to-long-term-access-keys) dans *Références générales AWS*.
## Ressources supplémentaires
Les ressources suivantes peuvent vous aider à en savoir plus sur la AWS connexion.
+ Le [Guide de l’utilisateur de la connexion AWS](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html) vous aide à comprendre les différentes façons dont vous pouvez vous connecter à Amazon Web Services (AWS), en fonction de votre type d’utilisateur.
+ Vous pouvez vous connecter à un maximum de cinq identités différentes simultanément dans un seul navigateur Web dans l’ AWS Management Console. Pour plus de détails, consultez la section [Connexion à plusieurs comptes](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/multisession.html) dans le *Guide de démarrage AWS Management Console *.
# Connexion compatible avec la MFA
Les utilisateurs pour lesquels l'[authentification multifactorielle (MFA)](id_credentials_mfa.md) est configurée doivent utiliser leurs dispositifs MFA pour se connecter à l' AWS Management Console. Une fois que l'utilisateur a saisi ses informations de connexion, AWS vérifie dans son compte si le MFA est requis pour cet utilisateur.
**Important**
Si vous utilisez des informations d'identification par clé d'accès et clé secrète pour AWS Management Console un accès direct AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)via l'appel d'API, la MFA ne sera PAS requise. Pour de plus amples informations, veuillez consulter [Utilisation des clés d’accès et des informations d’identification de clé secrète pour l’accès à la console](securing_access-keys.md#console-access-security-keys).
Les rubriques suivantes fournissent des informations sur la façon dont les utilisateurs effectuent leur connexion lorsque l'authentification MFA est requise.
**Topics**
+ [Plusieurs dispositifs MFA activés](#console_sign-in-multiple-mfa)
+ [Clé de sécurité FIDO](#console_sign-in-mfa-fido)
+ [Dispositif MFA virtuel](#console_sign-in-mfa-virtual)
+ [Jeton TOTP matériel](#console_sign-in-mfa-hardware)
## Plusieurs dispositifs MFA activés
Si un utilisateur se connecte en AWS Management Console tant qu'utilisateur Compte AWS root ou utilisateur IAM avec plusieurs appareils MFA activés pour ce compte, il n'a besoin d'utiliser qu'un seul appareil MFA pour se connecter. Une fois que l'utilisateur s'est authentifié à l'aide du mot de passe de l'utilisateur, il sélectionne le type de dispositif MFA qu'il souhaite utiliser pour terminer l'authentification. L'utilisateur est ensuite invité à s'authentifier avec le type de dispositif qu'il a sélectionné.
## Clé de sécurité FIDO
Si l'authentification MFA est requise pour l'utilisateur, une deuxième page de connexion s'affiche. L'utilisateur a besoin d'utiliser la clé de sécurité FIDO.
**Note**
Les utilisateurs de Google Chrome ne doivent choisir aucune des options disponibles dans la fenêtre contextuelle qui demande **Verify your identity with amazon.com** (Vérifiez votre identité auprès d'amazon.com). Il vous suffit d'appuyer sur la clé de sécurité.
Contrairement aux autres dispositifs MFA, les clés de sécurité FIDO ne se désynchronisent pas. Les administrateurs peuvent désactiver une clé de sécurité FIDO si elle est perdue ou endommagée. Pour de plus amples informations, veuillez consulter [Désactivation des dispositifs MFA (console)](id_credentials_mfa_disable.md#deactive-mfa-console).
Pour plus d'informations sur les navigateurs compatibles WebAuthn et les appareils compatibles FIDO compatibles, AWS consultez. [Configurations prises en charge pour l’utilisation des clés d’accès et des clés de sécurité](id_credentials_mfa_fido_supported_configurations.md)
## Dispositif MFA virtuel
Si l'authentification MFA est requise pour l'utilisateur, une deuxième page de connexion s'affiche. Dans le champ **Code MFA**, l'utilisateur doit entrer le code numérique fourni par l'application MFA.
Si le code MFA est correct, l'utilisateur peut accéder à l’interface AWS Management Console. Si le code est incorrect, l'utilisateur peut refaire une tentative avec un autre code.
Un dispositif MFA virtuel peut être désynchronisé. Si un utilisateur ne parvient pas à se connecter AWS Management Console après plusieurs tentatives, il est invité à synchroniser le périphérique MFA virtuel. L'utilisateur peut suivre les instructions affichées à l'écran pour synchroniser le dispositif MFA virtuel. Pour plus d'informations sur la façon dont vous pouvez synchroniser un appareil pour le compte d'un utilisateur de votre Compte AWS, consultez[Resynchronisation des dispositifs MFA virtuels et matériels](id_credentials_mfa_sync.md).
## Jeton TOTP matériel
Si l'authentification MFA est requise pour l'utilisateur, une deuxième page de connexion s'affiche. Dans le champ **Code MFA**, l'utilisateur doit entrer le code numérique fourni par un jeton TOTP matériel.
Si le code MFA est correct, l'utilisateur peut accéder à l’interface AWS Management Console. Si le code est incorrect, l'utilisateur peut refaire une tentative avec un autre code.
Un jeton TOTP matériel peut être désynchronisé. Si un utilisateur ne parvient pas à se connecter AWS Management Console après plusieurs tentatives, il est invité à synchroniser le dispositif à jetons MFA. L'utilisateur peut suivre les instructions affichées à l'écran pour synchroniser le dispositif de jeton MFA. Pour plus d'informations sur la façon dont vous pouvez synchroniser un appareil pour le compte d'un utilisateur de votre Compte AWS, consultez[Resynchronisation des dispositifs MFA virtuels et matériels](id_credentials_mfa_sync.md).
# Créez un utilisateur IAM dans votre Compte AWS
**Important**
[Les meilleures pratiques](best-practices.md) IAM recommandent d'obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à l'aide d'informations d'identification temporaires plutôt que d' AWS utiliser des utilisateurs IAM dotés d'informations d'identification à long terme. Nous vous recommandons de n’utiliser les utilisateurs IAM que pour les [cas d’utilisation spécifiques](gs-identities-iam-users.md) non pris en charge par les utilisateurs fédérés.
Le processus de création d’un utilisateur IAM et sa capacité à exécuter des tâches se compose des étapes suivantes :
1. Créez l'[utilisateur dans AWS Management Console les AWS CLI](getting-started-workloads.md) outils pour Windows PowerShell ou à l'aide d'une opération d' AWS API. Si vous créez l'utilisateur dans le AWS Management Console, les étapes 1 à 4 sont gérées automatiquement, en fonction de vos choix. Si vous créez les utilisateurs IAM par programme, vous devez exécuter chacune de ces étapes individuellement.
1. Créez les informations d'identification pour l'utilisateur, en fonction du type d'accès dont il a besoin :
+ **Activer l'accès à la console — *facultatif*** : si l'utilisateur doit accéder au AWS Management Console, [créez un mot de passe pour l'utilisateur](id_credentials_passwords_admin-change-user.md). La désactivation de l'accès à la console pour un utilisateur l'empêche de se connecter à l' AWS Management Console à l'aide de son nom d'utilisateur et de son mot de passe. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé.
**Astuce**
Créez uniquement les informations d'identification dont a besoin l'utilisateur. Par exemple, pour un utilisateur qui a uniquement besoin d'un accès via le AWS Management Console, ne créez pas de clés d'accès.
1. Donner à l’utilisateur les autorisations nécessaires pour effectuer les tâches requises. Nous vous recommandons de placer vos utilisateurs IAM dans des groupes et de gérer leurs autorisations par le biais de politiques attachées à ces groupes. Toutefois, vous pouvez également accorder des autorisations en attachant des politiques d’autorisations directement à l’utilisateur. Si vous utilisez la console pour ajouter l’utilisateur, vous pouvez copier les autorisations d’un utilisateur existant vers le nouvel utilisateur.
Vous pouvez également ajouter une [limite des autorisations](access_policies_boundaries.md) pour limiter les autorisations de l’utilisateur en spécifiant une politique qui définit les autorisations maximales que l’utilisateur peut avoir. Les limites des autorisations n’accordent aucune autorisation.
Pour obtenir des instructions sur la création d’une politique d’autorisation personnalisée à utiliser pour accorder des autorisations ou définir une limite des autorisations, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md).
1. (Facultatif) Ajoutez des métadonnées à l'utilisateur en associant des balises. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter [Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md).
1. Fournissez à l'utilisateur les informations nécessaires à la connexion. Cela inclut le mot de passe et l'URL de la console de la page de connexion au compte sur laquelle l'utilisateur saisit ces informations d'identification. Pour plus d’informations, veuillez consulter [Comment les utilisateurs d'IAM se connectent à AWS](id_users_sign-in.md).
1. (Facultatif) Configurez l'[authentification multifacteur (MFA)](id_credentials_mfa.md) pour l'utilisateur. La MFA demande à l'utilisateur de fournir un one-time-use code chaque fois qu'il se connecte au. AWS Management Console
1. (Facultatif) Accordez aux utilisateurs IAM les autorisations requises pour gérer leurs propres informations d’identification. (Par défaut, les utilisateurs IAM ne sont pas autorisés à gérer leurs propres informations d’identification.) Pour de plus amples informations, veuillez consulter [Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe](id_credentials_passwords_enable-user-change.md).
**Note**
Si vous utilisez la console pour créer l’utilisateur et que vous sélectionnez l’**Utilisateur doit créer un nouveau mot de passe à la prochaine connexion (recommandé)**, l’utilisateur dispose des autorisations requises.
Pour plus d'informations sur les autorisations requises pour créer un utilisateur, consultez [Autorisations requises pour accéder aux autres ressources IAM](access_permissions-required.md).
Pour de plus amples informations sur la création d’utilisateurs IAM pour des cas d’utilisation particuliers, consultez les rubriques suivantes :
+ [Création d’un utilisateur IAM pour l’accès d’urgence](getting-started-emergency-iam-user.md)
+ [Création d’un utilisateur IAM pour les charges de travail qui ne peuvent pas utiliser de rôles IAM](getting-started-workloads.md)
# Affichage des utilisateurs IAM
Vous pouvez répertorier les utilisateurs IAM de votre groupe IAM Compte AWS ou d'un groupe IAM spécifique, et répertorier tous les groupes IAM auxquels appartient un utilisateur. Pour plus d'informations sur les autorisations requises pour répertorier des utilisateurs, consultez [Autorisations requises pour accéder aux autres ressources IAM](access_permissions-required.md).
## Pour répertorier tous les utilisateurs IAM de votre compte
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
La console affiche les utilisateurs IAM de votre Compte AWS.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ `[aws iam list-users](https://docs.aws.amazon.com/cli/latest/reference/iam/list-users.html)`
------
#### [ API ]
Appelez l’opération suivante :
+ `[ListUsers](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUsers.html)`
------
## Pour répertorier les utilisateurs dans un groupe IAM
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, sélectionnez **User groups** (Groupes d'utilisateurs).
1. Choisissez le nom du groupe d’utilisateurs.
Les utilisateurs IAM membres du groupe sont répertoriés dans l’onglet **Utilisateurs**.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ `[aws iam get-group](https://docs.aws.amazon.com/cli/latest/reference/iam/get-group.html)`
------
#### [ API ]
Appelez l’opération suivante :
+ `[GetGroup](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetGroup.html)`
------
## Pour répertorier tous les groupes IAM auxquels appartient un utilisateur
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Dans la liste des **Users** (Utilisateurs), choisissez le nom d'utilisateur IAM.
1. Sélectionnez l’onglet **Groupes** pour afficher la liste des groupes qui incluent l’utilisateur actuel.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ `[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)`
------
#### [ API ]
Appelez l’opération suivante :
+ `[ListGroupsForUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListGroupsForUser.html)`
------
## Étapes suivantes
Une fois que vous avez une liste de vos utilisateurs IAM, vous pouvez renommer, supprimer ou désactiver un utilisateur IAM en suivant les procédures suivantes.
+ [Renommer un utilisateur IAM](id_users_rename.md)
+ [Suppression ou désactivation d’un utilisateur IAM](id_users_remove.md)
# Renommer un utilisateur IAM
**Note**
En tant que [bonne pratique](best-practices.md), nous vous recommandons de demander aux utilisateurs humains d'utiliser la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires. Si vous suivez les bonnes pratiques, vous ne gérez pas les utilisateurs et les groupes IAM. Au lieu de cela, vos utilisateurs et vos groupes sont gérés en dehors de l'extérieur AWS et peuvent accéder aux AWS ressources en tant qu'*identité fédérée*. Une identité fédérée est un utilisateur de l'annuaire des utilisateurs de votre entreprise, un fournisseur d'identité Web, le AWS Directory Service, le répertoire Identity Center ou tout utilisateur qui accède AWS aux services à l'aide des informations d'identification fournies par le biais d'une source d'identité. Les identités fédérées utilisent les groupes définis par leur fournisseur d'identité. Si vous en utilisez AWS IAM Identity Center, consultez la section [Gérer les identités dans IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) dans le *Guide de l'AWS IAM Identity Center utilisateur* pour plus d'informations sur la création d'utilisateurs et de groupes dans IAM Identity Center.
Amazon Web Services fournit plusieurs outils permettant de gérer les utilisateurs IAM dans votre Compte AWS. Vous pouvez répertorier les utilisateurs IAM de votre compte ou d’un groupe d’utilisateurs, ou dresser la liste de tous les groupes IAM auxquels appartient un utilisateur. Vous pouvez renommer ou modifier le chemin d'accès d'un utilisateur IAM. Si vous passez à l'utilisation d'identités fédérées au lieu d'utilisateurs IAM, vous pouvez supprimer un utilisateur IAM de votre compte AWS ou désactiver l'utilisateur.
Pour plus d'informations sur l'ajout, la modification ou la suppression de politiques gérées pour un utilisateur IAM, consultez [Modification des autorisations pour un utilisateur IAM](id_users_change-permissions.md). Pour plus d'informations sur la gestion des politiques en ligne pour les utilisateurs IAM, consultez [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md), [Modification de politiques IAM](access_policies_manage-edit.md) et [Suppression de politiques IAM](access_policies_manage-delete.md). En guise de bonne pratique, utilisez des politiques gérées plutôt que des politiques en ligne. Les *politiques gérées par AWS * octroient des autorisations pour de nombreux cas d'utilisation courants. N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles peuvent être utilisées par tous les AWS clients. En conséquence, nous vous recommandons de réduire encore les autorisations en définissant des [Politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) qui sont spécifiques à vos cas d'utilisation. Pour de plus amples informations, veuillez consulter [AWS politiques gérées](access_policies_managed-vs-inline.md#aws-managed-policies). Pour plus d'informations sur les politiques AWS gérées conçues pour des fonctions professionnelles spécifiques, consultez[AWS politiques gérées pour les fonctions professionnelles](access_policies_job-functions.md).
Pour en savoir plus sur la validation des politiques IAM, consultez [Validation de politique IAM](access_policies_policy-validator.md).
**Astuce**
[IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) peut analyser les services et les actions que vos rôles IAM utilisent, puis générer une politique précise que vous pouvez utiliser. Après avoir testé chaque stratégie générée, vous pouvez la déployer dans votre environnement de production. Cela garantit que vous n'accordez que les autorisations requises à vos charges de travail. Pour plus d'informations sur la génération de politiques, consultez [IAM Access Analyzer policy generation](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
Pour de plus amples informations sur la gestion des mots de passe utilisateur IAM, consultez [Gérer les mots de passe des utilisateurs IAM](id_credentials_passwords_admin-change-user.md).
## Renommer un utilisateur IAM
Pour modifier le nom ou le chemin d'un utilisateur AWS CLI, vous devez utiliser l' AWS API Outils pour Windows PowerShell. La console ne comporte aucune option permettant de renommer un utilisateur. Pour plus d'informations sur les autorisations requises pour renommer un utilisateur, consultez [Autorisations requises pour accéder aux autres ressources IAM](access_permissions-required.md).
Lorsque vous modifiez le nom ou le chemin d'accès d'un utilisateur, voici ce qui suit se produit :
+ Toutes les politiques attachées à l'utilisateur restent dans l'utilisateur sous le nouveau nom.
+ L’utilisateur reste dans les mêmes groupes IAM sous le nouveau nom.
+ L'ID unique de l'utilisateur demeure le même. Pour plus d'informations sur le caractère unique IDs, consultez[Identifiants uniques](reference_identifiers.md#identifiers-unique-ids).
+ Toutes les ressources ou politiques de rôle qui font référence à l'utilisateur *en tant que principal* (l'utilisateur se voit accorder l'accès) sont mises à jour automatiquement pour utiliser le nouveau nom ou chemin. Par exemple, toutes les politiques basées sur des files d'attente dans Amazon SQS ou les politiques basées sur des ressources dans Amazon S3 sont mises à jour automatiquement pour utiliser le nouveau nom ou chemin.
IAM ne met pas automatiquement à jour les politiques qui font référence à l'utilisateur *en tant que ressource* de manière à utiliser le nouveau nom ou chemin ; vous devez le faire manuellement. Par exemple, imaginons qu'une politique est attachée à l'utilisateur `Richard` et qu'elle lui permet de gérer ses informations d'identification de sécurité. Si un administrateur renomme `Richard` en `Rich`, administrateur doit également mettre à jour cette politique pour changer la ressource de :
```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard
```
à :
```
arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich
```
C'est également vrai si un administrateur modifie le chemin : il doit également mettre à jour la politique pour refléter le nouveau chemin de l'utilisateur.
### Pour renommer un utilisateur
+ AWS CLI : [aws iam update-user](https://docs.aws.amazon.com/cli/latest/reference/iam/update-user.html)
+ AWS API : [UpdateUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateUser.html)
# Suppression ou désactivation d’un utilisateur IAM
[Les meilleures pratiques](best-practices.md#remove-credentials) recommandent de supprimer les utilisateurs IAM non utilisés de votre Compte AWS. Si vous souhaitez conserver les informations d’identification de l’utilisateur IAM pour une utilisation ultérieure, au lieu de les supprimer du compte, vous pouvez désactiver l’accès de l’utilisateur. Pour de plus amples informations, veuillez consulter [Désactivation d'un utilisateur IAM](#id_users_deactivating).
**Avertissement**
Une fois qu’un utilisateur IAM et ses clés d’accès sont supprimés, ils ne peuvent pas être restaurés ou récupérés.
## Prérequis : affichage de l’accès de l’utilisateur IAM
Avant de supprimer un utilisateur, passez en revue ses activités récentes au niveau du service. Ceci permet d’éviter de supprimer l’accès à partir d’un principal (personne ou application) qui l’utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).
## Suppression d’un utilisateur IAM (console)
Lorsque vous utilisez le AWS Management Console pour supprimer un utilisateur IAM, IAM supprime automatiquement les informations associées suivantes :
+ Identificateur de l’utilisateur IAM
+ Toute appartenance à un groupe, ce qui signifie que l’utilisateur IAM est supprimé de tous les groupes dont il était membre
+ Tous les mots de passe associés à utilisateur IAM
+ Toutes les politiques en ligne intégrées à l’utilisateur IAM (politiques qui étaient appliquées à l’utilisateur IAM à l’aide des autorisations de groupe d’utilisateurs ne sont pas affectées)
**Note**
IAM supprime toutes les politiques gérées attachées à l’utilisateur IAM lorsque vous supprimez l’utilisateur, mais ne supprime pas les politiques gérées.
+ Tous les dispositifs MFA associés
### Pour supprimer un utilisateur IAM (console)
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation de gauche, sélectionnez **Utilisateurs**, puis cochez la case en regard du nom d’utilisateur IAM que vous souhaitez supprimer, pas le nom ou la ligne elle-même.
1. En haut de la page, sélectionnez **Delete** (Supprimer).
**Note**
Si certains utilisateurs disposent de clés d’accès actives, vous devez désactiver ces clés avant de supprimer les utilisateurs. Pour de plus amples informations, veuillez consulter [Pour désactiver une clé d’accès pour un utilisateur IAM](access-keys-admin-managed.md#admin-deactivate-access-key).
1. Dans la boîte de dialogue de confirmation, saisissez le nom d'utilisateur dans le champ de saisie de texte pour confirmer la suppression de l'utilisateur. Sélectionnez **Delete (Supprimer)**.
La console affiche une notification d’état indiquant que l’utilisateur IAM a été supprimé.
------
## Suppression d'un utilisateur IAM (AWS CLI)
Contrairement au AWS Management Console, lorsque vous supprimez un utilisateur IAM avec le AWS CLI, vous devez supprimer manuellement les éléments attachés à cet utilisateur IAM. La procédure suivante illustre ce processus.
**Pour supprimer un utilisateur IAM de votre Compte AWS ()AWS CLI**
1. Supprimez le mot de passe de l'utilisateur, s'il en a un.
`[aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)`
1. Supprimez les clés d'accès de l'utilisateur, si l'utilisateur en possède une.
`[aws iam list-access-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)` (pour répertorier les clés d'accès de l'utilisateur) et `[aws iam delete-access-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)`
1. Supprimez le certificat de signature de l'utilisateur. Notez que la suppression d'une information d'identification de sécurité est définitive et que vous ne pourrez plus récupérer celle-ci.
`[aws iam list-signing-certificates](https://docs.aws.amazon.com/cli/latest/reference/iam/list-signing-certificates.html)` (pour répertorier les certificats de signature de l'utilisateur) et `[aws iam delete-signing-certificate](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-signing-certificate.html)`
1. Supprimez la clé publique SSH de l'utilisateur, s'il en a une.
`[aws iam list-ssh-public-keys](https://docs.aws.amazon.com/cli/latest/reference/iam/list-ssh-public-keys.html)` (pour répertorier les clés publiques SSH de l'utilisateur) et `[aws iam delete-ssh-public-key](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-ssh-public-key.html)`
1. Supprimez les informations d'identification Git.
`[aws iam list-service-specific-credentials](https://docs.aws.amazon.com/cli/latest/reference/iam/list-service-specific-credentials.html)` (pour répertorier les informations d'identification git de l'utilisateur) et `[aws iam delete-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-specific-credential.html)`
1. Désactivez l'authentification multifacteur (MFA) de l'utilisateur, s'il en a une.
`[aws iam list-mfa-devices](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-devices.html)` (pour répertorier les dispositifs MFA de l'utilisateur), `[aws iam deactivate-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)` (pour désactiver le dispositif), et `[aws iam delete-virtual-mfa-device](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)` (pour supprimer définitivement un dispositif MFA virtuel)
1. Supprimez les politiques en ligne de l'utilisateur.
`[aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)` (pour répertorier les politiques en ligne pour l'utilisateur) et [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user-policy.html) (pour supprimer la politique)
1. Détachez toutes les politiques gérées attachées à l'utilisateur.
`[aws iam list-attached-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-attached-user-policies.html)` (pour répertorier les politiques gérées attachées à l'utilisateur) et [https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/detach-user-policy.html) (pour détacher la politique)
1. Supprimez l’utilisateur à partir de tous les groupes IAM.
`[aws iam list-groups-for-user](https://docs.aws.amazon.com/cli/latest/reference/iam/list-groups-for-user.html)` (pour répertorier les groupes IAM auxquels l’utilisateur appartient) et `[aws iam remove-user-from-group](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-user-from-group.html)`
1. Supprimez l’utilisateur.
`[aws iam delete-user](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-user.html)`
## Désactivation d'un utilisateur IAM
Vous pouvez désactiver un utilisateur IAM pendant qu'il est temporairement absent de votre entreprise. Vous pouvez laisser ses informations d'identification utilisateur IAM en place tout en bloquant son accès à AWS .
Pour désactiver un utilisateur, créez et attachez une politique pour lui refuser l'accès à AWS. Vous pourrez rétablir l'accès de l'utilisateur ultérieurement.
Voici deux exemples de politiques de refus que vous pouvez attacher à un utilisateur pour lui refuser l'accès.
La politique suivante n'inclut pas de limite de temps. Vous devez supprimer la politique pour rétablir l'accès de l'utilisateur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*"
}
]
}
```
------
La politique suivante inclut une condition qui commence la politique le 24 décembre 2024 à 23 h 59 (UTC) et la termine le 28 février 2025 à 23 h 59 (UTC).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {"aws:CurrentTime": "2024-12-24T23:59:59Z"},
"DateLessThan": {"aws:CurrentTime": "2025-02-28T23:59:59Z"}
}
}
]
}
```
------
# Contrôlez l'accès des utilisateurs IAM au AWS Management Console
Les utilisateurs IAM autorisés qui se connectent à vous Compte AWS via le AWS Management Console peuvent accéder à vos AWS ressources. La liste suivante indique les manières dont vous pouvez accorder aux utilisateurs IAM l'accès à vos Compte AWS ressources via le AWS Management Console. Il montre également comment les utilisateurs d'IAM peuvent accéder aux autres fonctionnalités du AWS compte via le AWS site Web.
**Note**
L'utilisation d'IAM n'induit aucuns frais.
**Le AWS Management Console**
Vous créez un mot de passe pour chaque utilisateur IAM devant accéder à l' AWS Management Console. Les utilisateurs accèdent à la console via votre page de Compte AWS connexion compatible IAM. Pour plus d'informations sur l'accès à la page de connexion, consultez [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l'utilisateur Connexion à AWS *. Pour plus d'informations sur la création de mots de passe, consultez [Mots de passe utilisateur dans AWS](id_credentials_passwords.md).
Vous pouvez empêcher un utilisateur IAM d'accéder au AWS Management Console en supprimant son mot de passe. Cela les empêche de se connecter à l' AWS Management Console aide de leurs identifiants de connexion. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé. Si l'utilisateur dispose de clés d'accès actives, elles continuent de fonctionner et autorisent l' AWS CLI accès via les Outils pour Windows PowerShell, l' AWS API ou l'Application AWS Console Mobile.
**Vos AWS ressources, telles que les instances Amazon EC2, les compartiments Amazon S3, etc.**
Même si vos utilisateurs IAM ont des mots de passe, ils doivent également disposer d'une autorisation leur permettant d'accéder à vos ressources AWS . Lorsque vous créez un utilisateur IAM, celui-ci ne dispose par défaut d'aucune autorisation. Pour accorder à vos utilisateurs IAM les autorisations dont ils ont besoin, vous leur attachez des politiques. Si plusieurs utilisateurs IAM effectuent les mêmes tâches avec les mêmes ressources, vous pouvez les affecter à un groupe. Affectez ensuite les autorisations à ce groupe. Pour plus d'informations sur la création d'utilisateurs et de groupes IAM, veuillez consulter la rubrique [IAM identités](id.md). Pour plus d'informations sur l'utilisation de stratégies pour l'octroi d'autorisations, consultez [Gestion de l'accès aux AWS ressources](access.md).
**AWS Forums de discussion**
Tout le monde peut lire les messages publiés sur les [Forums de discussion AWS](https://forums.aws.amazon.com/). Les utilisateurs qui souhaitent publier des questions ou des commentaires AWS sur le forum de discussion peuvent le faire en utilisant leur nom d'utilisateur. La première fois qu'un utilisateur publie AWS sur le forum de discussion, il est invité à saisir un surnom et une adresse e-mail. Seul cet utilisateur peut utiliser ce surnom dans les forums de AWS discussion.
**Vos informations Compte AWS de facturation et d'utilisation**
Vous pouvez autoriser les utilisateurs à accéder à vos informations Compte AWS de facturation et d'utilisation. Pour de plus amples informations, veuillez consulter [Contrôle de l'accès à vos informations de facturation](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/control-access-billing.html) dans le *Guide de l'utilisateur AWS Billing *.
**Informations Compte AWS de votre profil**
Les utilisateurs ne peuvent pas accéder aux informations Compte AWS de votre profil.
**Vos informations Compte AWS de sécurité**
Les utilisateurs ne peuvent pas accéder à vos informations Compte AWS de sécurité.
**Note**
Les politiques IAM contrôlent l'accès, quelle que soit l'interface. Par exemple, vous pouvez fournir à un utilisateur un mot de passe pour accéder au AWS Management Console. Les politiques de cet utilisateur (ou de tout groupe auquel appartient l'utilisateur) contrôleraient ce que l'utilisateur peut faire dans le AWS Management Console. Vous pouvez également fournir à l'utilisateur des clés d' AWS accès pour effectuer des appels d'API à AWS. Les politiques contrôleraient les actions que l'utilisateur pourrait appeler via une bibliothèque ou un client qui utilise ces clés d'accès pour l'authentification.
# Modification des autorisations pour un utilisateur IAM
Vous pouvez modifier les autorisations d'un utilisateur IAM de votre site en Compte AWS modifiant son appartenance à un groupe, en copiant les autorisations d'un utilisateur existant, en attachant des politiques directement à un utilisateur ou en définissant une limite d'[autorisation](access_policies_boundaries.md). Une limite d'autorisations contrôle les autorisations maximum dont un utilisateur peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.
Pour plus d'informations sur les autorisations requises pour modifier les autorisations d'un utilisateur, consultez [Autorisations requises pour accéder aux autres ressources IAM](access_permissions-required.md).
**Topics**
+ [Afficher l'accès des utilisateurs](#users-modify_prerequisites)
+ [Générer une politique basée sur l'activité d'accès d'un utilisateur](#users_change_permissions-gen-policy)
+ [Ajout d'autorisations à un utilisateur (console)](#users_change_permissions-add-console)
+ [Modification des autorisations pour un utilisateur (console)](#users_change_permissions-change-console)
+ [Pour supprimer une politique d’autorisations d’un utilisateur (console)](#users_change_permissions-remove-policy-console)
+ [Pour supprimer la limite des autorisations d’un utilisateur (console)](#users_change_permissions-remove-boundary-console)
+ [Ajouter et supprimer les autorisations (AWS CLI ou AWS API) d'un utilisateur](#users_change_permissions-add-programmatic)
## Afficher l'accès des utilisateurs
Avant de modifier les autorisations d'un utilisateur, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez [Affiner les autorisations en AWS utilisant les dernières informations consultées](access_policies_last-accessed.md).
## Générer une politique basée sur l'activité d'accès d'un utilisateur
Vous pouvez parfois octroyer plus d'autorisations à une entité IAM (utilisateur ou rôle) qu'elle n'en a besoin. Pour affiner les autorisations que vous octroyez, vous pouvez générer une politique IAM basée sur l'activité d'accès d'une entité. IAM Access Analyzer examine vos AWS CloudTrail journaux et génère un modèle de politique contenant les autorisations qui ont été utilisées par l'entité dans la plage de dates que vous avez spécifiée. Vous pouvez utiliser le modèle pour créer une politique gérée avec des autorisations affinées, puis l'attacher à l'entité IAM. Ainsi, vous accordez uniquement les autorisations dont l'utilisateur ou le rôle a besoin pour interagir avec les AWS ressources correspondant à votre cas d'utilisation spécifique. Pour en savoir plus, consultez [Génération d’une politique de l’analyseur d’accès IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html).
## Ajout d'autorisations à un utilisateur (console)
IAM propose trois méthodes pour ajouter des politiques d'autorisations à un utilisateur :
+ **Ajouter l’utilisateur IAM à un groupe IAM** : faites de l’utilisateur un membre d’un groupe. Les politiques du groupe sont attachées à l'utilisateur.
+ **Copier les autorisations d’un utilisateur IAM existant** : copiez toutes les appartenances à un groupe, toutes les politiques gérées attachées, les politiques en ligne et toutes les limites des autorisations existantes d’un utilisateur source.
+ **Attacher directement des politiques à l’utilisateur IAM** : attachez directement une politique gérée à l’utilisateur. Pour faciliter la gestion des autorisations, affectez vos politiques à un groupe, puis faites de ces utilisateurs IAM des membres des groupes appropriés.
**Important**
Si l’utilisateur dispose d’une limite des autorisations, alors vous ne pouvez pas ajouter à l’utilisateur plus d’autorisations que le permet la limite.
### Pour ajouter des autorisations en ajoutant l’utilisateur IAM à un groupe
L’ajout d’un utilisateur IAM à un groupe IAM met immédiatement à jour les autorisations de l’utilisateur avec les autorisations définies pour le groupe.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Dans la liste des **Users** (Utilisateurs), choisissez le nom d'utilisateur IAM.
1. Sélectionnez l’onglet **Groupes** pour afficher la liste des groupes qui incluent l’utilisateur actuel.
1. Choisissez **Ajouter l’utilisateur aux groupes**.
1. Activez la case à cocher pour chaque groupe que l’utilisateur doit rejoindre. La liste affiche le nom de chaque groupe et les politiques que l'utilisateur reçoit s'il devient membre de ce groupe.
1. (Facultatif) Vous pouvez choisir **Créer un groupe** pour définir un nouveau groupe. Cela est utile si vous souhaitez ajouter l’utilisateur à un groupe auquel sont associées des politiques différentes de celles des groupes existants :
1. Dans le nouvel onglet, pour **Nom du groupe d'utilisateurs**, saisissez le nom de votre nouveau groupe.
**Note**
Le nombre et la taille des ressources IAM d'un AWS compte sont limités. Pour de plus amples informations, veuillez consulter [IAM et quotas AWS STS](reference_iam-quotas.md). Les noms de groupe peuvent combiner jusqu'à 128 lettres, chiffres et caractères suivants : plus (\$1), égal (=), virgule (,), point (.), arobase (@) et tiret (-). Les noms doivent être uniques au sein d'un compte. Ils ne sont pas distingués au cas par cas. Par exemple, vous ne pouvez pas créer deux groupes nommés *TESTGROUP* et *testgroup*.
1. Cochez une ou plusieurs cases pour les politiques gérées que vous souhaitez attacher au groupe. Vous pouvez également créer une politique gérée en choisissant **Créer une politique**. Le cas échéant, revenez dans la fenêtre ou l'onglet du navigateur une fois la nouvelle politique créée. Choisissez **Refresh (Actualiser)**, puis choisissez la nouvelle politique à attacher à votre groupe. Pour de plus amples informations, veuillez consulter [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md).
1. Choisissez **Créer un groupe d'utilisateurs**.
1. Revenez à l'onglet initial, actualisez votre liste de groupes. Puis cochez la case correspondant à votre nouveau groupe.
1. Choisissez **Ajouter l’utilisateur au(x) groupe(s)**.
La console affiche un message d’état vous informant que l’utilisateur a été ajouté aux groupes que vous avez spécifié.
------
### Pour ajouter des autorisations en copiant celles d’un autre utilisateur IAM
Si vous choisissez d’ajouter des autorisations à un utilisateur IAM en copiant des autorisations, IAM copie toutes les appartenances à des groupes, les politiques gérées attachées, les politiques en ligne et toutes les limites des autorisations existantes de l’utilisateur spécifié et les applique immédiatement à l’utilisateur actuellement sélectionné.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Dans la liste des **Users** (Utilisateurs), choisissez le nom d'utilisateur IAM.
1. Sous l’onglet **Autorisations**, choisissez **Ajouter des autorisations**.
1. Sur la page **Ajouter des autorisations**, choisissez **Copier des autorisations**. La liste affiche les utilisateurs IAM disponibles ainsi que leur appartenance à un groupe et les politiques attachées.
1. Sélectionnez le bouton radio en regard de l'utilisateur dont vous voulez copier les autorisations.
1. Choisissez **Suivant** pour afficher la liste des modifications apportées à l'utilisateur. Choisissez ensuite **Add permissions (Ajouter des autorisations)**.
La console affiche un message d’état vous informant que les autorisations ont été copiées depuis l’utilisateur IAM que vous avez spécifié.
------
### Pour ajouter des autorisations en attachant les politiques directement à l’utilisateur IAM
Vous pouvez attacher une politique gérée directement à un utilisateur IAM. Les autorisations mises à jour sont appliquées immédiatement.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Dans la liste des **Users** (Utilisateurs), choisissez le nom d'utilisateur IAM.
1. Sous l’onglet **Autorisations**, choisissez **Ajouter des autorisations**.
1. Sur la page **Ajouter des autorisations**, choisissez **Attacher directement les politiques**. La liste des **Politiques d’autorisations** affiche les politiques disponibles ainsi que leurs types de politiques et les entités associées.
1. Sélectionnez le bouton en regard du **Nom de la politique** que vous souhaitez attacher.
1. Choisissez **Suivant** pour afficher la liste des modifications apportées à l'utilisateur. Choisissez ensuite **Add permissions (Ajouter des autorisations)**.
La console affiche un message d’état vous informant que la politique a été ajoutée à l’utilisateur IAM que vous avez spécifié.
------
### Pour définir la limite des autorisations pour un utilisateur IAM
Une limite d'autorisations est une fonctionnalité avancée de gestion des AWS autorisations utilisée pour définir le maximum d'autorisations qu'un utilisateur IAM peut avoir. La définition d’une limite des autorisations restreint immédiatement les autorisations de l’utilisateur IAM à cette limite, quelles que soient les autres autorisations accordées.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Dans la liste **Utilisteurs**, choisissez le nom de l’utilisateur IAM dont vous souhaitez modifier la limite des autorisations.
1. Sélectionnez l’onglet **Autorisations**. Si nécessaire, ouvrez la section **Limite d'autorisations**, puis choisissez **Définir une limite d'autorisations**.
1. Sur la page **Définir la limite des autorisations**, sous **Politiques d’autorisations**, sélectionnez la politique que vous souhaitez utiliser pour la limite des autorisations.
1. Choisissez **Set boundary (Définir une limite)**.
La console affiche un message d’état vous informant que la limite des autorisations a été ajoutée.
------
## Modification des autorisations pour un utilisateur (console)
IAM vous permet de modifier les autorisations associées à un utilisateur de la manière suivante :
+ **Edit a permissions policy** (Modifier une politique d'autorisations) : modifiez la politique en ligne d'un utilisateur, la politique en ligne du groupe de l'utilisateur ou une politique gérée attachée directement à l'utilisateur ou à partir d'un groupe. Si l'utilisateur dispose d'une limite d'autorisations, alors vous ne pouvez pas fournir plus d'autorisations que le permet la politique utilisée comme limite d'autorisations de l'utilisateur.
+ **Changing the permissions boundary** (Modification de la limite d'autorisations) : modifiez la politique utilisée comme limite d'autorisations pour l'utilisateur. Cette action peut développer ou limiter les autorisations maximum dont dispose un utilisateur.
### Modification d'une politique d'autorisations attachée à un utilisateur
La modification d’autorisations met immédiatement à jour l’accès de l’utilisateur.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Dans la liste **Utilisteurs**, choisissez le nom de l’utilisateur IAM dont vous souhaitez modifier la limite des autorisations.
1. Sélectionnez l’onglet **Autorisations**. Si nécessaire, ouvrez la section **Limite des autorisations**.
1. Choisissez le nom de la politique que vous souhaitez modifier pour en afficher les détails. Choisissez l’onglet **Entités attachées** pour afficher d’autres entités (utilisateurs, groupes et rôles IAM) qui pourraient être affectées par la modification de la politique.
1. Choisissez l'onglet **Autorisations** et examinez les autorisations accordées par la politique. Pour modifier les autorisations, choisissez **Modifier**.
1. Modifiez la politique et résolvez les recommandations sur la [validation des politiques](access_policies_policy-validator.md). Pour de plus amples informations, veuillez consulter [Modification de politiques IAM](access_policies_manage-edit.md).
1. Choisissez **Suivant**, examinez le récapitulatif de la politique, puis choisissez **Enregistrer les modifications**.
La console affiche un message d’état vous informant que la politique a été mise à jour.
------
### Pour changer la limite des autorisations pour un utilisateur
La modification d’une limite des autorisations met immédiatement à jour l’accès de l’utilisateur.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Dans la liste **Utilisteurs**, choisissez le nom de l’utilisateur IAM dont vous souhaitez modifier la limite des autorisations.
1. Sélectionnez l’onglet **Autorisations**. Si nécessaire, ouvrez la section **Permissions boundary (Limite d'autorisations)**, puis choisissez **Change boundary (Modifier une limite)**.
1. Sélectionnez la politique que vous souhaitez utiliser pour la limite d'autorisations.
1. Choisissez **Set boundary (Définir une limite)**.
La console affiche un message d’état vous informant que la limite des autorisations a été modifiée.
------
## Pour supprimer une politique d’autorisations d’un utilisateur (console)
La suppression d’autorisations met immédiatement à jour l’accès de l’utilisateur.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom de l’utilisateur dont vous souhaitez supprimer les politiques d’autorisations.
1. Sélectionnez l’onglet **Autorisations**.
1. Si vous souhaitez supprimer les autorisations en supprimant une politique existante, affichez la colonne **Attachée via** pour comprendre comment l’utilisateur obtient cette politique avant de choisir **Supprimer** pour supprimer celle-ci :
+ Si la politique s'applique en raison de l'appartenance à un groupe, choisissez **Supprimer** pour supprimer l'utilisateur du groupe. N'oubliez pas que vous pouvez avoir plusieurs politiques attachées à un seul groupe. Si vous supprimez un utilisateur d'un groupe, il perd l'accès à *toutes* les politiques qu'il reçoit par le biais de cette appartenance au groupe.
+ Si la politique est une politique gérée attachée directement à l'utilisateur, choisissez **Supprimer** pour détacher la politique de l'utilisateur. Cela n'affecte pas la politique elle-même ni aucune autre entité à laquelle la politique pourrait être attachée.
+ S’il s’agit d’une politique en ligne intégrée, sélectionnez **Supprimer** pour supprimer la politique d’IAM. Les politiques en ligne attachées directement à un utilisateur existent uniquement sur cet utilisateur.
Si la politique a été accordée à l’utilisateur par le biais d’une adhésion à un groupe, la console affiche un message d’état vous informant que l’utilisateur IAM a été supprimé du groupe IAM. Si la politique est directement attachée ou intégrée, le message d’état vous informe que la politique a été supprimée.
------
## Pour supprimer la limite des autorisations d’un utilisateur (console)
La suppression de la limite des autorisations met immédiatement à jour l’accès de l’utilisateur.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Dans la liste **Utilisteurs**, choisissez le nom de l’utilisateur IAM dont vous souhaitez supprimer la limite des autorisations.
1. Sélectionnez l’onglet **Autorisations**. Si nécessaire, ouvrez la section **Limite des autorisations**.
1. Choisissez **Change boundary (Modifier une limite)**. Pour confirmer que vous souhaitez supprimer la limite des autorisations, sélectionnez **Supprimer la limite** dans la boîte de dialogue de confirmation.
La console affiche un message d’état vous informant que la limite des autorisations a été supprimée.
------
## Ajouter et supprimer les autorisations (AWS CLI ou AWS API) d'un utilisateur
Pour ajouter ou supprimer des autorisations par programme, vous devez ajouter ou supprimer l'appartenance au groupe, attacher ou détacher les politiques gérées, ou ajouter ou supprimer les politiques en ligne. Pour plus d’informations, consultez les rubriques suivantes :
+ [Modification des utilisateurs dans les groupes IAM](id_groups_manage_add-remove-users.md)
+ [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md)
# Mots de passe utilisateur dans AWS
Vous pouvez gérer les mots de passe des utilisateurs IAM de votre compte. Les utilisateurs IAM ont besoin de mots de passe pour accéder au AWS Management Console. Les utilisateurs n'ont pas besoin de mots de passe pour accéder aux AWS ressources par programmation à l' AWS CLI aide des outils pour Windows PowerShell ou. AWS SDKs APIs Pour ces environnements, vous avez la possibilité d'attribuer des [clés d'accès](id_credentials_access-keys.md) aux utilisateurs IAM. Cependant, il existe d'autres alternatives plus sécurisées aux clés d'accès que nous vous recommandons d'envisager d'abord. Pour de plus amples informations, veuillez consulter [AWS informations d'identification de sécurité](security-creds.md).
**Note**
Si l’un de vos utilisateurs IAM perd ou oublie son mot de passe, vous *ne pouvez pas* le récupérer auprès d’IAM. En fonction de vos paramètres, l’utilisateur ou l’administrateur doit générer un nouveau mot de passe.
**Topics**
+ [Définition d’une politique de mot de passe du compte pour les utilisateurs IAM](id_credentials_passwords_account-policy.md)
+ [Gérer les mots de passe des utilisateurs IAM](id_credentials_passwords_admin-change-user.md)
+ [Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe](id_credentials_passwords_enable-user-change.md)
+ [Modification par l'utilisateur IAM de son propre mot de passe](id_credentials_passwords_user-change-own.md)
# Définition d’une politique de mot de passe du compte pour les utilisateurs IAM
Vous pouvez définir une politique de mot de passe personnalisée Compte AWS pour définir les exigences de complexité et les périodes de rotation obligatoires pour les mots de passe de vos utilisateurs IAM. Si vous ne définissez pas de politique de mot de passe personnalisée, les mots de passe des utilisateurs IAM doivent respecter la politique de AWS mot de passe par défaut. Pour de plus amples informations, veuillez consulter [Options de politique de mot de passe personnalisé](#password-policy-details).
**Topics**
+ [Règles relatives à la définition d'une politique de mot de passe](#password-policy-rules)
+ [Autorisations requises pour définir une politique de mot de passe](#default-policy-permissions-required)
+ [Politique de mot de passe par défaut](#default-policy-details)
+ [Options de politique de mot de passe personnalisé](#password-policy-details)
+ [Pour définir une politique de mot de passe (console)](#IAMPasswordPolicy)
+ [Pour modifier une politique de mot de passe (console)](#id_credentials_passwords_account-policy-section-1)
+ [Pour supprimer une politique de mot de passe personnalisée (console)](#id_credentials_passwords_account-policy-section-2)
+ [Définition d'une politique de mot de passe (AWS CLI)](#PasswordPolicy_CLI)
+ [Définition d'une politique de mot de passe (AWS API)](#PasswordPolicy_API)
## Règles relatives à la définition d'une politique de mot de passe
La politique de mot de passe IAM ne s'applique pas au Utilisateur racine d'un compte AWS mot de passe ou aux clés d'accès utilisateur IAM. Si un mot de passe expire, l'utilisateur IAM ne peut pas se connecter AWS Management Console mais peut continuer à utiliser ses clés d'accès.
Lorsque vous créez ou modifiez une politique de mot de passe, la plupart de ses paramètres sont appliqués la fois suivante où vos utilisateurs modifient leurs mots de passe. Toutefois, certains des paramètres sont appliqués immédiatement. Par exemple :
+ Lorsque les exigences de longueur minimale et de type de caractères sont modifiés, les nouveaux paramètres sont appliqués à la prochaine modification des mots de passe. Les utilisateurs ne sont pas contraints à modifier leurs mots de passe, même si ceux-ci ne respectent pas la politique de mot de passe modifiée.
+ Lorsque vous définissez une période d'expiration de mot de passe, celle-ci est appliquée immédiatement. Par exemple, supposons que vous définissez une période d'expiration de mot de passe de 90 jours. Dans ce cas, le mot de passe expire pour tous les utilisateurs IAM dont le mot de passe existant date de plus de 90 jours. Ces utilisateurs sont tenus de modifier leur mot de passe la première fois qu'ils se connectent.
Vous ne pouvez pas créer de « politique de verrouillage » pour empêcher l'accès d'un utilisateur à un compte après un nombre défini de tentatives de connexion ayant échoué. Pour renforcer votre sécurité, nous vous recommandons de combiner des politiques de mot de passe d'un niveau de sécurité élevé à la Multi-Factor Authentication (MFA). Pour plus d'informations sur l'authentification MFA, consultez [AWS Authentification multifactorielle dans IAM](id_credentials_mfa.md).
## Autorisations requises pour définir une politique de mot de passe
Vous devez configurer les autorisations pour permettre à une entité IAM (utilisateur ou rôle) d'afficher ou de modifier sa politique de mot de passe de compte. Vous pouvez inclure les actions de politique de mot de passe suivantes dans une politique IAM :
+ `iam:GetAccountPasswordPolicy` : permet à l'entité d'afficher la politique de mot de passe pour son compte
+ `iam:DeleteAccountPasswordPolicy` : permet à l'entité de supprimer la politique de mot de passe personnalisée pour son compte et de revenir à la politique de mot de passe par défaut
+ `iam:UpdateAccountPasswordPolicy` : permet à l'entité de créer ou de modifier la politique de mot de passe personnalisée pour son compte
La politique suivante permet un accès complet pour afficher et modifier la politique de mot de passe du compte. Pour apprendre à créer une politique IAM à l'aide de cet exemple de document de politique JSON, consultez [Création de politiques à l'aide de l'éditeur JSON](access_policies_create-console.md#access_policies_create-json-editor).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "FullAccessPasswordPolicy",
"Effect": "Allow",
"Action": [
"iam:GetAccountPasswordPolicy",
"iam:DeleteAccountPasswordPolicy",
"iam:UpdateAccountPasswordPolicy"
],
"Resource": "*"
}
]
}
```
------
Pour plus d'informations sur les autorisations requises par les utilisateurs IAM pour modifier leur propre mot de passe, veuillez consulter [Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe](id_credentials_passwords_enable-user-change.md).
## Politique de mot de passe par défaut
Si un administrateur ne définit pas de politique de mot de passe personnalisée, les mots de passe des utilisateurs IAM doivent respecter la politique de AWS mot de passe par défaut.
La politique de mot de passe par défaut exige les conditions suivantes :
+ Longueur minimale du mot de passe de 8 caractères et longueur maximale de 128 caractères
+ Au minimum trois des types de caractères suivants : majuscules, minuscules, chiffres et les caractères non alphanumériques (`! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`)
+ Ne pas être identique à votre Compte AWS nom ou à votre adresse e-mail
+ Mot de passe sans expiration
## Options de politique de mot de passe personnalisé
Lorsque vous configurez une politique de mot de passe personnalisée pour votre compte, vous pouvez spécifier les conditions suivantes :
+ **Password minimum length** (Longueur minimale du mot de passe) : vous pouvez spécifier une longueur minimale de 6 caractères et une longueur maximale de 128 caractères.
+ **Niveau de sécurité du mot de passe** : vous pouvez cocher l’une des cases suivantes pour définir le niveau de sécurité de vos mots de passe utilisateur IAM :
+ Exiger au moins une lettre majuscule de l'alphabet latin (A–Z)
+ Exiger au moins une lettre minuscule de l'alphabet latin (a–z)
+ Nécessite au moins un chiffre
+ Exiger au moins un caractère non alphanumérique `! @ # $ % ^ & * ( ) _ + - = [ ] { } | '`
+ **Turn on password expiration** (Activer l'expiration du mot de passe) : vous pouvez sélectionner et spécifier une durée minimale de 1 jour et une durée maximale de 1 095 jours pendant laquelle les mots de passe utilisateur IAM sont valides après leur définition. Par exemple, si vous spécifiez un délai d'expiration de 90 jours, cela a un impact immédiat sur tous vos utilisateurs. Pour les utilisateurs dont le mot de passe date de plus de 90 jours, ils doivent définir un nouveau mot de passe lorsqu'ils se connectent à la console après la modification. Les utilisateurs dont le mot de passe est vieux de 75 à 89 jours reçoivent un AWS Management Console avertissement concernant l'expiration de leur mot de passe. Les utilisateurs IAM peuvent modifier leur mot de passe à tout moment s'ils en ont l'autorisation. Lorsqu'ils définissent un nouveau mot de passe, la date d’expiration est réinitialisée. Un utilisateur IAM ne peut avoir qu'un mot de passe valide à la fois.
+ L'**expiration du mot de passe nécessite une réinitialisation par l'administrateur** : sélectionnez cette option pour empêcher les utilisateurs IAM de l'utiliser AWS Management Console pour mettre à jour leur propre mot de passe après son expiration. Avant de sélectionner cette option, vérifiez que votre Compte AWS a plusieurs utilisateurs disposant des autorisations d'administrateur nécessaires pour réinitialiser les mots de passe utilisateur IAM. Les administrateurs disposant de l'autorisation `iam:UpdateLoginProfile` peuvent réinitialiser les mots de passe des utilisateurs IAM. Les utilisateurs IAM disposant de l'autorisation `iam:ChangePassword` et de clés d'accès actives peuvent réinitialiser leur propre mot de passe de console utilisateur IAM de manière programmatique. Si vous décochez cette case, les utilisateurs IAM dont les mots de passe ont expiré doivent tout de même définir un nouveau mot de passe avant de pouvoir accéder à l’ AWS Management Console.
+ **Allow users to change their own password** (Autoriser les utilisateurs à modifier leur propre mot de passe) : vous pouvez permettre à tous les utilisateurs IAM de votre compte d'utiliser la console IAM pour modifier leur mot de passe. Cela permet aux utilisateurs d'accéder à l'action `iam:ChangePassword` uniquement pour leur propre utilisateur et à l'action `iam:GetAccountPasswordPolicy`. Cette option n'associe aucune politique d'autorisations à chaque utilisateur. IAM applique plutôt les autorisations au niveau du compte pour tous les utilisateurs. Vous pouvez également n'autoriser que certains utilisateurs à gérer leurs propres mots de passe. Pour ce faire, décochez cette case. Pour plus d'informations sur l'utilisation de politiques visant à limiter les utilisateurs pouvant gérer les mots de passe, consultez la section [Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe](id_credentials_passwords_enable-user-change.md).
+ **Prevent password reuse** (Empêcher la réutilisation d'un mot de passe) : vous pouvez empêcher les utilisateurs IAM de réutiliser un certain nombre de mots de passe précédents. Vous pouvez spécifier le nombre de mots de passe précédents qui ne peuvent pas être réutilisés, entre 1 et 24 mots de passe.
## Pour définir une politique de mot de passe (console)
Vous pouvez utiliser le AWS Management Console pour créer, modifier ou supprimer une politique de mot de passe personnalisée. Les modifications apportées à la politique de mot de passe s’appliquent aux nouveaux utilisateurs IAM créés après cette modification de politique et aux utilisateurs IAM existants lorsqu’ils modifient leur mot de passe.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **Paramètres du compte**.
1. Dans la section **Password policy** (Politique de mot de passe), sélectionnez **Edit** (Modifier).
1. Choisissez **Custom** (Personnalisé) pour utiliser une politique de mot de passe personnalisée.
1. Sélectionnez les options que vous souhaitez appliquer à votre politique de mot de passe, puis sélectionnez **Enregistrer les modifications**.
1. Confirmez que vous souhaitez définir la politique de mot de passe personnalisée en sélectionnant **Définir personnalisé**.
La console affiche un message d’état vous informant que les exigences en matière de mot de passe pour les utilisateurs IAM ont été mises à jour.
------
## Pour modifier une politique de mot de passe (console)
Vous pouvez utiliser le AWS Management Console pour créer, modifier ou supprimer une politique de mot de passe personnalisée. Les modifications apportées à la politique de mot de passe s’appliquent aux nouveaux utilisateurs IAM créés après cette modification de politique et aux utilisateurs IAM existants lorsqu’ils modifient leur mot de passe.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **Paramètres du compte**.
1. Dans la section **Password policy** (Politique de mot de passe), sélectionnez **Edit** (Modifier).
1. Sélectionnez les options que vous souhaitez appliquer à votre politique de mot de passe, puis sélectionnez **Enregistrer les modifications**.
1. Confirmez que vous souhaitez définir la politique de mot de passe personnalisée en sélectionnant **Définir personnalisé**.
La console affiche un message d’état vous informant que les exigences en matière de mot de passe pour les utilisateurs IAM ont été mises à jour.
------
## Pour supprimer une politique de mot de passe personnalisée (console)
Vous pouvez utiliser le AWS Management Console pour créer, modifier ou supprimer une politique de mot de passe personnalisée. Les modifications apportées à la politique de mot de passe s’appliquent aux nouveaux utilisateurs IAM créés après cette modification de politique et aux utilisateurs IAM existants lorsqu’ils modifient leur mot de passe.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **Paramètres du compte**.
1. Dans la section **Password policy** (Politique de mot de passe), sélectionnez **Edit** (Modifier).
1. Choisissez **IAM default** (IAM par défaut) pour supprimer la politique de mot de passe personnalisée, puis **Save changes** (Enregistrer les modifications).
1. Confirmez que vous souhaitez définir la politique de mot de passe IAM par défaut en sélectionnant **Définir personnalisé**.
La console affiche un message d’état vous informant que la politique de mot de passe est définie sur le réglage par défaut d’IAM.
------
## Définition d'une politique de mot de passe (AWS CLI)
Vous pouvez utiliser le AWS Command Line Interface pour définir une politique de mot de passe.
**Pour gérer la politique de mot de passe de compte personnalisée depuis le AWS CLI**
Exécutez les commandes suivantes :
+ Pour créer ou modifier la politique de mot de passe personnalisée : [https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)
+ Pour afficher la politique de mot de passe : [https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-account-password-policy.html)
+ Pour supprimer la politique de mot de passe personnalisée : [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-account-password-policy.html)
## Définition d'une politique de mot de passe (AWS API)
Vous pouvez utiliser les opérations de AWS l'API pour définir une politique de mot de passe.
**Pour gérer la politique de mot de passe de compte personnalisée à partir de l' AWS API**
Appelez les opérations suivantes :
+ Pour créer ou modifier la politique de mot de passe personnalisée : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)
+ Pour afficher la politique de mot de passe : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)
+ Pour supprimer la politique de mot de passe personnalisée : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccountPasswordPolicy.html)
# Gérer les mots de passe des utilisateurs IAM
Les utilisateurs IAM qui utilisent les ressources AWS Management Console pour travailler avec AWS des ressources doivent disposer d'un mot de passe pour se connecter. Vous pouvez créer, modifier ou supprimer un mot de passe pour un utilisateur IAM dans votre compte AWS .
Après avoir attribué un mot de passe à un utilisateur, celui-ci peut se connecter à l' AWS Management Console aide de l'URL de connexion de votre compte, qui ressemble à ceci :
```
https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console
```
Pour plus d'informations sur la manière dont les utilisateurs IAM se connectent au AWS Management Console, consultez la section [Comment se connecter AWS dans](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) le *guide de l'Connexion à AWS utilisateur*.
Même si vos utilisateurs ont leurs propres mots de passe, ils toujours besoin de votre autorisation pour accéder à vos ressources AWS . Par défaut, un utilisateur ne dispose d'aucune autorisation. Pour accorder à vos utilisateurs les autorisations dont ils ont besoin, vous leur attribuez des politiques ou aux groupes dont ils font partie. Pour plus d'informations sur la création d'utilisateurs et de groupes, consultez [IAM identités](id.md). Pour plus d'informations sur l'utilisation de stratégies pour l'octroi d'autorisations, consultez [Modification des autorisations pour un utilisateur IAM](id_users_change-permissions.md).
Vous pouvez accorder aux utilisateurs l'autorisation de modifier leurs propres mots de passe. Pour de plus amples informations, veuillez consulter [Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe](id_credentials_passwords_enable-user-change.md). Pour plus d'informations sur la façon dont les utilisateurs accèdent à la page de connexion à votre compte, consultez [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l'utilisateur Connexion à AWS *.
**Topics**
+ [Création, modification ou suppression d'un mot de passe utilisateur IAM (console)](#id_credentials_passwords_admin-change-user_console)
## Création, modification ou suppression d'un mot de passe utilisateur IAM (console)
Vous pouvez utiliser le AWS Management Console pour gérer les mots de passe de vos utilisateurs IAM.
Les besoins de vos utilisateurs en matière d’accès peuvent changer au fil du temps. Vous devrez peut-être autoriser un utilisateur à accéder à la CLI à accéder à la console, modifier le mot de passe d'un utilisateur parce qu'il reçoit un e-mail contenant ses informations d'identification, ou supprimer un utilisateur lorsqu'il quitte votre organisation ou n'a plus besoin d'y AWS accéder.
### Pour créer le mot de passe d’un utilisateur IAM (console)
Utilisez cette procédure pour donner accès à une console utilisateur en générant un mot de passe associé au nom d’utilisateur.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom de l'utilisateur dont vous souhaitez créer le mot de passe.
1. Cliquez sur l'onglet **Informations d'identification de sécurité**, puis sous **Connexion à la console**, sélectionnez **Activer l'accès à la console**.
1. Dans la boîte de dialogue **Activer l’accès à la console**, sélectionnez **Réinitialiser le mot de passe**, puis choisissez si vous préférez qu’IAM génère un mot de passe ou si vous voulez en générer un personnalisé :
+ Pour qu'IAM génère un mot de passe, sélectionnez **Autogenerated password** (Mot de passe généré automatiquement).
+ Pour créer un mot de passe personnalisé, choisissez **Custom password (Mot de passe personnalisé)**, puis tapez le mot de passe.
**Note**
Le mot de passe que vous créez doit respecter la [politique de mot de passe](id_credentials_passwords_account-policy.md) du compte.
1. Pour obliger l’utilisateur à générer un nouveau mot de passe au moment de la connexion, sélectionnez **L’utilisateur doit générer un nouveau mot de passe à la prochaine connexion**.
1. Pour demander à l’utilisateur d’utiliser le nouveau mot de passe immédiatement, sélectionnez **Révoquer les sessions de console actives**. Cela associe une politique en ligne à l’utilisateur IAM qui lui refuse l’accès aux ressources si ses informations d’identification sont antérieures à la date spécifiée par la politique.
1. Choisissez **Réinitialiser le mot de passe**.
1. La boîte de dialogue **Mot de passe de la console** vous informe que vous avez activé le nouveau mot de passe de l’utilisateur. Pour afficher le mot de passe afin de le partager avec l’utilisateur, choisissez **Afficher** dans la boîte de dialogue **Mot de passe de la console**. Sélectionnez **Télécharger le fichier .csv** pour télécharger un fichier contenant les informations d’identification de l’utilisateur.
**Important**
Pour des raisons de sécurité, vous ne pouvez pas accéder au mot de passe après avoir effectué cette étape, mais vous pouvez créer un nouveau mot de passe à tout moment.
La console affiche un message d’état vous informant que l’accès à la console a été activé.
------
### Pour changer le mot de passe d'un utilisateur IAM (console)
Utilisez cette procédure pour mettre à jour un mot de passe associé au nom d’utilisateur.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom de l'utilisateur dont vous souhaitez changer le mot de passe.
1. Cliquez sur l'onglet **Informations d'identification de sécurité**, puis sous **Connexion à la console**, sélectionnez **Gérer l'accès à la console**.
1. Dans la boîte de dialogue **Gérer l’accès à la console**, sélectionnez **Réinitialiser le mot de passe**, puis choisissez si vous préférez qu’IAM génère un mot de passe ou si vous voulez générer un personnalisé :
+ Pour qu'IAM génère un mot de passe, sélectionnez **Autogenerated password** (Mot de passe généré automatiquement).
+ Pour créer un mot de passe personnalisé, choisissez **Custom password (Mot de passe personnalisé)**, puis tapez le mot de passe.
**Note**
Le mot de passe que vous créez doit respecter la [politique de mot de passe](id_credentials_passwords_account-policy.md) du compte.
1. Pour obliger l’utilisateur à générer un nouveau mot de passe au moment de la connexion, sélectionnez **L’utilisateur doit générer un nouveau mot de passe à la prochaine connexion**.
1. Pour demander à l’utilisateur d’utiliser le nouveau mot de passe immédiatement, sélectionnez **Révoquer les sessions de console actives**. Cela associe une politique en ligne à l’utilisateur IAM qui lui refuse l’accès aux ressources si ses informations d’identification sont antérieures à la date spécifiée par la politique.
1. Choisissez **Réinitialiser le mot de passe**.
1. La boîte de dialogue **Mot de passe de la console** vous informe que vous avez activé le nouveau mot de passe de l’utilisateur. Pour afficher le mot de passe afin de le partager avec l’utilisateur, choisissez **Afficher** dans la boîte de dialogue **Mot de passe de la console**. Sélectionnez **Télécharger le fichier .csv** pour télécharger un fichier contenant les informations d’identification de l’utilisateur.
**Important**
Pour des raisons de sécurité, vous ne pouvez pas accéder au mot de passe après avoir effectué cette étape, mais vous pouvez créer un nouveau mot de passe à tout moment.
La console affiche un message d’état vous informant que l’accès à la console a été mis à jour.
------
### Supprimer (désactiver) le mot de passe d'un utilisateur IAM (console)
Utilisez cette procédure pour supprimer un mot de passe associé au nom d’utilisateur, privant ainsi l’utilisateur de l’accès à la console.
**Important**
Vous pouvez empêcher un utilisateur IAM d'accéder au AWS Management Console en supprimant son mot de passe. Cela les empêche de se connecter à l' AWS Management Console aide de leurs identifiants de connexion. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé. Si l'utilisateur dispose de clés d'accès actives, elles continuent de fonctionner et autorisent l' AWS CLI accès via les Outils pour Windows PowerShell, l' AWS API ou l'Application AWS Console Mobile.
------
#### [ Console ]
1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique [Connexion à AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) du *Guide de l'utilisateur Connexion àAWS *.
1. Sur la **page d’accueil de la console IAM**, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte **Rechercher sur IAM**.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom de l'utilisateur dont vous souhaitez supprimer le mot de passe.
1. Cliquez sur l'onglet **Informations d'identification de sécurité**, puis sous **Connexion à la console**, sélectionnez **Gérer l'accès à la console**.
1. Pour demander à l’utilisateur de cesser immédiatement d’utiliser la console, sélectionnez **Révoquer les sessions de console actives**. Cela associe une politique en ligne à l’utilisateur IAM qui lui refuse l’accès aux ressources si ses informations d’identification sont antérieures à la date spécifiée par la politique.
1. Choisissez **Désactiver l’accès**
La console affiche un message d’état vous informant que l’accès à la console a été désactivé.
------
### Création, modification ou suppression d'un mot de passe utilisateur IAM (AWS CLI)
Vous pouvez utiliser l' AWS CLI API pour gérer les mots de passe de vos utilisateurs IAM.
**Pour créer un mot de passe (AWS CLI)**
1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)
1. Pour créer un mot de passe, exécutez cette commande : [aws iam create-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/create-login-profile.html)
**Pour modifier le mot de passe d'un utilisateur (AWS CLI)**
1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)
1. Pour modifier un mot de passe, exécutez cette commande : [aws iam update-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/update-login-profile.html)
**Pour supprimer (désactiver) le mot de passe d'un utilisateur (AWS CLI)**
1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : [aws iam get-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/get-login-profile.html)
1. (Facultatif) Pour déterminer quand un mot de passe a été utilisé pour la dernière fois, exécutez cette commande : [aws iam get-user](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user.html)
1. Pour supprimer un mot de passe, exécutez cette commande : [aws iam delete-login-profile](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-login-profile.html)
**Important**
Lorsque vous supprimez le mot de passe d'un utilisateur, ce dernier ne peut plus se connecter à l’interface AWS Management Console. Si l'utilisateur dispose de clés d'accès actives, elles continuent de fonctionner et autorisent l'accès via les appels de fonction AWS CLI PowerShell, Outils pour Windows ou AWS API. Lorsque vous utilisez les AWS CLI outils pour Windows PowerShell ou l' AWS API pour supprimer un utilisateur de votre compte Compte AWS, vous devez d'abord supprimer le mot de passe à l'aide de cette opération. Pour de plus amples informations, veuillez consulter [Suppression d'un utilisateur IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli).
**Pour révoquer les sessions de console actives d’un utilisateur avant une heure spécifiée (AWS CLI)**
1. [Pour intégrer une politique en ligne qui révoque les sessions de console actives d'un utilisateur IAM avant une heure spécifiée, utilisez la politique en ligne suivante et exécutez cette commande : aws iam put-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-user-policy.html)
Cette politique en ligne récuse toutes les autorisations et inclut la clé de condition `aws:TokenIssueTime`. Il révoque les sessions de console actives de l’utilisateur avant l’heure spécifiée dans l’élément `Condition` de la politique en ligne. Remplacez la valeur de la clé de condition `aws:TokenIssueTime` par votre propre valeur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateLessThan": {
"aws:TokenIssueTime": "2014-05-07T23:47:00Z"
}
}
}
}
```
------
1. [(Facultatif) Pour répertorier les noms des politiques intégrées à l'utilisateur IAM, exécutez cette commande : aws iam list-user-policies](https://docs.aws.amazon.com/cli/latest/reference/iam/list-user-policies.html)
1. [(Facultatif) Pour afficher la politique intégrée nommée intégrée à l'utilisateur IAM, exécutez cette commande : aws iam get-user-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/get-user-policy.html)
### Création, modification ou suppression d'un mot de passe utilisateur IAM (AWS API)
Vous pouvez utiliser l' AWS API pour gérer les mots de passe de vos utilisateurs IAM.
**Pour créer un mot de passe (AWS API)**
1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, appelez cette opération : [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
1. Pour créer un mot de passe, appelez cette opération : [CreateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateLoginProfile.html)
**Pour modifier le mot de passe d'un utilisateur (AWS API)**
1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, appelez cette opération : [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
1. Pour modifier un mot de passe, procédez comme suit : [UpdateLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateLoginProfile.html)
**Pour supprimer (désactiver) le mot de passe d'un utilisateur (AWS API)**
1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : [GetLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetLoginProfile.html)
1. (Facultatif) Pour déterminer quand un mot de passe a été utilisé pour la dernière fois, exécutez cette commande : [GetUser](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)
1. Pour supprimer un mot de passe, exécutez cette commande : [DeleteLoginProfile](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteLoginProfile.html)
**Important**
Lorsque vous supprimez le mot de passe d'un utilisateur, ce dernier ne peut plus se connecter à l’interface AWS Management Console. Si l'utilisateur dispose de clés d'accès actives, elles continuent de fonctionner et autorisent l'accès via les appels de fonction AWS CLI PowerShell, Outils pour Windows ou AWS API. Lorsque vous utilisez les AWS CLI outils pour Windows PowerShell ou l' AWS API pour supprimer un utilisateur de votre compte Compte AWS, vous devez d'abord supprimer le mot de passe à l'aide de cette opération. Pour de plus amples informations, veuillez consulter [Suppression d'un utilisateur IAM (AWS CLI)](id_users_remove.md#id_users_deleting_cli).
**Pour révoquer les sessions de console actives d'un utilisateur avant une heure spécifiée (AWS API)**
1. Pour intégrer une politique en ligne qui révoque les sessions de console actives d'un utilisateur IAM avant une heure spécifiée, utilisez la stratégie en ligne suivante et exécutez cette commande : [PutUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutUserPolicy.html)
Cette politique en ligne récuse toutes les autorisations et inclut la clé de condition `aws:TokenIssueTime`. Il révoque les sessions de console actives de l’utilisateur avant l’heure spécifiée dans l’élément `Condition` de la politique en ligne. Remplacez la valeur de la clé de condition `aws:TokenIssueTime` par votre propre valeur.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateLessThan": {
"aws:TokenIssueTime": "2014-05-07T23:47:00Z"
}
}
}
}
```
------
1. (Facultatif) Pour répertorier les noms des politiques intégrées à l'utilisateur IAM, exécutez cette commande : [ListUserPolicies](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListUserPolicies.html)
1. (Facultatif) Pour afficher la politique intégrée nommée intégrée à l'utilisateur IAM, exécutez cette commande : [GetUserPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUserPolicy.html)
# Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe
**Note**
Les utilisateurs dotés d'identités fédérées utiliseront le processus défini par leur fournisseur d'identité pour modifier leurs mots de passe. Il est [recommandé d'](best-practices.md)obliger les utilisateurs humains à utiliser la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires.
Vous pouvez accorder aux utilisateurs IAM l'autorisation de modifier leurs propres mots de passe lors de la connexion à la AWS Management Console. Vous pouvez effectuer cette opération de deux manières :
+ [Autorisez tous les utilisateurs IAM du compte à modifier leurs propres mots de passe](#proc_letalluserschangepassword).
+ [Autorisez uniquement les utilisateurs IAM sélectionnés à modifier leurs propres mots de passe](#proc_letselectuserschangepassword). Dans ce scénario, vous désactivez l'option permettant à tous les utilisateurs de modifier leurs propres mots de passe et vous utilisez une politique IAM pour accorder des autorisations uniquement à certains utilisateurs. Cette approche permet à ces utilisateurs de modifier leurs propres mots de passe et éventuellement d'autres informations d'identification telles que leurs propres clés d'accès.
**Important**
Nous vous recommandons de [définir une politique de mot de passe](id_credentials_passwords_account-policy.md) personnalisée qui oblige les utilisateurs IAM à créer des mots de passe d'un niveau de sécurité élevé.
## Pour autoriser tous les utilisateurs IAM à modifier leurs propres mots de passe
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, cliquez sur **Paramètres du compte**.
1. Dans la section **Password policy** (Politique de mot de passe), sélectionnez **Edit** (Modifier).
1. Choisissez **Custom** (Personnalisé) pour utiliser une politique de mot de passe personnalisée.
1. Sélectionnez **Allow users to change their own password** (Autoriser les utilisateurs à modifier leur propre mot de passe), puis cliquez sur **Save changes** (Enregistrer les modifications). Cela permet à tous les utilisateurs du compte d'accéder à l'action `iam:ChangePassword` uniquement pour leur propre utilisateur et à l'action `iam:GetAccountPasswordPolicy`.
1. Fournissez aux utilisateurs les instructions suivantes pour modifier leurs mots de passe : [Modification par l'utilisateur IAM de son propre mot de passe](id_credentials_passwords_user-change-own.md).
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ `[aws iam update-account-password-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/update-account-password-policy.html)`
------
#### [ API ]
Pour créer un alias pour votre URL de la page de connexion de l' AWS Management Console , appelez l'opération suivante :
+ `[UpdateAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccountPasswordPolicy.html)`
------
## Pour autoriser des utilisateurs IAM sélectionnés à modifier leurs propres mots de passe
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, cliquez sur **Paramètres du compte**.
1. Dans la section **Paramètres du compte**, vérifiez que l'option **Autoriser les utilisateurs à modifier leur propre mot de passe** n'est pas sélectionnée. Si cette case à cocher est activée, tous les utilisateurs peuvent modifier leurs propres mots de passe. (Reportez-vous à la procédure précédente.)
1. Créez les utilisateurs qui devraient être autorisés à modifier leurs propres mots de passe, s'il n'existe pas encore. Pour en savoir plus, consultez [Créez un utilisateur IAM dans votre Compte AWS](id_users_create.md).
1. (Facultatif) Créez un groupe IAM pour les utilisateurs qui doivent être autorisés à modifier leurs mots de passe, puis ajoutez les utilisateurs de l'étape précédente au groupe. Pour en savoir plus, consultez [Groupes d'utilisateurs IAM](id_groups.md).
1. Affectez la politique suivante au groupe. Pour de plus amples informations, veuillez consulter [Gestion des politiques IAM](access_policies_manage.md).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:GetAccountPasswordPolicy",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:ChangePassword",
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
Cette politique donne accès à l'[ChangePassword](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)action, qui permet aux utilisateurs de modifier uniquement leurs propres mots de passe depuis la console AWS CLI, les outils pour Windows PowerShell ou l'API. Elle donne également accès à l'[GetAccountPasswordPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccountPasswordPolicy.html)action, qui permet à l'utilisateur de consulter la politique de mot de passe actuelle ; cette autorisation est requise pour que l'utilisateur puisse consulter la politique de mot de passe du compte sur la page **Modifier le mot de passe**. L'utilisateur doit être autorisé à lire la politique de mot de passe actuelle pour s'assurer que le mot de passe satisfait les exigences de politique.
1. Fournissez aux utilisateurs les instructions suivantes pour modifier leurs mots de passe : [Modification par l'utilisateur IAM de son propre mot de passe](id_credentials_passwords_user-change-own.md).
------
### Pour plus d’informations
Pour plus d'informations sur la gestion des informations d'identification, consultez les rubriques suivantes :
+ [Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe](#id_credentials_passwords_enable-user-change)
+ [Mots de passe utilisateur dans AWS](id_credentials_passwords.md)
+ [Définition d’une politique de mot de passe du compte pour les utilisateurs IAM](id_credentials_passwords_account-policy.md)
+ [Gestion des politiques IAM](access_policies_manage.md)
+ [Modification par l'utilisateur IAM de son propre mot de passe](id_credentials_passwords_user-change-own.md)
# Modification par l'utilisateur IAM de son propre mot de passe
Si vous avez été autorisé à modifier votre propre mot de passe utilisateur IAM, vous pouvez utiliser une page spéciale AWS Management Console à cet effet. Vous pouvez également utiliser l' AWS API AWS CLI or.
**Topics**
+ [Autorisations nécessaires](#change-own-passwords-permissions-required)
+ [Comment les utilisateurs IAM modifient leur mot de passe (console)](#ManagingUserPwdSelf-Console)
+ [Comment les utilisateurs IAM modifient leur propre mot de passe (AWS CLI ou AWS API)](#ManagingUserPwdSelf-CLIAPI)
## Autorisations nécessaires
Pour modifier le mot de passe pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante : [AWS : autorise les utilisateurs IAM à modifier leur propre mot de passe pour la console sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage-password-only.md).
## Comment les utilisateurs IAM modifient leur mot de passe (console)
La procédure suivante décrit comment les utilisateurs IAM peuvent utiliser le AWS Management Console pour modifier leur propre mot de passe.
**Pour modifier votre propre mot de passe utilisateur IAM (console)**
1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.
Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.
1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Dans l'onglet **Informations d'identification AWS IAM**, sélectionnez **Mettre à jour le mot de passe**.
1. Dans le champ **Current password** (Mot de passe actuel), saisissez le mot de passe que vous utilisez actuellement. Entrez un nouveau mot de passe dans le champ **New password** (Nouveau mot de passe), puis confirmez-le dans le champ **Confirm new password** (Confirmer le nouveau mot de passe). Ensuite, choisissez l'option **Mettre à jour le mot de passe**.
**Note**
Le nouveau mot de passe doit répondre aux exigences de la politique de mot de passe du compte. Pour de plus amples informations, veuillez consulter [Définition d’une politique de mot de passe du compte pour les utilisateurs IAM](id_credentials_passwords_account-policy.md).
## Comment les utilisateurs IAM modifient leur propre mot de passe (AWS CLI ou AWS API)
La procédure suivante décrit comment les utilisateurs IAM peuvent utiliser l' AWS API AWS CLI or pour modifier leur propre mot de passe.
**Pour modifier votre mot de passe IAM, utilisez ce qui suit :**
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html](https://docs.aws.amazon.com/cli/latest/reference/iam/change-password.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ChangePassword.html)
# Gestion des clés d’accès pour les utilisateurs IAM
**Important**
Les [bonnes pratiques](best-practices.md) consistent à utiliser des informations d'identification de sécurité temporaires (comme des rôles IAM) plutôt que de créer des informations d'identification à long terme comme des clés d'accès. Avant de créer des clés d'accès, passez en revue les [alternatives aux clés d'accès à long terme](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).
Les clés d'accès sont les informations d'identification à long terme d'un utilisateur IAM ou du Utilisateur racine d'un compte AWS. Vous pouvez utiliser les clés d'accès pour signer des demandes programmatiques adressées à l' AWS API AWS CLI or (directement ou à l'aide du AWS SDK). Pour de plus amples informations, veuillez consulter [Accès programmatique avec identifiants AWS de sécurité](security-creds-programmatic-access.md).
Les clés d'accès se composent de deux parties : un ID de clé d'accès (par exemple, `AKIAIOSFODNN7EXAMPLE`) et une clé d'accès secrète (par exemple, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Vous devez utiliser à la fois l'ID de la clé d'accès et la clé d'accès secrète pour authentifier vos demandes.
Lorsque vous créez une paire de clé d'accès, enregistrez l'ID de clé d'accès et la clé d'accès secrète dans un emplacement sécurisé. La clé d’accès secrète ne peut être récupérée qu’au moment de sa création. Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. Pour plus d’informations, consultez [Mise à jour des clés d’accès](id-credentials-access-keys-update.md).
Vous pouvez avoir un maximum de deux clés d'accès par utilisateur.
**Important**
Les utilisateurs IAM dotés de clés d’accès constituent un risque pour la sécurité des comptes. Gérez vos clés d’accès en toute sécurité. Ne communiquez pas vos clés d’accès à des tiers non autorisés, même pour vous aider à trouver les [identifiants de votre compte](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Ce faisant, vous pouvez donner à quelqu'un un accès permanent à votre compte.
Lorsque vous utilisez des clés d’accès, soyez conscient de ce qui suit :
**N’utilisez PAS** les informations d’identification racine de votre compte pour créer des clés d’accès.
**N’incluez PAS** de clés d’accès ou d’informations d’identification dans vos fichiers d’application.
**N’incluez PAS** de fichiers contenant des clés d’accès ou des informations d’identification dans votre zone de projet.
Les clés d'accès ou les informations d'identification stockées dans le fichier AWS d'informations d'identification partagé sont stockées en texte brut.
## Recommandations de surveillance
Après avoir créé les clés d’accès :
+ AWS CloudTrail À utiliser pour surveiller l'utilisation des clés d'accès et détecter toute tentative d'accès non autorisée. Pour de plus amples informations, veuillez consulter [Journalisation des appels IAM et AWS STS API avec AWS CloudTrail](cloudtrail-integration.md).
+ Configurez des CloudWatch alarmes pour avertir les administrateurs en cas de tentative de refus d'accès afin de détecter les activités malveillantes. Pour plus d'informations, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Vérifiez, mettez à jour et supprimez régulièrement les clés d’accès selon les besoins.
Les rubriques suivantes détaillent les tâches de gestion associées aux clés d'accès.
**Topics**
+ [Recommandations de surveillance](#monitor-access-keys)
+ [Contrôler l’utilisation des clés d’accès en associant une politique en ligne à un utilisateur IAM](access-keys_inline-policy.md)
+ [Autorisations requises pour gérer les clés d'accès](access-keys_required-permissions.md)
+ [Gestion par les utilisateurs IAM de leurs propres clés d’accès](access-key-self-managed.md)
+ [Gestion des clés d’accès d’un utilisateur IAM par un administrateur IAM](access-keys-admin-managed.md)
+ [Mise à jour des clés d’accès](id-credentials-access-keys-update.md)
+ [Sécurisation des clés d’accès](securing_access-keys.md)
# Contrôler l’utilisation des clés d’accès en associant une politique en ligne à un utilisateur IAM
Nous recommandons, à titre de bonne pratique, que les [charges de travail utilisent des informations d’identification temporaires avec des rôles IAM](best-practices.md#bp-workloads-use-roles) pour accéder à AWS. Les utilisateurs IAM disposant de clés d’accès doivent se voir attribuer un accès de moindre privilège et bénéficier d’une [authentification multifactorielle (MFA)](id_credentials_mfa.md). Pour plus d’informations sur l’endossement des rôles IAM, consultez [Méthodes pour assumer un rôle](id_roles_manage-assume.md).
Toutefois, si vous créez un test de validation d’un service d’automatisation ou un autre cas d’utilisation à court terme, et que vous choisissez d’exécuter des charges de travail à l’aide d’un utilisateur IAM disposant de clés d’accès, nous vous recommandons d’[utiliser des conditions de politique pour restreindre davantage l’accès](best-practices.md#use-policy-conditions) aux informations d’identification de cet utilisateur IAM.
Dans cette situation, vous pouvez soit créer une politique à durée limitée qui fait expirer les informations d’identification après le délai spécifié, soit, si vous exécutez une charge de travail à partir d’un réseau sécurisé, utiliser une politique de restriction IP.
Pour ces deux cas d’utilisation, vous pouvez utiliser une politique en ligne associée à l’utilisateur IAM qui dispose des clés d’accès.
**Pour configurer une politique limitée dans le temps pour un utilisateur IAM**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, choisissez **Utilisateurs**, puis sélectionnez l’utilisateur pour le cas d’utilisation à court terme. Si vous n’avez pas encore créé l’utilisateur, vous pouvez [le créer](getting-started-workloads.md) maintenant.
1. Sur la page **Détails** de l’utilisateur, choisissez l’onglet **Autorisations**.
1. Sélectionnez **Ajouter des autorisations**, puis **Créer la politique en ligne**.
1. Dans la section **Éditeur de politiques**, sélectionnez **JSON** pour afficher l’éditeur JSON.
1. Dans l’éditeur JSON, saisissez la politique suivante en remplaçant la valeur de l’horodatage `aws:CurrentTime` par la date et l’heure d’expiration souhaitées :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"DateGreaterThan": {
"aws:CurrentTime": "2025-03-01T00:12:00Z"
}
}
}
]
}
```
------
Cette politique utilise l’effet `Deny` pour restreindre toutes les actions sur toutes les ressources après la date spécifiée. La condition `DateGreaterThan` compare l’heure actuelle avec l’horodatage que vous avez défini.
1. Sélectionnez **Suivant** pour accéder à la page **Vérifier et créer**. Dans **Détails de la politique**, sous **Nom de la politique**, saisissez un nom pour la politique, puis sélectionnez **Créer une politique**.
Une fois la politique créée, elle s’affiche dans l’onglet **Autorisations** de l’utilisateur. Lorsque l'heure actuelle est supérieure ou égale à l'heure spécifiée dans la politique, l'utilisateur n'aura plus accès aux AWS ressources. Veillez à informer les développeurs de charge de travail de la date d’expiration que vous avez spécifiée pour ces clés d’accès.
**Pour configurer une politique de restriction IP pour un utilisateur IAM**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, sélectionnez **Utilisateurs**, puis sélectionnez l’utilisateur qui exécutera la charge de travail à partir du réseau sécurisé. Si vous n’avez pas encore créé l’utilisateur, vous pouvez [le créer](getting-started-workloads.md) maintenant.
1. Sur la page **Détails** de l’utilisateur, choisissez l’onglet **Autorisations**.
1. Sélectionnez **Ajouter des autorisations**, puis **Créer la politique en ligne**.
1. Dans la section **Éditeur de politiques**, sélectionnez **JSON** pour afficher l’éditeur JSON.
1. Copiez la politique IAM suivante dans l'éditeur JSON et modifiez le public, les IPv6 adresses IPv4 ou les plages selon vos besoins. Vous pouvez utiliser [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/)pour déterminer votre adresse IP publique actuelle. Vous pouvez spécifier des adresses IP individuelles ou des plages d’adresses IP à l’aide de la notation oblique. Pour de plus amples informations, veuillez consulter [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip).
**Note**
Les adresses IP ne doivent pas être masquées par un VPN ou un serveur proxy.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid":"IpRestrictionIAMPolicyForIAMUser",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"203.0.113.0/24",
"2001:DB8:1234:5678::/64",
"203.0.114.1"
]
},
"BoolIfExists": {
"aws:ViaAWSService": "false"
}
}
}
]
}
```
------
Cet exemple de politique refuse l'utilisation des clés d'accès d'un utilisateur IAM lorsque cette politique est appliquée, sauf si la demande provient des réseaux (spécifiés en notation CIDR) « 203.0.113.0/24 », « 2001 : : 1234:5678 DB8 : :/64 » ou de l'adresse IP spécifique « 203.0.114.1 »
1. Sélectionnez **Suivant** pour accéder à la page **Vérifier et créer**. Dans **Détails de la politique**, sous **Nom de la politique**, saisissez un nom pour la politique, puis sélectionnez **Créer une politique**.
Une fois la politique créée, elle s’affiche dans l’onglet **Autorisations** de l’utilisateur.
Vous pouvez également appliquer cette politique en tant que politique de contrôle des services (SCP) à plusieurs AWS comptes. Nous vous recommandons d'utiliser une condition supplémentaire, `aws:PrincipalArn` afin que cette déclaration de politique ne s'applique qu'aux utilisateurs IAM des AWS comptes soumis à ce SCP. AWS Organizations La politique suivante inclut cette mise à jour :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"203.0.113.0/24",
"2001:DB8:1234:5678::/64",
"203.0.114.1"
]
},
"BoolIfExists": {
"aws:ViaAWSService": "false"
},
"ArnLike": {
"aws:PrincipalArn": "arn:aws:iam::*:user/*"
}
}
}
]
}
```
------
# Autorisations requises pour gérer les clés d'accès
**Note**
`iam:TagUser` est une autorisation facultative permettant d'ajouter et de modifier des descriptions pour la clé d'accès. Pour de plus amples informations, consultez [Balisage des utilisateurs IAM](id_tags_users.md).
Pour créer des clés d'accès pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateOwnAccessKeys",
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:GetUser",
"iam:ListAccessKeys",
"iam:TagUser"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
Pour mettre à jour des clés d'accès pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageOwnAccessKeys",
"Effect": "Allow",
"Action": [
"iam:CreateAccessKey",
"iam:DeleteAccessKey",
"iam:GetAccessKeyLastUsed",
"iam:GetUser",
"iam:ListAccessKeys",
"iam:UpdateAccessKey",
"iam:TagUser"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
}
]
}
```
------
# Gestion par les utilisateurs IAM de leurs propres clés d’accès
Les administrateurs IAM peuvent accorder aux utilisateurs IAM l’autorisation de gérer eux-mêmes leurs clés d’accès en attachant la politique décrite dans [Autorisations requises pour gérer les clés d'accès](access-keys_required-permissions.md).
Avec ces autorisations, l’utilisateur IAM peut utiliser les procédures suivantes pour créer, activer, désactiver et supprimer les clés d’accès associées à son nom d’utilisateur.
**Topics**
+ [Création d’une clé d’accès pour vous-même (console)](#Using_CreateAccessKey)
+ [Désactivation de votre clé d’accès (console)](#deactivate-access-key-seccreds)
+ [Activation de votre clé d’accès (console)](#activate-access-key-seccreds)
+ [Suppression de votre clé d’accès (console)](#delete-access-key-seccreds)
## Création d’une clé d’accès pour vous-même (console)
Si les autorisations appropriées vous ont été accordées, vous pouvez les utiliser AWS Management Console pour créer des clés d'accès pour vous-même.
**Pour créer vos propres clés d’accès (console)**
1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.
Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.
1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Dans la section **Clés d’accès**, choisissez **Créer une clé d’accès**. Si vous avez déjà deux clés d'accès, ce bouton est désactivé et vous devez supprimer une clé d'accès avant de pouvoir en créer une nouvelle.
1. Sur la page des **bonnes pratiques et alternatives en matière de clés d'accès**, choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez **Other** (Autre), puis **Next** (Suivant).
1. (Facultatif) Définissez une valeur de balise de description pour la clé d'accès. Cela permet d'ajouter une paire clé-valeur de balise à votre utilisateur IAM. Cela peut vous aider à identifier et à mettre à jour les clés d'accès par la suite. La clé de balise est définie sur l'identifiant de la clé d'accès. La valeur de balise est définie selon la description de la clé d'accès que vous spécifiez. Lorsque vous avez terminé, sélectionnez **Create access key** (Créer la clé d'accès).
1. Sur la page **Retrieve access keys** (Récupérer les clés d'accès), choisissez **Show** (Afficher) (pour révéler la valeur de la clé d'accès secrète de votre utilisateur) ou **Download .csv file** (Télécharger le fichier .csv). C'est le seul moment où vous pouvez enregistrer votre clé d'accès secrète. Après avoir enregistré votre clé d'accès secrète dans un emplacement sécurisé, sélectionnez **Done** (Terminé).
## Désactivation de votre clé d’accès (console)
Si les autorisations appropriées vous ont été accordées, vous pouvez les utiliser AWS Management Console pour désactiver votre clé d'accès.
**Pour désactiver une clé d'accès**
1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.
Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.
1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Dans la section **Access keys** (Clés d'accès), recherchez la clé que vous souhaitez désactiver, puis choisissez **Actions**, puis **Deactivate** (Désactiver). À l'invite de confirmation, cliquez sur **Deactivate** (Désactiver). Une clé d'accès désactivée compte toujours dans votre limite de deux clés d'accès.
## Activation de votre clé d’accès (console)
Si vous avez obtenu les autorisations appropriées, vous pouvez utiliser le AWS Management Console pour activer votre clé d'accès.
**Pour activer une clé d'accès**
1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.
Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.
1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Dans la section **Access keys** (Clés d'accès), recherchez la clé que vous souhaitez activer, puis choisissez **Actions**, puis **Activate** (Activer).
## Suppression de votre clé d’accès (console)
Si les autorisations appropriées vous ont été accordées, vous pouvez les utiliser AWS Management Console pour supprimer votre clé d'accès.
**Pour supprimer une clé d'accès dont vous n'avez plus besoin**
1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.
Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.
1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Dans la section **Access keys** (Clés d'accès), recherchez la clé que vous souhaitez suprimer, puis choisissez **Actions**, puis **Delete** (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord **désactiver**, puis confirmer la suppression. Nous vous recommandons de vérifier que la clé d'accès n'est plus utilisée avant de la supprimer définitivement.
# Gestion des clés d’accès d’un utilisateur IAM par un administrateur IAM
Les administrateurs IAM peuvent créer, activer, désactiver et supprimer les clés d’accès associées à des utilisateurs IAM individuels. Ils peuvent également répertorier les utilisateurs IAM du compte qui possèdent des clés d’accès et localiser quel utilisateur IAM possède une clé d’accès spécifique.
**Topics**
+ [Pour créer une clé d’accès pour un utilisateur IAM](#admin-create-access-key)
+ [Pour désactiver une clé d’accès pour un utilisateur IAM](#admin-deactivate-access-key)
+ [Pour activer une clé d’accès pour un utilisateur IAM](#admin-activate-access-key)
+ [Pour supprimer une clé d’accès d’un utilisateur IAM](#admin-delete-access-key)
+ [Pour lister les clés d’accès d’un utilisateur IAM](#admin-list-access-key)
+ [Pour lister les clés d’accès d’un utilisateur IAM](#admin-list-access-key)
+ [Pour afficher toutes les clés d'accès IDs des utilisateurs de votre compte](#admin-list-all-access-keys)
+ [Pour rechercher un utilisateur à l’aide d’un ID de clé d’accès](#admin-find-user-access-keys)
+ [Pour recherche l’utilisation la plus récente d’un ID de clé d’accès](#admin-find-most-recent-use-access-keys)
## Pour créer une clé d’accès pour un utilisateur IAM
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.
1. Dans l’onglet **Informations** d’identification, dans la section **Clés d’accès**, sélectionnez **Créer une clé d’accès**.
Si le bouton est désactivé, vous devez supprimer l'une des clés existantes avant de pouvoir en créer une nouvelle.
1. Sur la page **Bonnes pratiques et alternatives en matière de clés d'accès**, passez en revue les bonnes pratiques et alternatives. Choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme.
1. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez **Other** (Autre), puis **Next** (Suivant).
1. **(Facultatif)** Sur la page **Définir une balise de description**, vous pouvez ajouter une balise de description à la clé d’accès pour faciliter le suivi de votre clé d’accès. Sélectionnez **Créer une clé d’accès**.
1. Sur la page **Retrieve access key page** (Récupérer les clés d'accès), choisissez **Show** (Afficher) pour révéler la valeur de la clé d'accès secrète de votre utilisateur.
1. Pour enregistrer l'ID de clé d'accès et la clé d'accès secrète dans un fichier `.csv`, dans un emplacement sécurisé sur votre ordinateur, sélectionnez le bouton **Download .csv file** (Télécharger un fichier .csv).
**Important**
Ce sera votre seule occasion de consulter ou télécharger la clé d’accès nouvellement créée et vous ne pourrez pas la récupérer. Assurez-vous de conserver votre clé d’accès en sécurité.
Lorsque vous créez une clé d'accès pour votre utilisateur, cette paire de clés est activée par défaut et votre utilisateur peut immédiatement l'utiliser.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
------
#### [ API ]
Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)
------
## Pour désactiver une clé d’accès pour un utilisateur IAM
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.
1. Dans l’onglet **Informations d’identification de sécurité**, dans la section **Clés d’accès**, choisissez le menu déroulant **Actions**, puis sélectionnez **Désactiver**.
1. Dans la boîte de dialogue **Désactiver**, confirmez que vous souhaitez désactiver la clé d’accès en sélectionnant **Désactiver**
Une fois qu’une clé d’accès est désactivée, elle ne peut plus être utilisée par les appels d’API. Vous pouvez la réactiver si nécessaire.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)
------
#### [ API ]
Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)
------
## Pour activer une clé d’accès pour un utilisateur IAM
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.
1. Dans l’onglet **Informations d’identification de sécurité**, dans la section **Clés d’accès**, choisissez le menu déroulant **Actions**, puis sélectionnez **Activer**.
Une fois qu’une clé d’accès est activée, elle peut être utilisée par les appels d’API. Vous pouvez la désactiver à nouveau si nécessaire.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)
------
#### [ API ]
Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)
------
## Pour supprimer une clé d’accès d’un utilisateur IAM
Une fois qu’une clé d’accès a été désactivée, supprimez-la si elle n’est plus nécessaire.
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.
1. Dans l’onglet **Informations d’identification de sécurité**, dans la section **Clés d’accès**, choisissez le menu déroulant **Actions** pour la clé d’accès inactive, puis sélectionnez **Supprimer**.
1. Dans la boîte de dialogue **Supprimer**, confirmez que vous souhaitez supprimer la clé d’accès en saisissant son ID dans le champ de saisie de texte, puis en sélectionnant **Supprimer**.
Une fois que la clé d’accès est supprimée, elle ne peut pas être récupérée.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
------
#### [ API ]
Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
------
## Pour lister les clés d’accès d’un utilisateur IAM
Vous pouvez consulter la liste des clés d'accès IDs associées à un utilisateur IAM.
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.
1. Dans l’onglet **Informations d’identification de sécurité**, la section **Clés d’accès** répertorie les clés d’accès de l’utilisateur.
Chaque utilisateur IAM peut avoir deux clés d’accès.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)
------
#### [ API ]
Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
------
## Pour lister les clés d’accès d’un utilisateur IAM
Vous pouvez consulter la liste des clés d'accès IDs associées à un utilisateur IAM.
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.
1. Dans l'onglet **Informations d'identification de sécurité**, la section **Clés** d'accès répertorie la clé IDs d'accès de l'utilisateur, y compris le statut de chaque clé affichée.
**Note**
Seul l'ID de clé d'accès de l'utilisateur est visible. La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.
Chaque utilisateur IAM peut avoir deux clés d’accès.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)
------
#### [ API ]
Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html)
------
## Pour afficher toutes les clés d'accès IDs des utilisateurs de votre compte
Vous pouvez consulter la liste des clés d'accès IDs pour les utilisateurs de votre Compte AWS.
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.
1. Au besoin, ajoutez la colonne **ID de clé d'accès** à la table des utilisateurs en procédant comme suit :
1. Au-dessus de la table à l’extrême droite, choisissez l’icône des **Préférences** (![\[Preferences icon\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-settings-icon.console.png)).
1. Dans la boîte de dialogue **Préférences**, sous **Sélectionner les colonnes visibles**, activez l’**ID de clé d’accès**.
1. Choisissez **Confirmer** pour revenir à la liste des utilisateurs. La liste est mise à jour pour inclure l’ID de clé d’accès.
1. La colonne **ID de clé d’accès** indique l’état de chaque clé d’accès, suivi de son ID ; par exemple, **`Active - AKIAIOSFODNN7EXAMPLE`** ou **`Inactive - AKIAI44QH8DHBEXAMPLE`**.
Vous pouvez utiliser ces informations pour afficher et copier les clés d'accès IDs des utilisateurs possédant une ou deux clés d'accès. La colonne affiche **`-`** pour les utilisateurs ne disposant pas d’une clé d’accès.
**Note**
La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.
Chaque utilisateur IAM peut avoir deux clés d’accès.
------
## Pour rechercher un utilisateur à l’aide d’un ID de clé d’accès
Vous pouvez utiliser un ID de clé d’accès pour rechercher un utilisateur dans votre Compte AWS.
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le volet de navigation, dans la zone de recherche, saisissez l’**ID de clé d’accès**, par exemple AKIAI44QH8DHBEXAMPLE.
1. L’utilisateur IAM auquel l’ID de clé d’accès est associé apparaît dans le volet de navigation. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.
------
## Pour recherche l’utilisation la plus récente d’un ID de clé d’accès
L’utilisation la plus récente d’une clé d’accès est affichée dans la liste des utilisateurs sur la page des utilisateurs IAM, sur la page détaillée de l’utilisateur, et fait partie du rapport d’informations d’identification.
------
#### [ Console ]
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans la liste des utilisateurs, consultez la colonne **Dernière utilisation de clé d’accès**.
Si la colonne n’est pas affichée, cliquez sur l’icône **Préférences** (![\[Preferences icon\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-settings-icon.console.png)) et sous **Sélectionner les colonnes visibles**, activez **Dernière utilisation de clé d’accès** pour afficher la colonne.
1. (facultatif) Dans le volet de navigation, sous **Rapports d’accès**, sélectionnez **Rapport d’informations d’identification** pour télécharger un rapport qui inclut les informations relatives aux dernières utilisations de clé d’accès pour tous les utilisateurs IAM de votre compte.
1. (facultatif) Sélectionnez l’utilisateur IAM pour afficher les détails de l’utilisateur. La section **Résumé** inclut la clé d'accès IDs, leur statut et la date de leur dernière utilisation.
------
#### [ AWS CLI ]
Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)
------
#### [ API ]
Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
------
# Mise à jour des clés d’accès
Comme [bonne pratique](best-practices.md#update-access-keys) en matière de sécurité, nous vous recommandons de mettre à jour les clés d'accès de l'utilisateur IAM en cas de besoin, par exemple lorsqu'un employé quitte votre entreprise. Les utilisateurs IAM peuvent mettre à jour leurs propres clés d'accès s'ils ont obtenu les autorisations nécessaires.
Pour plus d'informations concernant l'octroi aux utilisateurs IAM d'autorisations de mise à jour de leurs propres clés d'accès, veuillez consulter [AWS : autorise les utilisateurs IAM à gérer leurs propres mot de passe, clés d’accès et clés publiques SSH sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md). Vous pouvez également appliquer une politique de mots de passe à votre compte pour exiger que tous vos utilisateurs IAM mettent périodiquement à jour leurs mots de passe et la fréquence à laquelle ils doivent le faire. Pour de plus amples informations, veuillez consulter [Définition d’une politique de mot de passe du compte pour les utilisateurs IAM](id_credentials_passwords_account-policy.md).
**Note**
Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. La clé d’accès secrète ne peut être récupérée qu’au moment de sa création. Utilisez cette procédure pour désactiver puis remplacer les clés d’accès perdues par de nouvelles informations d’identification.
**Topics**
+ [Mise à jour des clés d'accès pour un utilisateur IAM (console)](#rotating_access_keys_console)
+ [Mise à jour des clés d'accès (AWS CLI)](#rotating_access_keys_cli)
+ [Mise à jour des clés d'accès (AWS API)](#rotating_access_keys_api)
## Mise à jour des clés d'accès pour un utilisateur IAM (console)
Vous pouvez mettre à jour les clés d'accès à partir de l' AWS Management Console.
**Pour mettre à jour les clés d'accès pour un utilisateur IAM sans interrompre vos applications (console)**
1. Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès.
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet **Informations d'identification de sécurité**.
1. Dans la section **Clés d'accès**, choisissez **Créer une clé d'accès**. Sur la page des **bonnes pratiques et alternatives en matière de clés d'accès**, choisissez **Other** (Autre), puis **Next** (Suivant).
1. (Facultatif) Définissez une valeur de balise de description pour la clé d'accès afin d'ajouter une paire clé-valeur de balise à cet utilisateur IAM. Cela peut vous aider à identifier et à mettre à jour les clés d'accès par la suite. La clé de balise est définie sur l'identifiant de la clé d'accès. La valeur de balise est définie selon la description de la clé d'accès que vous spécifiez. Lorsque vous avez terminé, sélectionnez **Create access key** (Créer la clé d'accès).
1. Sur la page **Retrieve access keys** (Récupérer les clés d'accès), choisissez **Show** (Afficher) (pour révéler la valeur de la clé d'accès secrète de votre utilisateur) ou **Download .csv file** (Télécharger le fichier .csv). C'est le seul moment où vous pouvez enregistrer votre clé d'accès secrète. Après avoir enregistré votre clé d'accès secrète dans un emplacement sécurisé, sélectionnez **Done** (Terminé).
Lorsque vous créez une clé d'accès pour votre utilisateur, cette paire de clés est activée par défaut et votre utilisateur peut immédiatement l'utiliser. À ce stade, l'utilisateur dispose de deux clés d'accès actives.
1. Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.
1. Déterminez si la première clé d'accès est toujours utilisée en consultant les informations **Dernière utilisation** de la clé d'accès la plus ancienne. Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.
1. Même si la valeur des informations **Dernière utilisation** indique que l'ancienne clé n'a jamais été utilisée, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. À la place, sélectionnez **Actions**, puis **Deactivate** (Désactiver) pour désactiver la première clé d'accès.
1. Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. Toutes les applications et tous les outils qui utilisent encore la clé d'accès d'origine cesseront de fonctionner à ce stade car ils n'ont plus accès aux AWS ressources. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez réactiver la première clé d'accès. Revenez ensuite à [Step 3](#id_credentials_access-keys-key-still-in-use) et mettez à jour cette application afin d'utiliser la nouvelle clé.
1. Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès:
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet **Informations d'identification de sécurité**.
1. Dans la section **Access keys** (Clés d'accès) correspondant à la clé d'accès que vous souhaitez supprimer, choisissez **Actions**, puis **Delete** (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord **désactiver**, puis confirmer la suppression.
**Pour déterminer quelles clés d'accès doivent être mises à jour ou supprimées (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Au besoin, ajoutez la colonne **Access key age (Âge de la clé d'accès)** à la table des utilisateurs en procédant comme suit :
1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres (![\[Settings icon\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-settings-icon.console.png)).
1. Dans **Manage columns (Gérer les colonnes)**, sélectionnez **Access key age (Âge de la clé d'accès)**.
1. Choisissez **Fermer** pour revenir à la liste des utilisateurs.
1. La colonne **Access key age (Âge de la clé d'accès)** affiche le nombre de jours écoulés depuis la création de la clé d'accès active la plus ancienne. Vous pouvez utiliser ces informations pour trouver les utilisateurs dont les clés d'accès doivent être mises à jour ou supprimées. La colonne affiche **Aucun** pour les utilisateurs sans clé d'accès.
## Mise à jour des clés d'accès (AWS CLI)
Vous pouvez mettre à jour les clés d'accès à partir de l' AWS Command Line Interface.
**Pour mettre à jour les clés d'accès sans interrompre vos applications (AWS CLI)**
1. Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès qui est active par défaut. Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
À ce stade, l'utilisateur dispose de deux clés d'accès actives.
1. Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.
1. Déterminez si la première clé d'accès est toujours utilisée à l'aide de cette commande :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)
Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.
1. Même si l'étape [Step 3](#step-determine-use) n'indique aucune utilisation de l'ancienne clé, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. Définissez plutôt l'état de la première clé d'accès sur `Inactive` à l'aide de cette commande :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)
1. Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. Toutes les applications et tous les outils qui utilisent encore la clé d'accès d'origine cesseront de fonctionner à ce stade car ils n'ont plus accès aux AWS ressources. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez définir à nouveau son état sur `Active` pour réactiver la première clé d'accès. Revenez ensuite à l'étape [Step 2](#step-update-apps) et mettez à jour cette application afin d'utiliser la nouvelle clé.
1. Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès à l'aide de cette commande :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)
## Mise à jour des clés d'accès (AWS API)
Vous pouvez mettre à jour les clés d'accès à l'aide de l' AWS API.
**Pour mettre à jour les clés d'accès sans interrompre vos applications (AWS API)**
1. Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès qui est active par défaut. Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)
À ce stade, l'utilisateur dispose de deux clés d'accès actives.
1. Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.
1. Déterminez si la première clé d'accès est toujours utilisée en appelant cette opération :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)
Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.
1. Même si l'étape [Step 3](#step-determine-use-2) n'indique aucune utilisation de l'ancienne clé, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. Définissez plutôt l'état de la première clé d'accès sur `Inactive` en appelant cette opération :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)
1. Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. Toutes les applications et tous les outils qui utilisent encore la clé d'accès d'origine cesseront de fonctionner à ce stade car ils n'ont plus accès aux AWS ressources. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez définir à nouveau son état sur `Active` pour réactiver la première clé d'accès. Revenez ensuite à l'étape [Step 2](#step-update-apps-2) et mettez à jour cette application afin d'utiliser la nouvelle clé.
1. Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès en appelant cette opération :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)
# Sécurisation des clés d’accès
Toute personne disposant de vos clés d'accès a le même niveau d'accès à vos AWS ressources que vous. Par conséquent, AWS elle met tout en œuvre pour protéger vos clés d'accès et, conformément à notre [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/), vous devriez faire de même.
Développez les sections suivantes pour obtenir des conseils qui vous aideront à protéger vos clés d'accès.
**Note**
Votre organisation peut avoir des exigences de sécurité et des stratégies différentes de celles décrites dans cette rubrique. Les suggestions fournies ici doivent être considérées comme des directives générales.
## Supprimer (ou ne pas générer) les clés Utilisateur racine d'un compte AWS d'accès
**Le meilleur moyen de protéger votre compte est de n'avoir aucune clé d'accès pour votre Utilisateur racine d'un compte AWS.** À moins d'avoir impérativement besoin des clés d'accès de l'utilisateur root (ce qui est rare), il est préférable de ne pas les générer. Créez plutôt un utilisateur administratif pour les tâches administratives quotidiennes. AWS IAM Identity Center Pour plus d'informations sur la création d'un utilisateur administratif dans IAM Identity Center, voir [Getting started](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) dans le guide de l'utilisateur d'*IAM Identity* Center.
Si vous disposez déjà de clés d'accès d'utilisateur root pour votre compte, nous vous recommandons ce qui suit : recherchez dans vos applications les endroits où vous utilisez actuellement des clés d'accès (le cas échéant) et remplacez les clés d'accès de l'utilisateur root par celles de l'utilisateur IAM. Ensuite, désactivez et supprimez les clés d'accès de l'utilisateur root. Pour plus d'informations sur les modalités de mise à jour des clés d'accès, veuillez consulter [Mise à jour des clés d’accès](id-credentials-access-keys-update.md).
## Utiliser les informations d'identification de sécurité temporaires (rôles IAM) au lieu des clés d'accès à long terme
Dans de nombreux cas, vous n'avez pas besoin d'une clé d'accès à long terme qui n'expire jamais (comme dans le cas d'un utilisateur IAM). Au lieu de cela, vous pouvez créer des rôles IAM et générer des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires consistent en un ID de clé d'accès et une clé d'accès secrète, mais elles comprennent également un jeton de sécurité qui indique la date d'expiration des informations d'identification.
Les clés d'accès à long terme, telles que celles associées aux utilisateurs IAM et à l'utilisateur root, demeurent valides jusqu'à ce que vous les révoquiez manuellement. Toutefois, les informations d'identification de sécurité temporaires obtenues via les rôles IAM et d'autres fonctionnalités de l'IAM AWS Security Token Service expirent après un court laps de temps. Utilisez les informations d'identification de sécurité temporaires pour vous aider à réduire les risques en cas de compromission accidentelle des informations d'identification.
Utilisez un rôle IAM et les informations d'identification de sécurité temporaires dans les cas suivants :
+ **Vous avez une application ou AWS CLI des scripts exécutés sur une instance Amazon EC2.** N'utilisez pas les clés d'accès directement dans votre application. Ne transmettez pas les clés d'accès à l'application, ne les intégrez pas à l'application et ne laissez pas l'application les lire depuis n'importe quelle source. Définissez plutôt un rôle IAM qui dispose des autorisations adéquates pour votre application et lancez l'instance Amazon Elastic Compute Cloud (Amazon EC2) avec des [rôles pour EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Cela permet d'associer un rôle IAM à l'instance Amazon EC2. Cette pratique permet également à l'application d'obtenir des informations d'identification de sécurité temporaires qu'elle peut à son tour utiliser pour effectuer des appels à AWS. Le AWS SDKs et le AWS Command Line Interface (AWS CLI) peuvent obtenir automatiquement des informations d'identification temporaires à partir du rôle.
+ **Vous devez accorder l'accès entre comptes.** Utilisez un rôle IAM pour établir une relation d'approbation entre les comptes, puis accordez aux utilisateurs d'un compte des autorisations limitées pour accéder au compte approuvé. Pour de plus amples informations, veuillez consulter [Tutoriel IAM : déléguer l'accès entre AWS comptes à l'aide de rôles IAM](tutorial_cross-account-with-roles.md).
+ **Vous disposez d'une application mobile.** N'intégrez pas les clés d'accès à l'application, même dans un espace de stockage chiffré. Au lieu de cela, utilisez [Amazon Cognito](https://aws.amazon.com/cognito/) pour gérer les identités de l'utilisateur dans votre application. Ce service vous permet d'authentifier les utilisateurs à l'aide de Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC). Vous pouvez ensuite utiliser le fournisseur d'informations d'identification d'Amazon Cognito pour gérer les informations d'identification que votre application utilise pour effectuer des requêtes à AWS.
+ **Vous souhaitez vous fédérer dans le protocole SAML AWS 2.0 et votre organisation le prend en charge.** Si vous travaillez pour une organisation disposant d'un fournisseur d'identité prenant en charge SAML 2.0, configurez le fournisseur pour qu'il utilise SAML. Vous pouvez utiliser le protocole SAML pour échanger des informations d'authentification avec un ensemble d'informations d'identification de sécurité temporaires AWS et en récupérer un. Pour de plus amples informations, veuillez consulter [Fédération SAML 2.0](id_roles_providers_saml.md).
+ **Vous souhaitez vous fédérer dans un magasin d'identités sur site AWS et votre organisation dispose d'un magasin d'identités.** Si les utilisateurs peuvent s'authentifier au sein de votre organisation, vous pouvez créer une application qui peut leur délivrer des informations d'identification de sécurité temporaires pour accéder aux AWS ressources. Pour de plus amples informations, veuillez consulter [Permettre à un courtier d'identité personnalisé d'accéder à la AWS console](id_roles_providers_enable-console-custom-url.md).
+ **Utilisez les conditions des politiques IAM pour n’autoriser l’accès qu’à partir des réseaux attendus.** Vous pouvez limiter où et comment vos clés d'accès sont utilisées en mettant en œuvre des [politiques IAM avec des conditions](reference_policies_elements_condition_operators.md) qui spécifient et n'autorisent que les réseaux attendus, tels que vos adresses IP publiques ou vos clouds privés virtuels (VPCs). De cette façon, vous savez que les clés d’accès ne peuvent être utilisées qu’à partir de réseaux attendus et acceptables.
**Note**
Utilisez-vous une instance Amazon EC2 avec une application qui nécessite un accès programmatique aux ressources ? AWS Dans ce cas, utilisez les [rôles IAM pour EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).
## Gérer correctement les clés d'accès d'un utilisateur IAM
Si vous devez créer des clés d'accès pour un accès programmatique AWS, créez-les pour les utilisateurs IAM, en leur accordant uniquement les autorisations dont ils ont besoin.
Respectez les précautions suivantes pour protéger les clés d'accès des utilisateurs IAM :
+ **N'intégrez pas de clés d'accès directement dans le code.** Les outils de [ligne de AWS commande [AWS SDKs](https://aws.amazon.com/tools/#sdk)et les outils](https://aws.amazon.com/tools/#cli) de ligne de commande vous permettent de placer les clés d'accès à des emplacements connus afin de ne pas avoir à les conserver dans le code.
Placez les clés d'accès à l'un des emplacements suivants :
+ **Le fichier AWS d'informations d'identification.** Les AWS SDKs et utilisent AWS CLI automatiquement les informations d'identification que vous stockez dans le fichier AWS d'informations d'identification.
Pour plus d'informations sur l'utilisation du fichier AWS d'informations d'identification, consultez la documentation de votre SDK. Les exemples incluent [Définir les AWS informations d'identification et la région](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) dans le *guide du AWS SDK pour Java développeur* et les [fichiers de configuration et d'identification](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) dans le *guide de l'AWS Command Line Interface utilisateur*.
Pour stocker les informations d'identification des AWS SDK pour .NET et AWS Tools for Windows PowerShell, nous vous recommandons d'utiliser le SDK Store. Pour plus d'informations, veuillez consulter la rubrique [Using the SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) dans le *Guide du développeur AWS SDK pour .NET *.
+ **Variables d'environnement.** Sur un système à locataires multiples, choisissez des variables d'environnement utilisateur, et non pas des variables d'environnement système.
Pour plus d'informations sur l'utilisation des variables d'environnement pour stocker les informations d'identification, veuillez consulter la rubrique [Environment Variables](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) dans le *Guide de l'utilisateur AWS Command Line Interface *.
+ **Utilisez des clés d'accès différentes pour chaque application.** Procédez ainsi afin de pouvoir isoler les autorisations et révoquer les clés d'accès pour des applications individuelles si elles sont compromises. Le fait d'avoir des clés d'accès distinctes pour différentes applications génère également des entrées distinctes dans les fichiers journaux [AWS CloudTrail](https://aws.amazon.com/cloudtrail/). Cette configuration vous permet d'identifier plus facilement quelle application a effectué des actions spécifiques.
+ **Mettez à jour les clés d'accès en cas de besoin.** Si la clé d'accès risque d'être compromise, mettez-la à jour et supprimez la clé d'accès précédente. Pour plus d’informations, consultez [Mise à jour des clés d’accès](id-credentials-access-keys-update.md).
+ **Supprimez les clés d'accès inutilisées.** Si un utilisateur quitte votre organisation, supprimez l'utilisateur IAM correspondant afin qu'il ne puisse plus accéder à vos ressources. Pour savoir quand une clé d'accès a été utilisée pour la dernière fois, utilisez l'[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)API (AWS CLI command : [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)).
+ **Utilisez des informations d'identification temporaires et configurez l'authentification multifactorielle pour vos opérations d'API les plus sensibles.** Avec les politiques IAM, vous pouvez spécifier quelles opérations d'API un utilisateur est autorisé à appeler. Dans certains cas, vous souhaiterez peut-être bénéficier d'une sécurité supplémentaire en exigeant que les utilisateurs soient authentifiés par le biais de la AWS MFA avant de les autoriser à effectuer des actions particulièrement sensibles. Par exemple, vous disposez peut-être d'une politique qui autorise l'utilisateur à exécuter les actions Amazon EC2 `RunInstances`, `DescribeInstances` et `StopInstances`. Mais vous souhaiterez peut-être restreindre une action destructrice telle que `TerminateInstances` et vous assurer que les utilisateurs ne peuvent effectuer cette action que s'ils s'authentifient auprès d'un périphérique AWS MFA. Pour de plus amples informations, veuillez consulter [Accès sécurisé aux API avec MFA](id_credentials_mfa_configure-api-require.md).
## Accédez à l'application mobile à l'aide des touches AWS d'accès
Vous pouvez accéder à un ensemble limité de AWS services et de fonctionnalités à l'aide de l'application AWS mobile. L'application mobile vous aide à prendre en charge la réponse aux incidents pendant vos déplacements. Pour de plus amples informations et pour télécharger l'application, veuillez consulter [Console AWS pour les applications mobiles](https://aws.amazon.com/console/mobile/).
Vous pouvez vous connecter à l'application mobile à l'aide du mot de passe de votre console ou de vos clés d'accès. En guise de bonne pratique, n'utilisez pas les clés d'accès de l'utilisateur root. Nous vous recommandons vivement, en plus d'utiliser un mot de passe ou un verrou biométrique sur votre appareil mobile, de créer un utilisateur IAM spécifiquement chargé de gérer les AWS ressources à l'aide de l'application mobile. Si vous perdez votre appareil mobile, vous pouvez supprimer l'accès de l'utilisateur IAM.
**Pour vous connecter à l'aide des clés d'accès (application mobile)**
1. Ouvrez l'application sur votre appareil mobile.
1. Si c'est la première fois que vous ajoutez une identité à l'appareil, choisissez **Ajouter une identité**, puis cliquez sur **Clés d'accès**.
Si vous vous êtes déjà connecté à l'aide d'une autre identité, choisissez l'icône de menu et choisissez **Changer d'identité**. Choisissez ensuite **Se connecter en tant qu'identité différente**, puis **Clés d'accès**.
1. Sur la page **Clés d'accès**, saisissez vos informations :
+ **ID de clé d'accès** : saisissez votre ID de clé d'accès.
+ **Clé d'accès secrète** : saisissez votre clé d'accès secrète.
+ **Nom de l'identité** : saisissez le nom de l'identité qui apparaîtra dans l'application mobile. Elle ne doit pas nécessairement correspondre à votre nom d'utilisateur IAM.
+ **Code PIN d'identité** : créez un numéro d'identification personnel (PIN) que vous utiliserez pour les prochaines connexions.
**Note**
Si vous activez la biométrie pour l'application AWS mobile, vous serez invité à utiliser votre empreinte digitale ou votre reconnaissance faciale pour la vérification au lieu du code PIN. Si la biométrie échoue, vous pouvez être invité à entrer le code PIN à la place.
1. Choisissez **Vérifier et ajouter des clés**.
Vous pouvez désormais accéder à un ensemble sélectionné de vos ressources à l'aide de l'application mobile.
## Informations connexes
Les rubriques suivantes fournissent des conseils pour configurer AWS SDKs et utiliser AWS CLI les clés d'accès :
+ [Définissez AWS les informations d'identification et la région](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) dans le *guide du AWS SDK pour Java développeur*
+ [Using the SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) dans le *Guide du développeur AWS SDK pour .NET *
+ [Providing Credentials to the SDK](https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html) dans le *Guide du développeur AWS SDK pour PHP *
+ [Configuration](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#configuration) dans la documentation de Boto 3 (AWS SDK pour Python)
+ [Using AWS Credentials](https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html) dans le *Guide de l'utilisateur AWS Tools for Windows PowerShell *
+ [Configuration and credential files](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) dans le *Guide de l'utilisateur AWS Command Line Interface *
+ [Granting access using an IAM role](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html) dans le *Guide du développeur AWS SDK pour .NET *
+ [Configure IAM roles for Amazon EC2](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html) dans le *AWS SDK for Java 2.x*
## Utilisation des clés d’accès et des informations d’identification de clé secrète pour l’accès à la console
Il est possible d’utiliser des informations d’identification de clé d’accès et de clé secrète pour un accès à l’ AWS Management Console direct, et pas seulement l’ AWS CLI. Cela peut être réalisé à l'aide de l'appel d' AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)API. En créant une URL de console à l’aide des informations d’identification temporaires et du jeton fournis par `GetFederationToken`, les principaux IAM peuvent accéder à la console. Pour de plus amples informations, veuillez consulter [Permettre à un courtier d'identité personnalisé d'accéder à la AWS console](id_roles_providers_enable-console-custom-url.md).
Il convient de préciser que lorsque vous vous connectez directement à la console à l’aide des informations d’identification IAM ou utilisateur racine avec la MFA activée, cette dernière sera requise. Toutefois, si la méthode décrite ci-dessus (en utilisant des informations d’identification temporaires avec `GetFederationToken`) est utilisée, la MFA ne sera PAS requise.
## Audit des clés d'accès
Vous pouvez vérifier les clés AWS d'accès contenues dans votre code pour déterminer si elles proviennent d'un compte que vous possédez. Vous pouvez transmettre un identifiant de clé d'accès à l'aide de la [https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html) AWS CLI commande ou de l'opération [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html) AWS API.
Les opérations AWS CLI et AWS API renvoient l'ID du Compte AWS auquel appartient la clé d'accès. Les clés d'accès IDs commençant par `AKIA` sont des informations d'identification à long terme pour un utilisateur IAM ou un Utilisateur racine d'un compte AWS. Les clés d'accès IDs commençant par `ASIA` sont des informations d'identification temporaires créées à l'aide d' AWS STS opérations. Si le compte de la réponse vous appartient, vous pouvez vous connecter en tant qu'utilisateur racine et vérifier vos clés d'accès d'utilisateur racine. Ensuite, vous pouvez extraire un [rapport d'informations d'identification](id_credentials_getting-report.md) pour savoir quel utilisateur IAM possède les clés. Pour savoir qui a demandé les informations d'identification temporaires pour une clé d'`ASIA`accès, consultez les AWS STS événements dans vos CloudTrail journaux.
Pour des raisons de sécurité, vous pouvez [consulter AWS CloudTrail les journaux](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds) pour savoir qui a effectué une action dans AWS. Vous pouvez utiliser la clé de condition `sts:SourceIdentity` dans la politique d'approbation de rôle pour exiger des utilisateurs qu'ils spécifient une identité lorsqu'ils endossent un rôle. Par exemple, vous pouvez exiger que les utilisateurs IAM spécifient leur propre nom d'utilisateur comme identité de source. Cela peut vous aider à déterminer quel utilisateur a effectué une action spécifique dans AWS. Pour de plus amples informations, veuillez consulter [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity).
Cette opération n'indique pas l'état de la clé d'accès. La clé peut être active, inactive ou supprimée. Les clés actives peuvent ne pas avoir les autorisations nécessaires pour effectuer une opération. La fourniture d'une clé d'accès supprimée peut renvoyer une erreur indiquant que la clé n'existe pas.
# AWS Authentification multifactorielle dans IAM
Pour une sécurité accrue, nous vous recommandons de configurer l'authentification multifactorielle (MFA) afin de protéger AWS vos ressources. Vous pouvez activer le Utilisateur racine d'un compte AWS MFA pour tous Comptes AWS, y compris les comptes autonomes, les comptes de gestion et les comptes membres, ainsi que pour vos utilisateurs IAM. Nous vous recommandons d'utiliser des MFA résistants au hameçonnage, tels que des clés d'accès et des clés de sécurité, dans la mesure du possible. Ces authentificateurs basés sur Fido utilisent la cryptographie à clé publique et résistent au phishing et aux attaques par replay man-in-the-middle, offrant ainsi un niveau de sécurité supérieur à celui des options basées sur le TOTP.
La MFA est appliquée à tous les types de comptes pour leur utilisateur racine. Pour de plus amples informations, veuillez consulter [Sécurisez les identifiants de l'utilisateur root de votre AWS Organizations compte](root-user-best-practices.md#ru-bp-organizations).
Lorsque vous activez l'authentification MFA pour l'utilisateur root, cela affecte uniquement les informations d'identification de l'utilisateur root. Les utilisateurs IAM du compte sont des identités distinctes avec leurs propres informations d'identification, et chaque identité dispose de sa propre configuration MFA. Pour de plus amples informations sur l’utilisation de l’authentification multifactorielle (MFA) pour protéger l’utilisateur racine, veuillez consulter [Authentification multifactorielle pour Utilisateur racine d'un compte AWS](enable-mfa-for-root.md).
Vos utilisateurs Utilisateur racine d'un compte AWS et ceux d'IAM peuvent enregistrer jusqu'à huit appareils MFA de tout type. L’enregistrement de plusieurs dispositifs MFA peut apporter de la flexibilité et vous aider à réduire le risque d’interruption d’accès en cas de perte ou de panne d’un dispositif. Vous n’avez besoin que d’un seul dispositif MFA pour vous connecter à l’ AWS Management Console ou créer une session via l’ AWS CLI.
**Note**
Nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès AWS. Avez-vous envisagé d'en utiliser AWS IAM Identity Center ? Vous pouvez utiliser IAM Identity Center pour gérer de manière centralisée l'accès à plusieurs comptes Comptes AWS et fournir aux utilisateurs un accès par authentification unique protégé par le MFA à tous les comptes qui leur sont attribués à partir d'un seul endroit. Avec IAM Identity Center, vous pouvez créer et gérer les identités des utilisateurs dans IAM Identity Center ou vous connecter facilement à votre fournisseur d'identité compatible SAML 2.0 existant. Pour plus d'informations, consultez [Qu'est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l'utilisateur AWS IAM Identity Center *.
La MFA ajoute une sécurité supplémentaire qui oblige les utilisateurs à fournir une authentification unique à partir d'un mécanisme AWS MFA compatible en plus de leurs informations de connexion lorsqu'ils accèdent à des sites Web ou à des services. AWS
## Types MFA
AWS prend en charge les types de MFA suivants :
**Contents**
+ [Clés d’accès et clés de sécurité](#passkeys-security-keys-for-iam-users)
+ [Applications d’authentification virtuelle](#virtual-auth-apps-for-iam-users)
+ [Jetons TOTP matériels](#hardware-totp-token-for-iam-users)
### Clés d’accès et clés de sécurité
Gestion des identités et des accès AWS prend en charge les clés d'accès et les clés de sécurité pour la MFA. Basées sur les normes FIDO, les clés d'accès utilisent la cryptographie à clé publique pour fournir une authentification solide, résistante au hameçonnage et plus sécurisée que les mots de passe. AWS prend en charge deux types de clés d'accès : les clés d'accès liées à l'appareil (clés de sécurité) et les clés d'accès synchronisées.
+ **Clés de sécurité** : il s'agit de périphériques physiques YubiKey, tels que a, utilisés comme deuxième facteur d'authentification. Une clé de sécurité unique peut prendre en charge plusieurs comptes utilisateur racine et utilisateurs IAM.
+ **Clés d’accès synchronisées** : elles utilisent des gestionnaires d’informations d’identification provenant de fournisseurs tels que Google, Apple, Microsoft et de services tiers tels que 1Password, Dashlane et Bitwarden comme deuxième facteur.
Vous pouvez utiliser des authentificateurs biométriques intégrés, tels que Touch ID sur Apple MacBooks, pour déverrouiller votre gestionnaire d'identifiants et vous y connecter. AWS Les clés d’accès sont créées avec le fournisseur de votre choix à l’aide de votre empreinte digitale, de votre visage ou du code PIN de votre appareil. Vous pouvez utiliser une clé d’accès d’authentification entre appareils (CDA) provenant d’un appareil, comme un appareil mobile ou une clé de sécurité matérielle, pour vous connecter sur un autre appareil, tel qu’un ordinateur portable. Pour plus d’informations, consultez [Authentification entre appareils](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda) (CDA).
Vous pouvez synchroniser les clés d'accès sur tous vos appareils pour faciliter les connexions et améliorer la convivialité AWS et la récupérabilité. Pour plus d’informations sur l’activation des clés d’accès et des clés de sécurité, consultez [Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console)](enable-fido-mfa-for-root.md).
La FIDO Alliance tient à jour une liste de tous les [produits certifiés FIDO](https://fidoalliance.org/certification/fido-certified-products/) qui sont compatibles avec les spécifications FIDO.
### Applications d’authentification virtuelle
Une application d’authentification virtuelle s’exécute sur un téléphone ou un autre dispositif et émule un dispositif physique. Les applications d'authentification virtuelle mettent en œuvre l'algorithme TOTP ([mot de passe unique à durée limitée](https://datatracker.ietf.org/doc/html/rfc6238)) et prennent en charge plusieurs jetons sur un seul dispositif. L’utilisateur doit saisir un code valide à partir du dispositif lorsqu’il y est invité lors de la connexion. Chaque jeton attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code provenant du jeton d’un autre utilisateur pour s’authentifier.
Nous vous recommandons d'utiliser un MFA résistant au hameçonnage, [comme des clés d'accès ou des clés de sécurité](#passkeys-security-keys-for-iam-users), pour une protection optimale. Si vous n'êtes pas encore en mesure d'utiliser des clés d'accès ou des clés de sécurité, nous vous recommandons d'utiliser un dispositif MFA virtuel comme mesure provisoire en attendant l'approbation de l'achat du matériel ou en attendant l'arrivée de votre matériel. Pour obtenir une liste des applications que vous pouvez utiliser comme dispositifs MFA virtuels, consultez [Authentification multifactorielle (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).
Pour plus d’informations sur la configuration d’un dispositif MFA virtuel pour un utilisateur IAM, consultez [Attribuez un périphérique MFA virtuel dans le AWS Management Console](id_credentials_mfa_enable_virtual.md).
**Note**
Les appareils MFA virtuels non assignés sont supprimés lorsque vous ajoutez de nouveaux appareils MFA virtuels via ou pendant AWS Management Console le processus de connexion. Compte AWS Les dispositifs MFA virtuels non attribués sont des dispositifs présents dans votre compte, mais qui ne sont pas utilisés par l’utilisateur racine du compte ou les utilisateurs IAM pour le processus de connexion. Ils sont supprimés afin que de nouveaux dispositifs MFA virtuels puissent être ajoutés à votre compte. Cela vous permet également de réutiliser les noms des appareils.
Pour afficher les appareils MFA virtuels non assignés dans votre compte, vous pouvez utiliser [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI la commande [ou](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) l'appel d'API.
Pour désactiver un appareil MFA virtuel, vous pouvez utiliser [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI la commande [ou](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) l'appel d'API. Le dispositif ne sera plus attribué.
[Pour associer un appareil MFA virtuel non attribué à votre utilisateur root ou à Compte AWS vos utilisateurs IAM, vous aurez besoin du code d'authentification généré par l'appareil ainsi que de la commande ou de [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html)AWS CLI l'appel d'API.](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)
### Jetons TOTP matériels
Un dispositif matériel qui génère un code numérique à six chiffres basé sur l’[algorithme TOTP (mot de passe unique à durée limitée)](https://datatracker.ietf.org/doc/html/rfc6238). L'utilisateur doit saisir un code valide à partir du dispositif sur une deuxième page web lors de la connexion.
Ces jetons sont utilisés exclusivement avec Comptes AWS. Vous ne pouvez utiliser que des jetons dont les graines uniques sont partagées en toute sécurité avec AWS. Les graines de jetons sont des clés secrètes générées au moment de la production des jetons. Les jetons achetés auprès d’autres sources ne fonctionneront pas avec IAM. Pour garantir la compatibilité, vous devez acheter votre dispositif MFA matériel via l’un des liens suivants : [jeton OTP](https://www.amazon.com/SafeNet-IDProve-Time-based-6-Digit-Services/dp/B002CRN5X8) ou [carte d’affichage OTP](https://www.amazon.com/SafeNet-IDProve-Card-Amazon-Services/dp/B00J4NGUO4).
+ Chaque dispositif MFA attribué à un utilisateur doit être unique. Un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Pour plus d’informations sur les dispositifs MFA matériels pris en charge, consultez [Authentification multifactorielle (MFA)](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).
+ Si vous souhaitez utiliser un dispositif MFA physique, nous vous recommandons d’utiliser des clés de sécurité comme alternative aux dispositifs TOTP matériels. Les clés de sécurité ne nécessitent aucune pile, résistent au hameçonnage et prennent en charge plusieurs utilisateurs sur un seul dispositif.
Vous pouvez activer un mot de passe ou une clé de sécurité AWS Management Console uniquement à partir de l' AWS API AWS CLI or, et non de l'API. Avant d’activer une clé de sécurité, vous devez avoir un accès physique au dispositif.
Pour plus d’informations sur la configuration d’un jeton TOTP matériel pour un utilisateur IAM, consultez [Attribuez un jeton TOTP matériel dans le AWS Management Console](id_credentials_mfa_enable_physical.md).
**Note**
**MFA basée sur les SMS :** AWS fin de la prise en charge de l'activation de l'authentification multifactorielle par SMS (MFA). Nous recommandons aux clients dont les utilisateurs IAM utilisent un dispositif MFA basé sur les SMS de passer à l’une des méthodes alternatives suivantes : [clé d’accès ou clé de sécurité](id_credentials_mfa_enable_fido.md), [dispositif MFA (logiciel) virtuel](id_credentials_mfa_enable_virtual.md) ou [dispositif MFA matériel](id_credentials_mfa_enable_physical.md). Vous pouvez identifier les utilisateurs dans votre compte avec un dispositif MFA SMS affecté. Dans la console IAM, sélectionnez **Users** (Utilisateurs) dans le panneau de navigation, puis recherchez les utilisateurs avec **SMS** mentionné dans la colonne **MFA** de la table.
## Recommandations MFA
Pour sécuriser vos AWS identités, suivez ces recommandations relatives à l'authentification MFA.
+ Nous vous recommandons d'utiliser un MFA résistant au hameçonnage, comme des clés d'accès [et des clés de sécurité, comme](#passkeys-security-keys-for-iam-users) dispositif MFA. Ces authentificateurs basés sur Fido offrent la meilleure protection contre les attaques telles que le phishing.
+ Nous vous recommandons d'activer plusieurs appareils MFA pour les utilisateurs Utilisateur racine d'un compte AWS et IAM de votre. Comptes AWS Cela vous permet de relever la barre de sécurité de votre compte Comptes AWS et de simplifier la gestion de l'accès aux utilisateurs hautement privilégiés, tels que le Utilisateur racine d'un compte AWS.
+ Vous pouvez enregistrer jusqu'à **huit** appareils MFA de n'importe quelle combinaison des [types de MFA actuellement pris en charge auprès de vos Utilisateur racine d'un compte AWS utilisateurs et de ceux](https://aws.amazon.com/iam/features/mfa/) d'IAM. Avec plusieurs appareils MFA, vous n'avez besoin que d'un seul appareil MFA pour vous connecter AWS Management Console ou créer une session via cet utilisateur. AWS CLI Un utilisateur IAM doit s'authentifier avec un dispositif MFA existant pour activer ou désactiver un dispositif MFA supplémentaire.
+ En cas de perte, de vol ou d'inaccessibilité d'un appareil MFA, vous pouvez utiliser l'un des appareils MFA restants pour y accéder Compte AWS sans effectuer la procédure de récupération. Compte AWS En cas de perte ou de vol d'un dispositif MFA, celui-ci doit être dissocié du principal IAM auquel il est associé.
+ L'utilisation de plusieurs appareils MFAs permet à vos employés travaillant sur des sites géographiquement dispersés ou travaillant à distance d'utiliser le MFA basé sur le matériel pour y accéder AWS sans avoir à coordonner l'échange physique d'un seul appareil entre les employés.
+ L'utilisation de dispositifs MFA supplémentaires pour les principaux IAM vous permet d'en utiliser un ou plusieurs MFAs pour un usage quotidien, tout en conservant les dispositifs MFA physiques dans un emplacement physique sécurisé tel qu'un coffre-fort ou un coffre-fort pour la sauvegarde et la redondance.
**Remarques**
Vous ne pouvez pas transmettre les informations MFA relatives à une clé de sécurité ou à une clé d'accès aux opérations d' AWS STS API pour demander des informations d'identification temporaires. Vous pouvez obtenir des informations d'identification à utiliser avec AWS CLI et AWS SDKs lors de l'utilisation d'une clé de sécurité ou d'un mot de passe en exécutant la `aws login` commande.
Vous ne pouvez pas utiliser de AWS CLI commandes ou AWS d'opérations d'API pour activer les [clés de sécurité FIDO](id_credentials_mfa_enable_fido.md).
Vous ne pouvez pas utiliser le même nom pour plusieurs utilisateurs racine ou dispositif MFA IAM.
## Ressources supplémentaires
Les ressources suivantes peuvent vous aider à en savoir plus au sujet de la MFA.
+ Pour plus d'informations sur l'utilisation de la MFA pour accéder AWS, consultez. [Connexion compatible avec la MFA](console_sign-in-mfa.md)
+ Vous pouvez tirer parti d'IAM Identity Center pour permettre un accès MFA sécurisé à AWS votre portail d'accès, aux applications intégrées IAM Identity Center et au. AWS CLI Pour plus d’informations, consultez [Activation de la MFA dans IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-getting-started.html).
# Attribuez un mot de passe ou une clé de sécurité dans AWS Management Console
Les clés d'accès sont un type de [dispositif d'authentification multifactorielle (MFA)](id_credentials_mfa.md) que vous pouvez utiliser pour protéger vos ressources. AWS AWS prend en charge les clés d'accès synchronisées et les clés d'accès liées à l'appareil, également appelées clés de sécurité.
Les clés d’accès synchronisées permettent aux utilisateurs d’IAM d’accéder à leurs informations d’identification de connexion FIDO sur bon nombre de leurs appareils, même les plus récents, sans avoir à réinscrire chaque appareil sur chaque compte. Les clés d’accès synchronisées incluent des gestionnaires d’identifiants internes tels que Google, Apple et Microsoft et des gestionnaires d’identifiants tiers tels que 1Password, Dashlane et Bitwarden comme deuxième facteur. Vous pouvez également utiliser la biométrie intégrée à l’appareil (par exemple, TouchID, FaceID) pour déverrouiller le gestionnaire d’informations d’identification de votre choix afin qu’il utilise des clés d’accès.
D’autre part, les clés d’accès liées à l’appareil sont liées à une clé de sécurité FIDO que vous branchez sur un port USB de votre ordinateur, puis que vous touchez lorsque vous y êtes invité pour terminer le processus de connexion en toute sécurité. Si vous utilisez déjà une clé de sécurité FIDO avec d'autres services et que sa [configuration est AWS prise en charge](id_credentials_mfa_fido_supported_configurations.md) (par exemple, la série YubiKey 5 de Yubico), vous pouvez également l'utiliser avec. AWS Sinon, vous devez acheter une clé de sécurité FIDO si vous souhaitez l'utiliser WebAuthn pour l'entrée AWS MFA. De plus, les clés de sécurité FIDO peuvent prendre en charge plusieurs utilisateurs IAM ou utilisateurs racine sur le même appareil, ce qui améliore leur utilité pour la sécurité des comptes. Pour connaître les spécifications et les informations d'achat de ces deux types d'appareils, consultez [authentification multifacteur](https://aws.amazon.com/iam/details/mfa/).
Vous pouvez enregistrer jusqu'à **huit** appareils MFA de n'importe quelle combinaison des [types de MFA actuellement pris en charge auprès de vos Utilisateur racine d'un compte AWS utilisateurs et de ceux](https://aws.amazon.com/iam/features/mfa/) d'IAM. Avec plusieurs appareils MFA, vous n'avez besoin que d'un seul appareil MFA pour vous connecter AWS Management Console ou créer une session via cet utilisateur. AWS CLI Nous vous recommandons d'enregistrer plusieurs appareils MFA. Par exemple, vous pouvez enregistrer un authentificateur intégré ainsi qu'une clé de sécurité que vous conservez dans un endroit physiquement sûr. Si vous ne pouvez pas à utiliser votre authentificateur intégré, vous pouvez utiliser votre clé de sécurité enregistrée. Pour les applications d'authentification, nous recommandons également d'activer la fonctionnalité de sauvegarde ou de synchronisation dans le cloud dans ces applications afin d'éviter de perdre l'accès à votre compte si vous perdez ou cassez votre appareil avec les applications d'authentification.
**Note**
Nous vous recommandons de demander à vos utilisateurs humains d'utiliser des informations d'identification temporaires lors de l'accès à AWS. Vos utilisateurs peuvent se fédérer AWS auprès d'un fournisseur d'identité où ils s'authentifient à l'aide de leurs identifiants d'entreprise et de leurs configurations MFA. Pour gérer l'accès aux applications professionnelles AWS et à celles-ci, nous vous recommandons d'utiliser IAM Identity Center. Pour plus d’informations, consultez le [Guide de l’utilisateur IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).
**Topics**
+ [Autorisations nécessaires](#enable-fido-mfa-for-iam-user-permissions-required)
+ [Activation d’une clé d’accès ou d’une clé de sécurité pour votre propre utilisateur IAM (console)](#enable-fido-mfa-for-own-iam-user)
+ [Activation d’une clé d’accès ou d’une clé de sécurité pour un autre utilisateur IAM (console)](#enable-fido-mfa-for-iam-user)
+ [Remplacement d’une clé d’accès ou d’une clé de sécurité](#replace-fido-mfa)
+ [Configurations prises en charge pour l’utilisation des clés d’accès et des clés de sécurité](id_credentials_mfa_fido_supported_configurations.md)
## Autorisations nécessaires
Pour gérer une clé d’accès FIDO pour votre propre utilisateur IAM tout en protégeant les actions sensibles liées à MFA, vous devez disposer des autorisations de la politique suivante :
**Note**
Les valeurs ARN sont des valeurs statiques et n'indiquent pas le protocole qui a été utilisé pour enregistrer l'authentificateur. Nous avons déconseillé U2F, donc toutes les nouvelles implémentations l'utilisent. WebAuthn
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
## Activation d’une clé d’accès ou d’une clé de sécurité pour votre propre utilisateur IAM (console)
Vous pouvez activer une clé d'accès ou une clé de sécurité pour votre propre utilisateur IAM AWS Management Console uniquement, et non depuis l'API AWS CLI or AWS . Avant d’activer une clé de sécurité, vous devez avoir un accès physique au dispositif.
**Pour activer une clé d’accès ou une clé de sécurité pour votre propre utilisateur IAM (console)**
1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.
Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.
1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).
![\[AWS Management Console Lien vers les identifiants de sécurité\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Sur la page de l’utilisateur IAM sélectionné, choisissez l’onglet **Informations d’identification de sécurité**.
1. Dans la section **Multi-Factor Authentication (MFA)** (Authentification multifactorielle (MFA)), sélectionnez **Assign MFA device** (Attribuer un dispositif MFA).
1. Sur la page **Nom du dispositif MFA**, saisissez un **Nom du dispositif**, choisissez **Clé d’accès ou Clé de sécurité**, puis choisissez **Suivant**.
1. Dans **Configurer le dispositif**, configurez votre clé d’accès. Créez une clé d’accès avec des données biométriques telles que votre visage ou votre empreinte digitale, avec le code PIN d’un appareil, ou en insérant la clé de sécurité FIDO dans le port USB de votre ordinateur et en la touchant.
1. Suivez les instructions de votre navigateur, puis choisissez **Continuer**.
Vous avez maintenant enregistré votre clé d'accès ou votre clé de sécurité pour une utilisation avec AWS. Pour plus d'informations sur l'utilisation de la MFA avec le AWS Management Console, consultez. [Connexion compatible avec la MFA](console_sign-in-mfa.md)
## Activation d’une clé d’accès ou d’une clé de sécurité pour un autre utilisateur IAM (console)
Vous pouvez activer une clé d'accès ou une sécurité pour un autre utilisateur IAM AWS Management Console uniquement, et non depuis l'API AWS CLI or AWS .
**Pour activer une clé d’accès ou une clé de sécurité pour un autre utilisateur IAM (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Sous **Utilisateurs**, choisissez le nom de l’utilisateur pour lequel vous souhaitez activer l’authentification MFA.
1. Sur la page de l’utilisateur IAM sélectionné, choisissez l’onglet **Informations d’identification de sécurité**.
1. Dans la section **Multi-Factor Authentication (MFA)** (Authentification multifactorielle (MFA)), sélectionnez **Assign MFA device** (Attribuer un dispositif MFA).
1. Sur la page **Nom du dispositif MFA**, saisissez un **Nom du dispositif**, choisissez **Clé d’accès ou Clé de sécurité**, puis choisissez **Suivant**.
1. Dans **Configurer le dispositif**, configurez votre clé d’accès. Créez une clé d’accès avec des données biométriques telles que votre visage ou votre empreinte digitale, avec le code PIN d’un appareil, ou en insérant la clé de sécurité FIDO dans le port USB de votre ordinateur et en la touchant.
1. Suivez les instructions de votre navigateur, puis choisissez **Continuer**.
Vous avez maintenant enregistré une clé d’accès ou une clé de sécurité utilisable avec AWS pour un autre utilisateur IAM. Pour plus d'informations sur l'utilisation de la MFA avec le AWS Management Console, consultez. [Connexion compatible avec la MFA](console_sign-in-mfa.md)
## Remplacement d’une clé d’accès ou d’une clé de sécurité
Vous pouvez attribuer à un utilisateur jusqu'à huit dispositifs MFA de n'importe quelle combinaison des [types MFA actuellement](https://aws.amazon.com/iam/features/mfa/) pris en charge, en même temps que vos Utilisateur racine d'un compte AWS utilisateurs et ceux d'IAM. Si l'utilisateur perd un authentificateur FIDO ou a besoin de le remplacer pour une raison quelconque, vous devez tout d'abord désactiver l'ancien authentificateur FIDO. Vous pouvez alors ajouter un nouveau dispositif MFA pour l'utilisateur.
+ Pour désactiver le dispositif actuellement associé à un autre utilisateur IAM, veuillez consulter la rubrique [Désactivation d’un dispositif MFA](id_credentials_mfa_disable.md).
+ Pour ajouter une nouvelle clé de sécurité FIDO pour un utilisateur IAM, veuillez consulter [Activation d’une clé d’accès ou d’une clé de sécurité pour votre propre utilisateur IAM (console)](#enable-fido-mfa-for-own-iam-user).
Si vous n’avez pas accès à une nouvelle clé d’accès ou une nouvelle clé de sécurité, vous pouvez activer un nouveau dispositif MFA virtuel ou jeton TOTP matériel. Pour plus d'informations, consultez l'un des liens suivants :
+ [Attribuez un périphérique MFA virtuel dans le AWS Management Console](id_credentials_mfa_enable_virtual.md)
+ [Attribuez un jeton TOTP matériel dans le AWS Management Console](id_credentials_mfa_enable_physical.md)
# Configurations prises en charge pour l’utilisation des clés d’accès et des clés de sécurité
Vous pouvez utiliser des clés d'accès FIDO2 liées à l'appareil, également appelées clés de sécurité, comme méthode d'authentification multifactorielle (MFA) avec IAM en utilisant les configurations actuellement prises en charge. Il s'agit notamment FIDO2 des appareils compatibles avec IAM et des navigateurs compatibles FIDO2. Avant d'enregistrer votre FIDO2 appareil, vérifiez que vous utilisez la dernière version du navigateur et du système d'exploitation (OS). Les fonctionnalités peuvent se comporter différemment selon les navigateurs, les authentificateurs et les clients du système d’exploitation. Si l’enregistrement de votre dispositif échoue sur un navigateur, vous pouvez essayer de vous enregistrer avec un autre navigateur.
FIDO2 est une norme d'authentification ouverte et une extension de FIDO U2F, offrant le même haut niveau de sécurité basé sur la cryptographie à clé publique. FIDO2 comprend la spécification d'authentification Web (WebAuthn API) du W3C et le protocole FIDO Alliance (CTAP), un Client-to-Authenticator protocole de couche application. CTAP permet la communication entre le client ou la plateforme, comme un navigateur ou un système d'exploitation, avec un authentificateur externe. Lorsque vous activez un authentificateur certifié FIDO AWS, la clé de sécurité crée une nouvelle paire de clés à utiliser uniquement. AWS Tout d'abord, saisissez vos informations d'identification. Lorsque vous y êtes invité, insérez la clé de sécurité, qui répond au défi d’authentification émis par AWS. Pour en savoir plus sur la FIDO2 norme, consultez le [FIDO2projet](https://en.wikipedia.org/wiki/FIDO2_Project).
## FIDO2 appareils pris en charge par AWS
IAM prend en charge les dispositifs de FIDO2 sécurité qui se connectent à vos appareils via USB ou NFC. Bluetooth IAM prend également en charge les authentificateurs de plateforme comme TouchID ou FaceID. IAM ne prend pas en charge l’enregistrement de clés d’accès locales pour Windows Hello. Pour créer et utiliser des clés d’accès, les utilisateurs de Windows doivent utiliser l’[authentification entre appareils](https://passkeys.dev/docs/reference/terms/#cross-device-authentication-cda), qui consiste à utiliser une clé d’accès provenant d’un appareil, comme un appareil mobile, ou une clé de sécurité matérielle pour se connecter sur un autre appareil, tel qu’un ordinateur portable.
**Note**
AWS nécessite l'accès au port USB physique de votre ordinateur pour vérifier votre FIDO2 appareil. Les clés de sécurité ne fonctionnent pas avec une machine virtuelle, une connexion à distance ou le mode de navigation privée d’un navigateur.
L'Alliance FIDO tient à jour une liste de tous les [FIDO2produits](https://fidoalliance.org/certification/fido-certified-products/) compatibles avec les spécifications FIDO.
## Navigateurs compatibles FIDO2
La disponibilité des dispositifs de FIDO2 sécurité exécutés dans un navigateur Web dépend de la combinaison du navigateur et du système d'exploitation. Les navigateurs suivants prennent actuellement en charge l’utilisation de clés de sécurité :
****
| Navigateur Web | macOS 10.15\$1 | Windows 10 | Linux | iOS 14.5\$1 | Android 7\$1 |
| --- | --- | --- | --- | --- | --- |
| Chrome | Oui | Oui | Oui | Oui | Non |
| Safari | Oui | Non | Non | Oui | Non |
| Edge | Oui | Oui | Non | Oui | Non |
| Firefox | Oui | Oui | Non | Oui | Non |
**Note**
La plupart des versions de Firefox actuellement compatibles FIDO2 ne l'activent pas par défaut. Pour obtenir des instructions sur l'activation du FIDO2 support dans Firefox, consultez[Résolution des problèmes liés aux clés d’accès et aux clés de sécurité FIDO](troubleshoot_mfa-fido.md).
Firefox sur macOS peut ne pas prendre pleinement en charge les flux de travail d’authentification entre appareils pour les clés d’accès. Il se peut que vous soyez invité à toucher une clé de sécurité au lieu de procéder à une authentification entre appareils. Nous vous recommandons d’utiliser un autre navigateur, tel que Chrome ou Safari, pour vous connecter à l’aide de clés d’accès sur macOS.
Pour plus d'informations sur la prise en charge par navigateur pour un appareil FIDO2 certifié tel que YubiKey, voir [Support du système d'exploitation et du navigateur Web pour FIDO2 U2F](https://support.yubico.com/hc/en-us/articles/360016615020-Operating-system-and-web-browser-support-for-FIDO2-and-U2F).
### Plug-ins de navigateur
AWS ne prend en charge que les navigateurs compatibles nativement. FIDO2 AWS ne prend pas en charge l'utilisation de plugins pour ajouter FIDO2 le support du navigateur. Certains plugins de navigateur sont incompatibles avec la FIDO2 norme et peuvent entraîner des résultats inattendus avec les clés FIDO2 de sécurité.
Pour plus d'informations sur la désactivation des plug-ins et pour obtenir d'autres conseils de dépannage, consultez [Je ne peux pas activer ma clé de sécurité FIDO](troubleshoot_mfa-fido.md#troubleshoot_mfa-fido-cant-enable).
## Certifications des appareils
Nous ne saisissons et n’attribuons les certifications liées au dispositif, telles que la validation FIPS et le niveau de certification FIDO, que lors de l’enregistrement d’une clé de sécurité. La certification de votre appareil est extraite du [FIDO Alliance Metadata Service (MDS)](https://fidoalliance.org/metadata/). Si le statut ou le niveau de certification de votre clé de sécurité change, celui-ci n’apparaîtra pas automatiquement dans les balises du dispositif. Pour mettre à jour les informations de certification d'un appareil, enregistrez à nouveau l'appareil pour récupérer les informations de certification mises à jour.
AWS fournit les types de certification suivants sous forme de clés de condition lors de l'enregistrement de l'appareil, obtenus à partir de FIDO MDS : niveaux de certification FIPS-140-2, FIPS-140-3 et FIDO. Vous avez la possibilité de spécifier l'enregistrement d'authentificateurs spécifiques dans leurs politiques IAM, en fonction du type et du niveau de certification que vous préférez. Pour plus d'informations, consultez les politiques ci-dessous.
### Exemples de politiques pour la certification des appareils
Les cas d'utilisation suivants présentent des exemples de politiques qui vous permettent d'enregistrer des appareils MFA avec des certifications FIPS.
**Topics**
+ [Cas d'utilisation 1 : autoriser uniquement l'enregistrement des appareils certifiés FIPS-140-2 L2](#id_credentials_mfa_fido_certifications_policies_use_case_1)
+ [Cas d'utilisation 2 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 et FIDO L1](#id_credentials_mfa_fido_certifications_policies_use_case_2)
+ [Cas d'utilisation 3 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 ou FIPS-140-3 L2](#id_credentials_mfa_fido_certifications_policies_use_case_3)
+ [Cas d'utilisation n°4 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 et prenant en charge d'autres types de MFA, tels que les authentificateurs virtuels et le TOTP matériel](#id_credentials_mfa_fido_certifications_policies_use_case_4)
#### Cas d'utilisation 1 : autoriser uniquement l'enregistrement des appareils certifiés FIPS-140-2 L2
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Create"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Activate",
"iam:FIDO-FIPS-140-2-certification": "L2"
}
}
}
]
}
```
------
#### Cas d'utilisation 2 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 et FIDO L1
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Create"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Activate",
"iam:FIDO-FIPS-140-2-certification": "L2",
"iam:FIDO-certification": "L1"
}
}
}
]
}
```
------
#### Cas d'utilisation 3 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 ou FIPS-140-3 L2
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Create"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Activate",
"iam:FIDO-FIPS-140-2-certification": "L2"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey" : "Activate",
"iam:FIDO-FIPS-140-3-certification": "L2"
}
}
}
]
}
```
------
#### Cas d'utilisation n°4 : autoriser l'enregistrement des appareils certifiés FIPS-140-2 L2 et prenant en charge d'autres types de MFA, tels que les authentificateurs virtuels et le TOTP matériel
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey": "Create"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:RegisterSecurityKey": "Activate",
"iam:FIDO-FIPS-140-2-certification": "L2"
}
}
},
{
"Effect": "Allow",
"Action": "iam:EnableMFADevice",
"Resource": "*",
"Condition": {
"Null": {
"iam:RegisterSecurityKey": "true"
}
}
}
]
}
```
------
## AWS CLI et AWS API
AWS prend en charge l'utilisation de clés d'accès et de clés de sécurité uniquement dans le AWS Management Console. L’utilisation des clés d’accès et des clés de sécurité pour l’authentification multifactorielle (MFA) n’est prise en charge ni dans l’[AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/), ni dans l’[API AWS](https://aws.amazon.com/tools/), ni pour l’accès aux [opérations d’API protégées par l’authentification multifactorielle (MFA)](id_credentials_mfa_configure-api-require.md).
## Ressources supplémentaires
+ Pour plus d'informations sur l'utilisation des clés d'accès et des clés de sécurité dans AWS, consultez[Attribuez un mot de passe ou une clé de sécurité dans AWS Management Console](id_credentials_mfa_enable_fido.md).
+ Pour obtenir de l'aide sur la résolution des problèmes liés aux clés d'accès et aux clés de sécurité AWS, consultez[Résolution des problèmes liés aux clés d’accès et aux clés de sécurité FIDO](troubleshoot_mfa-fido.md).
+ Pour des informations générales sur le secteur sur le FIDO2 support, voir [FIDO2 Projet](https://en.wikipedia.org/wiki/FIDO2_Project).
# Attribuez un périphérique MFA virtuel dans le AWS Management Console
**Important**
AWS vous recommande d'utiliser une clé d'accès ou une clé de sécurité pour le MFA, dans la mesure du AWS possible. Pour de plus amples informations, veuillez consulter [Attribuez un mot de passe ou une clé de sécurité dans AWS Management Console](id_credentials_mfa_enable_fido.md).
Vous pouvez utiliser un téléphone ou un autre appareil comme appareil d'authentification multifacteur (MFA) virtuel. Pour ce faire, installez une application mobile conforme à [RFC 6238, un algorithme TOTP (mot de passe unique basé sur le temps) basé sur des normes](https://datatracker.ietf.org/doc/html/rfc6238). Ces applications génèrent un code d'authentification à six chiffres. Étant donné que les authentificateurs peuvent fonctionner sur des appareils mobiles non sécurisés et que les codes peuvent être partagés avec des parties non autorisées, le MFA basé sur le TOTP n'offre pas le même niveau de sécurité que les options résistantes au hameçonnage telles que les clés de sécurité et les clés d'accès. [FIDO2](https://en.wikipedia.org/wiki/FIDO_Alliance#FIDO2) Nous vous recommandons d'utiliser des clés d'accès ou des clés de sécurité pour le MFA afin de vous protéger au mieux contre les attaques telles que le phishing.
Si vous n'êtes pas encore en mesure d'utiliser des clés d'accès ou des clés de sécurité, nous vous recommandons d'utiliser un dispositif MFA virtuel à titre de mesure provisoire en attendant l'approbation de tout achat de matériel ou l'arrivée de votre matériel.
La plupart des applications MFA virtuelles prennent en charge la création de plusieurs appareils virtuels, ce qui vous permet d'utiliser la même application pour plusieurs Comptes AWS ou plusieurs utilisateurs. Vous pouvez enregistrer jusqu'à **huit** appareils MFA de n'importe quelle combinaison de [types MFA](https://aws.amazon.com/iam/features/mfa/) auprès de vos Utilisateur racine d'un compte AWS utilisateurs et de ceux d'IAM. Vous n'avez besoin que d'un seul appareil MFA pour vous connecter AWS Management Console ou créer une session via le. AWS CLI Nous vous recommandons d'enregistrer plusieurs appareils MFA. Pour les applications d’authentification, nous recommandons également d’activer la fonctionnalité de sauvegarde ou de synchronisation dans le cloud afin d’éviter de perdre l’accès à votre compte en cas de perte ou de casse de votre dispositif.
AWS nécessite une application MFA virtuelle qui produit un OTP à six chiffres. Pour obtenir la liste des applications MFA virtuelles que vous pouvez utiliser, consultez [authentification multifacteur](https://aws.amazon.com/iam/features/mfa/?audit=2019q1).
**Topics**
+ [Autorisations nécessaires](#mfa_enable_virtual_permissions-required)
+ [Activation d'un dispositif MFA virtuel pour un utilisateur IAM (Console)](#enable-virt-mfa-for-iam-user)
+ [Remplacer un périphérique MFA virtuel](#replace-virt-mfa)
## Autorisations nécessaires
Pour gérer des dispositifs MFA virtuels pour votre utilisateur IAM, vous devez disposer des autorisations de la politique suivante : [AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leur dispositif MFA sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).
## Activation d'un dispositif MFA virtuel pour un utilisateur IAM (Console)
Vous pouvez utiliser IAM AWS Management Console pour activer et gérer un appareil MFA virtuel pour un utilisateur IAM de votre compte. Vous pouvez attacher des balises à vos ressources IAM, y compris les appareils MFA virtuels, pour les identifier, les organiser et contrôler l'accès. Vous pouvez étiqueter les appareils MFA virtuels uniquement lorsque vous utilisez l'API AWS CLI or AWS . Pour activer et gérer un appareil MFA à l'aide de l' AWS API AWS CLI or, consultez. [Attribuez des appareils MFA dans l'API or AWS CLI AWS](id_credentials_mfa_enable_cliapi.md) Pour plus d'informations sur le balisage des ressources IAM, consultez [Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md).
**Note**
Pour configurer l'authentification MFA, vous devez avoir accès physique au matériel sur lequel le dispositif MFA virtuel de l'utilisateur est hébergé. Par exemple, vous pouvez configurer le MFA pour un utilisateur qui utilisera un dispositif MFA virtuel s'exécutant sur un smartphone. Dans ce cas, vous devez avoir le smartphone à proximité afin de finaliser l'assistant. De ce fait, vous pouvez préférer laisser les utilisateurs configurer et gérer leurs propres dispositifs MFA virtuels. Dans ce cas, vous devez accorder aux utilisateurs l'autorisation d'exécuter les actions IAM nécessaires. Pour en savoir plus sur la politique IAM qui accorde ces autorisations et pour accéder à un exemple, veuillez consulter la rubrique [Didacticiel IAM : permettre aux utilisateurs de gérer leurs informations d'identification et leurs paramètres MFA](tutorial_users-self-manage-mfa-and-creds.md) et la politique d'exemple [AWS : autorise les utilisateurs IAM authentifiés par MFA à gérer leur dispositif MFA sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage-mfa-only.md).
**Pour activer un dispositif MFA virtuel pour un utilisateur IAM (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Dans la liste des **Users** (Utilisateurs), choisissez le nom d'utilisateur IAM.
1. Choisissez l'onglet **Informations d'identification de sécurité**. Dans la section **Multi-Factor Authentication (MFA)** (Authentification multifactorielle (MFA)), sélectionnez **Assign MFA device** (Attribuer un dispositif MFA).
1. Dans l'assistant, saisissez un nom dans le champ **Nom du dispositif**, sélectionnez **Application Authenticator**, puis cliquez sur **Suivant**.
IAM génère et affiche les informations de configuration du dispositif MFA virtuel, notamment un graphique de code QR. Le graphique est une représentation de la clé de configuration secrète que l'on peut saisir manuellement sur des périphériques qui ne prennent pas en charge les codes QR.
1. Ouvrez votre application MFA virtuelle. Pour obtenir une liste des applications que vous pouvez utiliser pour héberger des dispositifs MFA virtuels, consultez [authentification multifacteur](https://aws.amazon.com/iam/details/mfa/).
Si l'application MFA virtuelle prend en charge plusieurs comptes ou plusieurs dispositifs MFA virtuels, choisissez l'option permettant de créer un compte ou un dispositif MFA virtuel.
1. Déterminez si l'application MFA prend en charge les codes QR, puis effectuez l'une des actions suivantes :
+ Dans l'assistant, choisissez **Show QR code (Afficher le code QR)**, puis utiliser l'application pour analyser le code QR. Il peut s’agir d’une icône de caméra ou d’une option **Scanner le code** qui utilise la caméra de l’appareil pour analyser le code.
+ Dans l'assistant, sélectionnez **Show secret key** (Afficher la clé secrète), puis saisissez la clé secrète dans votre application MFA.
Une fois que vous avez terminé, le dispositif MFA virtuel commence à générer des mots de passe uniques.
1. Sur la page **Configurer l'appareil**, accédez à la zone **Code MFA 1** et saisissez le mot de passe à usage unique affiché sur le dispositif MFA virtuel. Attendez jusqu'à 30 secondes pour que le dispositif génère un nouveau mot de passe unique. Saisissez ensuite le second mot de passe unique dans la zone **MFA Code 2 (Code MFA 2)**. Choisissez **Add MFA** (Ajouter un dispositif MFA).
**Important**
Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, le dispositif MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez [resynchroniser le dispositif](id_credentials_mfa_sync.md).
Le périphérique MFA virtuel est désormais prêt à être utilisé avec. AWS Pour plus d'informations sur l'utilisation de la MFA avec le AWS Management Console, consultez. [Connexion compatible avec la MFA](console_sign-in-mfa.md)
**Note**
Les appareils MFA virtuels non assignés dans Compte AWS votre compte sont supprimés lorsque vous ajoutez de nouveaux appareils MFA virtuels, soit par le biais AWS Management Console du processus de connexion, soit pendant celui-ci. Les dispositifs MFA virtuels non attribués sont des dispositifs présents dans votre compte, mais qui ne sont pas utilisés par l’utilisateur racine du compte ou les utilisateurs IAM pour le processus de connexion. Ils sont supprimés afin que de nouveaux dispositifs MFA virtuels puissent être ajoutés à votre compte. Cela vous permet également de réutiliser les noms des appareils.
Pour afficher les appareils MFA virtuels non assignés dans votre compte, vous pouvez utiliser [list-virtual-mfa-devices](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-virtual-mfa-devices.html) AWS CLI la commande [ou](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html) l'appel d'API.
Pour désactiver un appareil MFA virtuel, vous pouvez utiliser [deactivate-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/deactivate-mfa-device.html) AWS CLI la commande [ou](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html) l'appel d'API. Le dispositif ne sera plus attribué.
[Pour associer un appareil MFA virtuel non attribué à votre utilisateur root ou à Compte AWS vos utilisateurs IAM, vous aurez besoin du code d'authentification généré par l'appareil ainsi que de la commande ou de [enable-mfa-device](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/enable-mfa-device.html)AWS CLI l'appel d'API.](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)
## Remplacer un périphérique MFA virtuel
Vos utilisateurs Utilisateur racine d'un compte AWS et ceux d'IAM peuvent enregistrer jusqu'à **huit** appareils MFA de n'importe quelle combinaison de types de MFA. Si l’utilisateur perd un dispositif ou a besoin de le remplacer pour une raison quelconque, vous devez désactiver l’ancien dispositif. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.
+ Pour désactiver le dispositif actuellement associé à un autre utilisateur IAM, consultez [Désactivation d’un dispositif MFA](id_credentials_mfa_disable.md).
+ Pour ajouter un dispositif MFA virtuel de remplacement pour un autre utilisateur IAM, suivez les étapes de la procédure [Activation d'un dispositif MFA virtuel pour un utilisateur IAM (Console)](#enable-virt-mfa-for-iam-user) ci-dessus.
+ Pour ajouter un périphérique MFA virtuel de remplacement pour le Utilisateur racine d'un compte AWS, suivez les étapes de la procédure. [Activation d’un dispositif MFA virtuel pour l’utilisateur racine (console)](enable-virt-mfa-for-root.md)
# Attribuez un jeton TOTP matériel dans le AWS Management Console
**Important**
AWS vous recommande d'utiliser une clé d'accès ou une clé de sécurité pour le MFA, dans la mesure du AWS possible. Pour de plus amples informations, veuillez consulter [Attribuez un mot de passe ou une clé de sécurité dans AWS Management Console](id_credentials_mfa_enable_fido.md).
Un jeton TOTP matériel génère un code numérique à six chiffres basé sur un algorithme TOTP (mot de passe unique à durée limitée). L'utilisateur doit saisir un code valide à partir du périphérique lorsqu'il y est invité lors de la connexion. Chaque dispositif MFA attribué à un utilisateur doit être unique ; un utilisateur ne peut pas saisir un code à partir du périphérique d'un autre utilisateur pour s'authentifier. Les dispositifs MFA ne peuvent pas être partagés entre plusieurs comptes ou plusieurs utilisateurs.
Les jetons TOTP matériels et les [clés de sécurité FIDO](id_credentials_mfa_enable_fido.md) sont des dispositifs physiques que vous achetez. Les appareils MFA matériels génèrent des codes TOTP pour l'authentification lorsque vous vous connectez à. AWS Ils utilisent des batteries, qui peuvent avoir besoin d'être remplacées et resynchronisées au fil du temps. AWS Les clés de sécurité FIDO, qui utilisent la cryptographie à clé publique, ne nécessitent pas de piles et offrent un processus d’authentification sans faille. Nous vous recommandons d’utiliser les clés de sécurité FIDO pour leur résistance au hameçonnage, ce qui constitue une alternative plus sûre aux appareils TOTP. De plus, les clés de sécurité FIDO peuvent prendre en charge plusieurs utilisateurs IAM ou utilisateurs racine sur le même appareil, ce qui améliore leur utilité pour la sécurité des comptes. Pour connaître les spécifications et les informations d'achat de ces deux types d'appareils, consultez [authentification multifacteur](https://aws.amazon.com/iam/details/mfa/).
Vous pouvez activer un jeton TOTP matériel pour un utilisateur IAM à partir de la AWS Management Console ligne de commande ou de l'API IAM. Pour activer un dispositif MFA pour votre Utilisateur racine d'un compte AWS, consultez. [Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console)](enable-hw-mfa-for-root.md)
Vous pouvez enregistrer jusqu'à **huit** appareils MFA de n'importe quelle combinaison des [types de MFA actuellement pris en charge auprès de vos Utilisateur racine d'un compte AWS utilisateurs et de ceux](https://aws.amazon.com/iam/features/mfa/) d'IAM. Avec plusieurs appareils MFA, vous n'avez besoin que d'un seul appareil MFA pour vous connecter AWS Management Console ou créer une session via cet utilisateur. AWS CLI
**Important**
Nous vous recommandons d'activer plusieurs dispositifs MFA pour permettre à vos utilisateurs d'accéder en permanence à votre compte en cas de perte ou d'inaccessibilité d'un dispositif MFA.
**Note**
Si vous souhaitez activer le dispositif dans la ligne de commande, utilisez [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html) . Pour activer le dispositif MFA avec l'API IAM, utilisez l'opération [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html).
**Topics**
+ [Autorisations nécessaires](#enable-hw-mfa-for-iam-user-permissions-required)
+ [Activation d'un jeton TOTP matériel pour votre propre utilisateur IAM (console)](#enable-hw-mfa-for-own-iam-user)
+ [Activation d'un jeton TOTP matériel pour un autre utilisateur IAM (console)](#enable-hw-mfa-for-iam-user)
+ [Remplacer un périphérique MFA physique](#replace-phys-mfa)
## Autorisations nécessaires
Pour gérer un jeton TOTP matériel pour votre propre utilisateur IAM tout en protégeant les actions sensibles liées à MFA, vous devez disposer des autorisations de la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowManageOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:DeactivateMFADevice",
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "DenyAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:EnableMFADevice",
"iam:GetUser",
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
## Activation d'un jeton TOTP matériel pour votre propre utilisateur IAM (console)
Vous pouvez activer votre propre jeton TOTP matériel à partir de la AWS Management Console.
**Note**
Avant d'activer un jeton TOTP matériel, vous devez y avoir accès physiquement.
**Pour activer un jeton TOTP matériel pour votre propre utilisateur IAM (console)**
1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.
Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.
1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).
![\[AWS Management Console Lien vers les identifiants de sécurité\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Dans l'onglet **Informations d'identification AWS IAM**, sous la section **Authentification multifactorielle (MFA)**, sélectionnez **Attribuer le dispositif MFA**.
1. Dans l'assistant, tapez le **nom du dispositif**, choisissez **Hardware TOTP token** (Jeton TOTP matériel), puis **Next** (Suivant).
1. Saisissez le numéro de série du périphérique. Le numéro de série se situe généralement l'arrière du périphérique.
1. Dans la zone **MFA code 1**, saisissez le code à six chiffres qui s'affichent sur le dispositif MFA. Vous devrez peut-être appuyer sur le bouton situé à l'avant du périphérique pour afficher le numéro.
![\[Tableau de bord IAM, dispositif MFA\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/MFADevice.png)
1. Attendez 30 secondes que le périphérique actualise le code, puis saisissez la nouvelle série de six chiffres dans la zone **MFA code 2**. Vous devrez peut-être appuyer à nouveau sur le bouton situé à l'avant du périphérique pour afficher le second numéro.
1. Choisissez **Add MFA** (Ajouter un dispositif MFA).
**Important**
Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez [resynchroniser le dispositif](id_credentials_mfa_sync.md).
L'appareil est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'interface AWS Management Console, veuillez consulter [Connexion compatible avec la MFA](console_sign-in-mfa.md).
## Activation d'un jeton TOTP matériel pour un autre utilisateur IAM (console)
Vous pouvez activer un jeton TOTP matériel pour un autre utilisateur IAM à partir de la AWS Management Console.
**Pour activer un jeton TOTP matériel pour un autre utilisateur IAM (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Choisissez le nom de l'utilisateur pour lequel vous souhaitez activer l'authentification MFA.
1. Choisissez l'onglet **Informations d'identification de sécurité**. Dans la section **Multi-Factor Authentication (MFA)** (Authentification multifactorielle (MFA)), sélectionnez **Assign MFA device** (Attribuer un dispositif MFA).
1. Dans l'assistant, tapez le **nom du dispositif**, choisissez **Hardware TOTP token** (Jeton TOTP matériel), puis **Next** (Suivant).
1. Saisissez le numéro de série du périphérique. Le numéro de série se situe généralement l'arrière du périphérique.
1. Dans la zone **MFA code 1**, saisissez le code à six chiffres qui s'affichent sur le dispositif MFA. Vous devrez peut-être appuyer sur le bouton situé à l'avant du périphérique pour afficher le numéro.
![\[Tableau de bord IAM, dispositif MFA\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/MFADevice.png)
1. Attendez 30 secondes que le périphérique actualise le code, puis saisissez la nouvelle série de six chiffres dans la zone **MFA code 2**. Vous devrez peut-être appuyer à nouveau sur le bouton situé à l'avant du périphérique pour afficher le second numéro.
1. Choisissez **Add MFA** (Ajouter un dispositif MFA).
**Important**
Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez [resynchroniser le dispositif](id_credentials_mfa_sync.md).
L'appareil est prêt à être utilisé avec AWS. Pour plus d'informations sur l'utilisation de l'authentification MFA avec l'interface AWS Management Console, veuillez consulter [Connexion compatible avec la MFA](console_sign-in-mfa.md).
## Remplacer un périphérique MFA physique
Vous pouvez attribuer à un utilisateur jusqu'à huit dispositifs MFA de n'importe quelle combinaison des [types MFA actuellement](https://aws.amazon.com/iam/features/mfa/) pris en charge, en même temps que vos Utilisateur racine d'un compte AWS utilisateurs et ceux d'IAM. Si l'utilisateur perd un périphérique ou a besoin de le remplacer pour une raison quelconque, vous devez désactiver l'ancien périphérique. Vous pouvez alors ajouter le nouveau périphérique pour l'utilisateur.
+ Pour désactiver le périphérique actuellement associé à un utilisateur, consultez la page [Désactivation d’un dispositif MFA](id_credentials_mfa_disable.md).
+ Pour ajouter un jeton TOTP matériel de remplacement pour un utilisateur IAM, suivez les étapes de la procédure [Activation d'un jeton TOTP matériel pour un autre utilisateur IAM (console)](#enable-hw-mfa-for-iam-user) plus haut dans cette rubrique.
+ Pour ajouter un jeton TOTP matériel de remplacement pour le Utilisateur racine d'un compte AWS, suivez les étapes décrites dans la procédure décrite [Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console)](enable-hw-mfa-for-root.md) plus haut dans cette rubrique.
# Attribuez des appareils MFA dans l'API or AWS CLI AWS
Vous pouvez utiliser des AWS CLI commandes ou des opérations d' AWS API pour activer un dispositif MFA virtuel pour un utilisateur IAM. Vous ne pouvez pas activer un périphérique MFA Utilisateur racine d'un compte AWS avec l' AWS API AWS CLI, Tools for Windows PowerShell ou tout autre outil de ligne de commande. Toutefois, vous pouvez utiliser le AWS Management Console pour activer un périphérique MFA pour l'utilisateur root.
Lorsque vous activez un dispositif MFA à partir du AWS Management Console, la console exécute plusieurs étapes pour vous. Si vous créez plutôt un appareil virtuel à l' AWS CLI aide des outils pour Windows PowerShell ou de AWS l'API, vous devez effectuer les étapes manuellement et dans le bon ordre. Par exemple, pour créer un dispositif MFA virtuel, vous devez créer l'objet IAM et extraire le code sous forme de chaîne ou de graphique de code QR. Ensuite, vous devez synchroniser le périphérique et l'associer à un utilisateur IAM. Consultez la section **Exemples** de [New- IAMVirtual MFADevice](https://docs.aws.amazon.com/powershell/latest/reference/Index.html?page=New-IAMVirtualMFADevice.html&tocid=New-IAMVirtualMFADevice) pour plus de détails. Dans le cas d'un périphérique physique, vous ignorez l'étape de création et passez directement à la synchronisation du périphérique et l'association à un utilisateur.
Vous pouvez attacher des balises à vos ressources IAM, y compris les appareils MFA virtuels, pour les identifier, les organiser et contrôler l'accès. Vous pouvez étiqueter les appareils MFA virtuels uniquement lorsque vous utilisez l'API AWS CLI or AWS .
Un utilisateur IAM utilisant le kit SDK ou l'interface de ligne de commande peut activer un dispositif MFA supplémentaire en appelant [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html) ou désactiver un dispositif MFA existant en appelant [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html). Pour y parvenir, il doit d'abord appeler [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) et soumettre des codes MFA avec un dispositif MFA existant. Cet appel renvoie des informations d'identification de sécurité temporaires qui peuvent ensuite être utilisées pour signer des opérations d'API nécessitant une authentification MFA. Pour un exemple de demande et de réponse, consultez [`GetSessionToken` : informations d'identification temporaires pour les utilisateurs qui se trouvent dans des environnements non fiables](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken).
**Pour créer l'entité de périphérique virtuel dans IAM pour représenter un dispositif MFA virtuel**
Ces commandes fournissent un ARN pour le périphérique qui est utilisé à la place du numéro de série dans un grand nombre des commandes suivantes.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-virtual-mfa-device.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateVirtualMFADevice.html)
**Pour activer un périphérique MFA à utiliser avec AWS**
Ces commandes synchronisent l'appareil avec un utilisateur AWS et l'associent à celui-ci. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série.
**Important**
Envoyez votre demande immédiatement après avoir généré les codes d'authentification. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, l'dispositif MFA s'associe avec succès à l'utilisateur mais se désynchronise. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période. Dans ce cas, vous pouvez resynchroniser l'appareil à l'aide des commandes décrites ci-dessous.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/enable-mfa-device.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_EnableMFADevice.html)
**Pour désactiver un périphérique**
Utilisez ces commandes pour dissocier le périphérique de l'utilisateur et le désactiver. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série. Vous devez également supprimer l'entité de périphérique virtuel séparément.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
**Pour afficher la liste des entités de dispositifs MFA virtuels**
Utilisez ces commandes pour afficher la liste des entités de dispositifs MFA virtuels.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-virtual-mfa-devices.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListVirtualMFADevices.html)
**Pour baliser un appareil MFA virtuel**
Utilisez ces commandes pour baliser un appareil MFA virtuel.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/tag-mfa-device.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagMFADevice.html)
**Pour répertorier les balises d'un appareil MFA virtuel**
Utilisez ces commandes pour répertorier les balises attachées à un appareil MFA virtuel.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-mfa-device-tags.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListMFADeviceTags.html)
**Pour supprimer la balise d'un appareil MFA virtuel**
Utilisez ces commandes pour supprimer les balises attachées à un appareil MFA virtuel.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/untag-mfa-device.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagMFADevice.html)
**Pour resynchroniser un dispositif MFA**
Utilisez ces commandes si le périphérique génère des codes qui ne sont pas acceptés par AWS. S'il s'agit d'un périphérique virtuel, utilisez son ARN en tant que numéro de série.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html)
**Pour supprimer une entité de dispositif MFA virtuel dans IAM**
Après avoir dissocié le périphérique de l'utilisateur, vous pouvez supprimer l'entité de périphérique.
+ AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-virtual-mfa-device.html)
+ AWS API : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteVirtualMFADevice.html)
**Pour récupérer un dispositif MFA virtuel qui est perdu ou ne fonctionne pas**
Parfois, l'appareil d'un utilisateur qui héberge l'application MFA virtuelle est perdu, remplacé ou ne fonctionne pas. Dans ce cas, l'utilisateur ne peut pas le récupérer par lui-même. L'utilisateur doit contacter un administrateur pour désactiver le dispositif. Pour de plus amples informations, veuillez consulter [Restauration d’une identité protégée par MFA dans IAM](id_credentials_mfa_lost-or-broken.md).
# Vérification du statut MFA
Utilisez la console IAM pour vérifier si un périphérique MFA valide est activé pour un utilisateur Utilisateur racine d'un compte AWS ou un utilisateur IAM.
**Pour vérifier le statut de l'authentification MFA d'un utilisateur racine**
1. Connectez-vous à l' AWS Management Console aide de vos informations d'identification d'utilisateur root, puis ouvrez la console IAM à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) l'adresse.
1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).
1. Sous **Multi-Factor Authentication (MFA)**, vérifiez si la MFA est activée ou désactivée. Si la MFA n'a pas été activée, un symbole d'alerte (![\[Alert icon\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-alert-icon.console.png)) est affiché.
Si vous souhaitez activer l'authentification MFA pour le compte, consultez l'une des sections suivantes :
+ [Activation d’un dispositif MFA virtuel pour l’utilisateur racine (console)](enable-virt-mfa-for-root.md)
+ [Activation d’une clé d’accès ou d’une clé de sécurité pour l’utilisateur racine (console)](enable-fido-mfa-for-root.md)
+ [Activation d'un jeton TOTP matériel pour l'utilisateur root de l' (console)](enable-hw-mfa-for-root.md)
**Pour vérifier le statut de l'authentification MFA d'utilisateurs IAM**
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Au besoin, ajoutez la colonne **MFA** à la table des utilisateurs en procédant comme suit :
1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres (![\[Settings icon\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-settings-icon.console.png)).
1. Dans **Manage Columns (Gérer les colonnes)**, sélectionnez **MFA**.
1. (Facultatif) Décochez la case des en-têtes de colonne que vous ne souhaitez pas voir apparaître dans le tableau des utilisateurs.
1. Choisissez **Fermer** pour revenir à la liste des utilisateurs.
1. La colonne **MFA** vous fournit des informations sur le dispositif MFA qui est activé. Si aucun dispositif MFA n'est actif pour l'utilisateur, la console affiche **None** (Aucun). Si l'utilisateur dispose d'un dispositif MFA activé, la colonne **MFA** affiche le type de dispositif activé avec la valeur de **Virtuel**, **Clé de sécurité**, **Matériel** ou **SMS**.
**Note**
AWS fin du support pour l'activation de l'authentification multifactorielle par SMS (MFA). Nous recommandons aux clients dont les utilisateurs IAM utilisent un dispositif MFA basé sur les SMS de passer à l'une des méthodes alternatives suivantes : [dispositif MFA virtuel (logiciel)](id_credentials_mfa_enable_virtual.md), [clé de sécurité FIDO](id_credentials_mfa_enable_fido.md) ou [dispositif MFA matériel](id_credentials_mfa_enable_physical.md). Vous pouvez identifier les utilisateurs dans votre compte avec un dispositif MFA SMS affecté. Pour ce faire, accédez à la console IAM, choisissez **Utilisateurs** dans le panneau de navigation, puis recherchez les utilisateurs avec **SMS** mentionné dans la colonne **MFA** de la table.
1. Pour afficher des informations supplémentaires sur le dispositif MFA pour un utilisateur, choisissez le nom de l'utilisateur dont vous souhaitez vérifier l'état MFA. Choisissez ensuite l'onglet **Informations d'identification de sécurité**.
1. Si aucun dispositif MFA n'est actif pour l'utilisateur, la console affiche **Aucun dispositif MFA. Attribuez un dispositif MFA pour améliorer la sécurité de votre AWS environnement** dans la section Authentification à **facteurs multiples (MFA**). Si les dispositifs MFA de l'utilisateur sont activés, la section **Authentification multifactorielle (MFA)** affiche des informations détaillées sur les dispositifs :
+ Nom du dispositif
+ Type du dispositif
+ L'identifiant du périphérique, tel que le numéro de série d'un périphérique physique ou l'ARN AWS d'un périphérique virtuel
+ Quand le dispositif a été créé
Pour supprimer ou resynchroniser un dispositif, cliquez sur le bouton radio à côté du dispositif, puis choisissez **Remove** (Supprimer) ou **Resync** (Resynchroniser).
Pour plus d'informations sur l'activation de l'authentification MFA, consultez la documentation suivante :
+ [Attribuez un périphérique MFA virtuel dans le AWS Management Console](id_credentials_mfa_enable_virtual.md)
+ [Attribuez un mot de passe ou une clé de sécurité dans AWS Management Console](id_credentials_mfa_enable_fido.md)
+ [Attribuez un jeton TOTP matériel dans le AWS Management Console](id_credentials_mfa_enable_physical.md)
# Resynchronisation des dispositifs MFA virtuels et matériels
Vous pouvez l'utiliser AWS pour resynchroniser vos appareils d'authentification multifactorielle (MFA) virtuels et matériels. Si votre dispositif n'est pas synchronisé lorsque vous essayez de l'utiliser, la tentative de connexion échoue et IAM vous invite à resynchroniser le dispositif.
**Note**
Les clés de sécurité FIDO ne se désynchronisent pas. Si une clé de sécurité FIDO est perdue ou endommagée, vous pouvez la désactiver. Pour plus d'informations sur la désactivation de tout type de dispositif MFA, consultez [Pour désactiver un dispositif MFA pour un autre utilisateur IAM (console)](id_credentials_mfa_disable.md#deactivate-mfa-for-user).
En tant qu' AWS administrateur, vous pouvez resynchroniser les appareils MFA virtuels et matériels de vos utilisateurs IAM s'ils ne sont pas synchronisés.
Si votre appareil Utilisateur racine d'un compte AWS MFA ne fonctionne pas, vous pouvez le resynchroniser à l'aide de la console IAM avec ou sans terminer le processus de connexion. Si vous ne parvenez pas à resynchroniser votre appareil, vous devrez peut-être le désassocier et le réassocier. Pour en savoir plus à ce sujet, veuillez consulter les rubriques [Désactivation d’un dispositif MFA](id_credentials_mfa_disable.md) et [AWS Authentification multifactorielle dans IAM](id_credentials_mfa.md).
**Topics**
+ [Autorisations nécessaires](#id_credentials_mfa_sync_console-permissions-required)
+ [Resynchronisation des dispositifs MFA matériels et virtuels (console IAM)](#id_credentials_mfa_sync_console)
+ [Resynchronisation de dispositifs MFA virtuels et matériels (AWS CLI)](#id_credentials_mfa_sync_cli)
+ [Resynchronisation des périphériques MFA virtuels et matériels (API)AWS](#id_credentials_mfa_sync_api)
## Autorisations nécessaires
Pour resynchroniser des dispositifs MFA virtuels ou matériels pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante. Cette politique ne vous permet pas de créer ou de désactiver un dispositif.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowListActions",
"Effect": "Allow",
"Action": [
"iam:ListVirtualMFADevices"
],
"Resource": "*"
},
{
"Sid": "AllowUserToViewAndManageTheirOwnUserMFA",
"Effect": "Allow",
"Action": [
"iam:ListMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "arn:aws:iam::*:user/${aws:username}"
},
{
"Sid": "BlockAllExceptListedIfNoMFA",
"Effect": "Deny",
"NotAction": [
"iam:ListMFADevices",
"iam:ListVirtualMFADevices",
"iam:ResyncMFADevice"
],
"Resource": "*",
"Condition": {
"BoolIfExists": {
"aws:MultiFactorAuthPresent": "false"
}
}
}
]
}
```
------
## Resynchronisation des dispositifs MFA matériels et virtuels (console IAM)
Vous pouvez utiliser la console IAM pour resynchroniser les dispositifs virtuels du matériel MFA.
**Pour resynchroniser un dispositif MFA matériel ou virtuel pour votre propre utilisateur IAM (console)**
1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.
Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.
1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)
1. Dans l'onglet **Informations d'identification AWS IAM**, sous la section **Authentification multifactorielle (MFA)**, cliquez sur le bouton radio situé en regard du dispositif MFA et sélectionnez **Resynchroniser**.
1. Entrez les deux prochains codes générés séquentiellement à partir du périphérique dans les champs **MFA code 1** et **MFA code 2**. Puis choisissez **Resync** (Resynchroniser).
**Important**
Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, cette dernière semble fonctionner mais l'appareil reste désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période.
**Pour resynchroniser un dispositif MFA matériel ou virtuel pour un autre utilisateur IAM (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Utilisateurs**, puis sélectionnez le nom de l'utilisateur dont le dispositif MFA doit être resynchronisé.
1. Choisissez l’onglet **Informations d’identification de sécurité.** Dans la section **Authentification multifactorielle (MFA)**, cliquez sur le bouton radio situé en regard du dispositif MFA et sélectionnez **Resynchroniser**.
1. Entrez les deux prochains codes générés séquentiellement à partir du périphérique dans les champs **MFA code 1** et **MFA code 2**. Puis choisissez **Resync** (Resynchroniser).
**Important**
Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, cette dernière semble fonctionner mais l'appareil reste désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période.
**Pour resynchroniser votre dispositif MFA d'utilisateur racine avant la connexion (console)**
1. Sur la page **Amazon Web Services Sign In With Authentication Device** (connexion à Amazon Web Services à l'aide de MFA), choisissez **Having problems with your authentication device? (des problèmes avec votre dispositif d'authentification ?) Click here** (Cliquez ici).
**Note**
Il se peut que vous remarquiez des textes différents, tels que **se connecter à l'aide de MFA** et **dépanner votre dispositif d'authentification**. Toutefois, les mêmes fonctions sont fournies.
1. Dans la section **Re-Sync With Our Servers (Resynchroniser avec nos serveurs)**, entrez les deux prochains codes générés séquentiellement à partir du périphérique dans les champs **MFA code 1** et **MFA code 2**. Ensuite, choisissez **Re-sync authentication device (Resynchroniser l'appareil d'authentification)**.
1. Si besoin, saisissez à nouveau votre mot de passe et choisissez **Sign in (Connexion)**. Ensuite, procédez à la connexion à l'aide de votre dispositif MFA.
**Pour resynchroniser votre dispositif MFA d'utilisateur racine après la connexion (console)**
1. Connectez-vous à la [console IAM](https://console.aws.amazon.com/iam/) en tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
**Note**
En tant qu'utilisateur root, vous ne pouvez pas vous connecter à la page **Se connecter en tant qu'utilisateur IAM**. Si la page **Se connecter en tant qu'utilisateur IAM** s'affiche, choisissez **Se connecter à l'aide de l'adresse e-mail de l'utilisateur root** en bas de la page. Pour obtenir de l'aide pour vous connecter en tant qu'utilisateur root, consultez [la section Connexion en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to- root-user-sign-in-tutorial.html) dans le *Guide de Connexion à AWS l'utilisateur*.
1. À droite de la barre de navigation, sélectionnez le nom de votre compte, puis **Security Credentials** (Informations d'identification de sécurité). Au besoin, choisissez **Continue to Security credentials** (Passer aux informations d'identification de sécurité).
![\[Informations d'identification de sécurité dans le menu de navigation\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Sur la page, développez la section **Multi-factor authentication (MFA) (authentification multi-facteur (MFA))**.
1. Cliquez sur le bouton radio en regard du dispositif et choisissez **Resync** (Resynchroniser).
1. Dans la boîte de dialogue **Resync MFA device** (Resynchroniser le dispositif MFA), entrez les deux prochains codes générés séquentiellement à partir du dispositif dans les champs **MFA code 1** et **MFA code 2**. Puis choisissez **Resync** (Resynchroniser).
**Important**
Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes, puis attendez trop longtemps avant d'envoyer la demande, le dispositif MFA s'associe avec succès à l'utilisateur mais est désynchronisé. En effet, les TOTP (Time-based One-Time Passwords ou mots de passe à usage unique à durée limitée) expirent après une courte période.
## Resynchronisation de dispositifs MFA virtuels et matériels (AWS CLI)
Vous pouvez resynchroniser les dispositifs MFA virtuels et matériels à partir de l’interface AWS CLI.
**Pour resynchroniser un dispositif MFA virtuel ou matériel pour un utilisateur IAM (AWS CLI)**
À l'invite de commande, lancez la resync-mfa-device commande [aws iam](https://docs.aws.amazon.com/cli/latest/reference/iam/resync-mfa-device.html) :
+ Dispositif MFA virtuel : spécifiez l'Amazon Resource Name (ARN) du périphérique en tant que numéro de série.
```
aws iam resync-mfa-device --user-name Richard --serial-number arn:aws:iam::123456789012:mfa/RichardsMFA --authentication-code1 123456 --authentication-code2 987654
```
+ Dispositif MFA matériel : spécifiez le numéro de série du périphérique matériel en tant que numéro de série. Le format est spécifique au fournisseur. Par exemple, vous pouvez acheter un jeton gemalto auprès d'Amazon. Son numéro de série est généralement composé de quatre lettres suivies de quatre chiffres.
```
aws iam resync-mfa-device --user-name Richard --serial-number ABCD12345678 --authentication-code1 123456 --authentication-code2 987654
```
**Important**
Envoyez votre demande immédiatement après avoir généré les codes. Si vous générez les codes puis attendez trop longtemps avant d'envoyer la demande, cette dernière échoue car les codes expirent après une courte période.
## Resynchronisation des périphériques MFA virtuels et matériels (API)AWS
IAM dispose d'un appel d'API qui effectue la synchronisation. Dans ce cas, nous vous recommandons d'accorder à vos utilisateurs de dispositifs MFA virtuels et matériels l'autorisation d'accès à cet appel d'API. Créez ensuite un outil basé sur cet appel d'API afin que vos utilisateurs puissent resynchroniser leurs périphériques chaque fois que cela est nécessaire.
**Pour resynchroniser un périphérique MFA virtuel ou matériel pour un utilisateur IAM (API)AWS**
+ Envoyez la demande de [resynchronisation. MFADevice](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResyncMFADevice.html)
# Désactivation d’un dispositif MFA
Si vous rencontrez des difficultés pour vous connecter avec un dispositif d'authentification multifactorielle (MFA) en tant qu'utilisateur IAM, contactez votre administrateur pour obtenir de l'aide.
En tant qu'administrateur, vous pouvez désactiver le dispositif pour un autre utilisateur IAM. Cela permet à l'utilisateur de se connecter sans utiliser MFA. Vous pouvez faire ceci comme solution provisoire en attendant que le dispositif MFA soit remplacé ou si le périphérique est indisponible temporairement. Par contre, nous vous recommandons d'activer un nouveau périphérique pour l'utilisateur dès que possible. Pour savoir comment activer un nouveau dispositif MFA, consultez [AWS Authentification multifactorielle dans IAM](id_credentials_mfa.md).
**Note**
Si vous utilisez l'API ou si vous AWS CLI souhaitez supprimer un utilisateur Compte AWS, vous devez désactiver ou supprimer le dispositif MFA de l'utilisateur. Vous effectuez cette modification dans le cadre du processus de suppression de l'utilisateur. Pour en savoir plus sur la suppression d’utilisateurs, consultez [Suppression ou désactivation d’un utilisateur IAM](id_users_remove.md).
**Topics**
+ [Désactivation des dispositifs MFA (console)](#deactive-mfa-console)
+ [Désactivation des dispositifs MFA (AWS CLI)](#deactivate-mfa-cli)
+ [Désactivation des appareils AWS MFA (API)](#deactivate-mfa-api)
## Désactivation des dispositifs MFA (console)
**Pour désactiver un dispositif MFA pour un autre utilisateur IAM (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Pour désactiver le dispositif MFA pour un utilisateur, choisissez le nom de l'utilisateur dont vous souhaitez supprimer le MFA.
1. Choisissez l’onglet **Informations d’identification de sécurité.**
1. Sous **Authentification multifactorielle (MFA)**, cliquez sur le bouton radio situé en regard du dispositif MFA, puis sélectionnez **Supprimer** et encore **Supprimer**.
L'appareil est retiré de AWS. Il ne peut pas être utilisé pour se connecter ou authentifier des demandes tant qu'il n'est pas réactivé et associé à un AWS utilisateur ou. Utilisateur racine d'un compte AWS
**Pour désactiver le dispositif MFA de Utilisateur racine d'un compte AWS votre (console)**
1. Connectez-vous à la [console IAM](https://console.aws.amazon.com/iam/) en tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
**Note**
En tant qu'utilisateur root, vous ne pouvez pas vous connecter à la page **Se connecter en tant qu'utilisateur IAM**. Si la page **Se connecter en tant qu'utilisateur IAM** s'affiche, choisissez **Se connecter à l'aide de l'adresse e-mail de l'utilisateur root** en bas de la page. Pour obtenir de l'aide pour vous connecter en tant qu'utilisateur root, consultez [la section Connexion en AWS Management Console tant qu'utilisateur root](https://docs.aws.amazon.com/signin/latest/userguide/introduction-to- root-user-sign-in-tutorial.html) dans le *Guide de Connexion à AWS l'utilisateur*.
1. À droite de la barre de navigation, sélectionnez le nom de votre compte, puis **Security Credentials** (Informations d'identification de sécurité). Au besoin, choisissez **Continue to Security credentials** (Passer aux informations d'identification de sécurité).
![\[Informations d'identification de sécurité dans le menu de navigation\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-root.shared.console.png)
1. Dans la section **Multi-factor authentication (MFA)** (Authentification multifactorielle (MFA)), cliquez sur le bouton radio en regard du dispositif MFA que vous souhaitez désactiver, puis choisissez **Remove** (Supprimer).
1. Cliquez sur **Supprimer**.
Le dispositif MFA est désactivé pour l' Compte AWS. Vérifiez que l'e-mail qui vous est associé contient Compte AWS un message de confirmation provenant d'Amazon Web Services. L'e-mail vous informe que votre authentification multi-facteur (MFA) Amazon Web Services a été désactivée. Le message viendra de `@amazon.com` ou `@aws.amazon.com`.
**Note**
Les appareils MFA virtuels non assignés dans Compte AWS votre compte sont supprimés lorsque vous ajoutez de nouveaux appareils MFA virtuels, soit par le biais AWS Management Console du processus de connexion, soit pendant celui-ci. Les dispositifs MFA virtuels non attribués sont des dispositifs présents dans votre compte, mais qui ne sont pas utilisés par l’utilisateur racine du compte ou les utilisateurs IAM pour le processus de connexion. Ils sont supprimés afin que de nouveaux dispositifs MFA virtuels puissent être ajoutés à votre compte. Cela vous permet également de réutiliser les noms des appareils.
## Désactivation des dispositifs MFA (AWS CLI)
**Pour désactiver un dispositif MFA pour un utilisateur IAM (AWS CLI)**
+ Exécutez cette commande : [https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html](https://docs.aws.amazon.com/cli/latest/reference/iam/deactivate-mfa-device.html)
## Désactivation des appareils AWS MFA (API)
**Pour désactiver un appareil MFA pour un utilisateur IAM (API)AWS**
+ Appelez cette opération : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeactivateMFADevice.html)
# Restauration d’une identité protégée par MFA dans IAM
Si votre [périphérique MFA virtuel](id_credentials_mfa_enable_virtual.md) ou votre [jeton TOTP matériel](id_credentials_mfa_enable_physical.md) semble fonctionner correctement, mais que vous ne pouvez pas l'utiliser pour accéder à vos AWS ressources, il est possible qu'il ne soit pas synchronisé avec. AWS Pour plus d'informations sur la synchronisation d'un dispositif MFA virtuel ou d'un dispositif MFA matériel, consultez [Resynchronisation des dispositifs MFA virtuels et matériels](id_credentials_mfa_sync.md). Les [clés de sécurité FIDO](id_credentials_mfa_enable_fido.md) ne se désynchronisent pas.
Si le [dispositif MFA](id_credentials_mfa.md) d'un Utilisateur racine d'un compte AWS est perdu, endommagé ou ne fonctionne pas, vous pouvez récupérer l'accès à votre compte. Les utilisateurs IAM doivent contacter un administrateur pour désactiver le périphérique.
**Important**
Nous vous recommandons d’activer plusieurs dispositifs MFA. L’enregistrement de plusieurs dispositifs MFA permet de garantir la continuité de l’accès en cas de perte ou de casse d’un dispositif. Vos utilisateurs Utilisateur racine d'un compte AWS et ceux d'IAM peuvent enregistrer jusqu'à huit appareils MFA de tout type.
## Prérequis – Utilisation d’un autre appareil MFA
Si le [dispositif d’authentification multifactorielle (MFA)](id_credentials_mfa.md) est perdu, endommagé ou défaillant, vous pouvez vous connecter à l’aide d’un autre dispositif MFA enregistré au même utilisateur racine ou utilisateur IAM.
**Pour vous connecter à l’aide d’un autre appareil MFA**
1. Connectez-vous à l’[AWS Management Console](url-comsole-domain;iam) à l’aide de votre ID d’ Compte AWS ou de votre alias de compte et de votre mot de passe.
1. Sur la page **Vérification supplémentaire nécessaire** ou la page **Authentification multifactorielle**, choisissez **Essayer une autre méthode MFA**.
1. Authentifiez-vous avec le type de dispositif MFA que vous avez sélectionné.
1. L’étape suivante varie selon que vous vous êtes connecté avec succès avec un autre dispositif MFA.
+ Si vous vous êtes connecté avec succès, vous pouvez [Resynchronisation des dispositifs MFA virtuels et matériels](id_credentials_mfa_sync.md), ce qui peut résoudre le problème. Si votre dispositif MFA est perdu ou endommagé, vous pouvez le désactiver. Pour plus d'informations sur la désactivation de tout type de dispositif MFA, consultez [Désactivation d’un dispositif MFA](id_credentials_mfa_disable.md).
+ Si vous ne parvenez pas à vous connecter avec la MFA, suivez les étapes indiquées dans [Récupération d'un dispositif MFA d'utilisateur racine](#root-mfa-lost-or-broken) ou [Récupération d'un dispositif MFA d'utilisateur IAM](#iam-user-mfa-lost-or-broken) pour récupérer votre identité protégée par la MFA.
## Récupération d'un dispositif MFA d'utilisateur racine
Si vous ne pouvez pas vous connecter par MFA, vous pouvez utiliser d’autres méthodes d’authentification pour vous connecter en vérifiant votre identité à l’aide de l’e-mail et du numéro de téléphone de contact principal enregistrés avec votre compte.
Assurez-vous de pouvoir accéder à l’e-mail et au numéro de téléphone du contact principal associés à votre compte avant d’utiliser d’autres facteurs d’authentification pour vous connecter en tant qu’utilisateur racine. Si vous devez mettre à jour le numéro de téléphone du contact principal, connectez-vous en tant qu’utilisateur IAM avec un accès *Administrateur* au lieu de l’utilisateur racine. Pour obtenir des instructions supplémentaires sur la mise à jour des informations de contact du compte, consultez la section [Modification de vos informations de contact](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) dans le *Guide de l'utilisateur AWS Billing *. Si vous n'avez pas accès à une adresse e-mail et à un numéro de téléphone de contact principal, vous devez contacter [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support).
**Important**
Nous vous recommandons de garder à jour l'adresse e-mail et le numéro de téléphone de contact associés à votre utilisateur root pour une restauration réussie du compte. Pour plus d'informations, consultez [Mettre à jour le contact principal pour votre Compte AWS](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) dans le *guide de référence d'Gestion de compte AWS *.
**Pour vous connecter en utilisant d'autres facteurs d'authentification en tant que Utilisateur racine d'un compte AWS**
1. Connectez-vous en [AWS Management Console](https://console.aws.amazon.com/)tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
1. **Sur la page **Vérification supplémentaire nécessaire**, choisissez une méthode MFA pour vous authentifier, puis choisissez Suivant**.
**Note**
Vous pouvez voir un texte de remplacement, tel que **Connectez-vous à l'aide de MFA**, **Dépanner votre dispositif d'authentification**, ou **Dépanner le MFA**, mais les fonctionnalités sont les mêmes. Si vous ne pouvez pas utiliser d’autres facteurs d’authentification pour vérifier l’adresse e-mail et le numéro de téléphone du contact principal de votre compte, contactez [AWS Support](https://support.aws.amazon.com/#/contacts/aws-mfa-support) pour désactiver votre dispositif MFA.
1. Selon le type de MFA que vous utilisez, vous verrez une page différente, mais l'option **Dépanner MFA** fonctionne de la même manière. Sur la page **Vérification supplémentaire nécessaire** ou **Authentification multifacteur**, choisissez **Dépanner MFA**.
1. Si besoin, saisissez à nouveau votre mot de passe et choisissez **Sign in (Connexion)**.
1. Sur la page **Dépanner votre dispositif d'authentification**, dans la section **Connectez-vous à l'aide d'autres facteurs d'authentification**, choisissez **Connectez-vous à l'aide d'autres facteurs**.
1. Sur la page **Connectez-vous à l'aide d'autres facteurs d'authentification**, authentifiez votre compte en vérifiant l'adresse e-mail, puis choisissez **Envoyer un e-mail de vérification**.
1. Vérifiez que l'e-mail associé à votre compte contient un message provenant Compte AWS d'Amazon Web Services (recover-mfa-no-reply@verify .signin.aws). Suivez les instructions de l'e-mail.
Si vous ne voyez pas d'e-mail dans votre boîte de réception, vérifiez le dossier des courriers indésirables, ou revenez à votre navigateur et choisissez **Resend the email (Renvoyer l'e-mail)**.
1. Une fois que vous avez confirmé votre adresse e-mail, vous pouvez continuer à authentifier votre compte. Pour confirmer votre numéro de téléphone de contact principal, choisissez **Call me now** (Appelez-moi maintenant).
1. Répondez à l'appel de AWS et, lorsque vous y êtes invité, entrez le numéro à 6 chiffres du AWS site Web sur le clavier de votre téléphone.
Si vous ne recevez aucun appel de AWS, choisissez **Se connecter** pour vous reconnecter à la console et recommencer. Ou consultez la rubrique [Appareil d'authentification multifactorielle (MFA) perdu ou inutilisable](https://support.aws.amazon.com/#/contacts/aws-mfa-support) pour obtenir l'aide du support.
1. Une fois que vous avez confirmé votre numéro de téléphone, vous pouvez vous connecter à votre compte en choisissant **Sign in to the console (Se connecter à la console)**.
1. L'étape suivante varie selon le type de MFA que vous utilisez :
+ Si vous utilisez un dispositif MFA virtuel, supprimez le compte de votre périphérique. Ensuite, accédez à la page [Informations d'identification de sécuritéAWS](https://console.aws.amazon.com/iam/home?#security_credential) et supprimez l'ancienne entité de dispositif virtuel MFA avant d'en créer une nouvelle.
+ Pour une clé de sécurité FIDO, accédez à la page [Informations d'identification de sécuritéAWS](https://console.aws.amazon.com/iam/home?#security_credential) et désactivez l'ancienne clé FIDO avant d'en activer une nouvelle.
+ Si vous utilisez un jeton TOTP matériel, contactez le fournisseur tiers pour qu’il dépanne ou remplace le dispositif. Vous pouvez continuer à vous connecter à l'aide d'autres facteurs d'authentification jusqu'à ce que vous receviez votre nouveau périphérique. Une fois que vous avez le nouveau dispositif MFA matériel, rendez-vous sur la page [Informations d’identification de sécuritéAWS](https://console.aws.amazon.com/iam/home?#security_credential) et supprimez l’ancienne entité de dispositif matériel MFA avant d’en recréer une.
**Note**
Vous n'êtes pas obligé de remplacer un dispositif MFA perdu ou volé par le même type de périphérique. Par exemple, si vous cassez votre clé de sécurité FIDO et en commandez une nouvelle, vous pouvez utiliser un dispositif MFA virtuel ou un jeton TOTP matériel jusqu’à réception de la nouvelle clé FIDO.
**Important**
Si votre dispositif MFA est manquant ou volé, modifiez votre mot de passe d’utilisateur racine après vous être connecté et avoir mis en place votre dispositif MFA de remplacement. Un attaquant pourrait avoir volé le dispositif d’authentification et pourrait également détenir votre mot de passe actuel. Pour de plus amples informations, veuillez consulter [Changez le mot de passe du Utilisateur racine d'un compte AWS](root-user-password.md).
## Récupération d'un dispositif MFA d'utilisateur IAM
Si vous êtes un utilisateur IAM et que vous ne pouvez pas vous connecter par MFA, vous ne pouvez pas récupérer un dispositif MFA par vous-même. Vous devez contacter un administrateur pour désactiver le périphérique. Ensuite, vous pouvez activer un nouveau périphérique.
**Pour obtenir de l'aide pour un dispositif MFA en tant qu'utilisateur IAM**
1. Contactez l' AWS administrateur ou toute autre personne qui vous a fourni le nom d'utilisateur et le mot de passe de l'utilisateur IAM. L'administrateur doit désactiver le dispositif MFA, comme décrit dans [Désactivation d’un dispositif MFA](id_credentials_mfa_disable.md), afin que vous puissiez vous connecter.
1. L'étape suivante varie selon le type de MFA que vous utilisez :
+ Si vous utilisez un dispositif MFA virtuel, supprimez le compte de votre périphérique. Activez ensuite le périphérique virtuel comme décrit dans [Attribuez un périphérique MFA virtuel dans le AWS Management Console](id_credentials_mfa_enable_virtual.md).
+ Si vous utilisez une clé de sécurité FIDO, contactez le fournisseur tiers pour qu’il remplace le dispositif. Lorsque vous recevez la nouvelle clé de sécurité FIDO, activez-la comme décrit dans [Attribuez un mot de passe ou une clé de sécurité dans AWS Management Console](id_credentials_mfa_enable_fido.md).
+ Si vous utilisez un jeton TOTP matériel, contactez le fournisseur tiers pour qu’il dépanne ou remplace le dispositif. Une fois que vous avez le nouveau dispositif MFA, activez-le comme décrit dans [Attribuez un jeton TOTP matériel dans le AWS Management Console](id_credentials_mfa_enable_physical.md).
**Note**
Vous n'êtes pas obligé de remplacer un dispositif MFA perdu ou volé par le même type de périphérique. Vous pouvez avoir jusqu'à huit dispositifs MFA, quelle que soit leur combinaison. Par exemple, si vous cassez votre clé de sécurité FIDO et en commandez une nouvelle, vous pouvez utiliser un dispositif MFA virtuel ou un jeton TOTP matériel jusqu’à réception de la nouvelle clé FIDO.
1. Si votre dispositif MFA est perdu ou volé, modifiez votre mot de passe , au cas où un pirate informatique aurait volé le dispositif d'authentification et détiendrait également votre mot de passe actuel. Pour de plus amples informations, veuillez consulter [Gérer les mots de passe des utilisateurs IAM](id_credentials_passwords_admin-change-user.md).
# Accès sécurisé aux API avec MFA
Avec les politiques IAM, vous pouvez spécifier quelles opérations d'API un utilisateur est autorisé à appeler. Vous pouvez renforcer la sécurité en exigeant des utilisateurs qu’ils s’authentifient à l’aide d’une authentification multifactorielle (MFA) avant de les autoriser à effectuer des actions particulièrement sensibles.
Par exemple, vous disposez peut-être d'une politique qui autorise l'utilisateur à exécuter les actions Amazon EC2 `RunInstances`, `DescribeInstances` et `StopInstances`. Mais vous souhaiterez peut-être restreindre une action destructrice telle que `TerminateInstances` et vous assurer que les utilisateurs ne peuvent effectuer cette action que s'ils s'authentifient auprès d'un périphérique AWS MFA.
**Topics**
+ [Présentation de](#MFAProtectedAPI-overview)
+ [Scénario : protection MFA pour la délégation entre comptes](#MFAProtectedAPI-cross-account-delegation)
+ [Scénario : protection MFA pour l'accès aux opérations d'API du compte actuel](#MFAProtectedAPI-user-mfa)
+ [Scénario : protection MFA des ressources disposant de politiques basées sur les ressources](#MFAProtectedAPI-resource-policies)
## Présentation de
L'ajout d'une protection MFA aux opérations d'API nécessite les tâches suivantes :
1. L'administrateur configure un dispositif AWS MFA pour chaque utilisateur qui doit effectuer des demandes d'API nécessitant une authentification MFA. Pour de plus amples informations, veuillez consulter [AWS Authentification multifactorielle dans IAM](id_credentials_mfa.md).
1. L'administrateur crée des politiques pour les utilisateurs qui incluent un `Condition` élément qui vérifie si l'utilisateur s'est authentifié avec un dispositif AWS MFA.
1. L'utilisateur appelle l'une des opérations d' AWS STS API prenant en charge les paramètres MFA : [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)ou. [GetSessionToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetSessionToken.html) Dans le cadre de l'appel, l'utilisateur inclut l'identifiant du périphérique associé à l'utilisateur. L'utilisateur inclut également le mot de passe TOTP (Time-based One-Time Password) que le périphérique génère. Dans tous les cas, l'utilisateur récupère les informations d'identification de sécurité temporaires qu'il peut ensuite utiliser pour effectuer des demandes supplémentaires à AWS.
**Note**
La protection MFA des opérations d'API d'un service est uniquement disponible si le service prend en charge les informations d'identification de sécurité temporaires. Pour connaître la liste de ces services, veuillez consulter [Utilisation d'informations d'identification de sécurité temporaires pour accéder à AWS](https://docs.aws.amazon.com/STS/latest/UsingSTS/UsingTokens.html).
Si l'autorisation échoue, AWS renvoie un message d'erreur de refus d'accès (comme c'est le cas pour tout accès non autorisé). Lorsque des politiques d'API protégées par MFA sont en place, AWS refuse l'accès aux opérations d'API spécifiées dans les politiques si l'utilisateur tente d'appeler une opération d'API sans authentification MFA valide. L'opération est également refusée si l'horodatage de la demande pour l'opération d'API se situe en dehors de la plage autorisée spécifiée dans la politique. L'utilisateur doit être à nouveau authentifié avec l'authentification MFA en demandant de nouvelles informations d'identification de sécurité temporaires avec un code MFA et un numéro de série de périphérique.
### Politiques IAM avec des conditions MFA
Les politiques avec des conditions MFA peuvent être attachées à ce qui suit :
+ Un utilisateur ou un groupe IAM
+ Une ressource telle qu'un compartiment Amazon S3, une file d'attente Amazon SQS ou une rubrique Amazon SNS
+ La politique d'approbation d'un rôle IAM qui peut être endossée par un utilisateur
Vous pouvez utiliser une condition MFA d'une politique pour vérifier les propriétés suivantes :
+ Existence : pour vérifier simplement que l'utilisateur s'est authentifié par MFA, vérifiez que la clé `aws:MultiFactorAuthPresent` est `True` dans une condition `Bool`. La clé est uniquement présente lorsque l'utilisateur s'authentifie avec des informations d'identification à court terme. Les informations d'identification à long terme, telles que les clés d'accès, n'incluent pas cette clé.
+ Durée : si vous voulez octroyer l'accès uniquement dans un délai spécifié après l'authentification MFA, utilisez un type de condition numérique pour comparer l'âge de la clé `aws:MultiFactorAuthAge` à une valeur (par exemple 3 600 secondes). Notez que la clé `aws:MultiFactorAuthAge` n'est pas présente si l'authentification MFA n'a pas été utilisée.
L'exemple suivant présente la politique d'approbation d'un rôle IAM incluant une condition MFA pour tester l'existence de l'authentification MFA. Avec cette politique, les utilisateurs Compte AWS spécifiés dans l'`Principal`élément (à `ACCOUNT-B-ID` remplacer par un Compte AWS identifiant valide) peuvent assumer le rôle auquel cette politique est attachée. Toutefois, ces utilisateurs peuvent endosser le rôle uniquement s'ils se sont authentifiés à l'aide de l'authentification MFA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS": "ACCOUNT-B-ID"},
"Action": "sts:AssumeRole",
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}
}
```
------
Pour plus d'informations sur les types de conditions pour l'authentification MFA, consultez [AWS clés contextuelles de condition globale](reference_policies_condition-keys.md), [Opérateurs de condition numériques](reference_policies_elements_condition_operators.md#Conditions_Numeric) et [Opérateur de condition pour vérifier l'existence de clés de condition](reference_policies_elements_condition_operators.md#Conditions_Null)
### Choisir entre GetSessionToken et AssumeRole
AWS STS fournit deux opérations d'API qui permettent aux utilisateurs de transmettre des informations MFA : `GetSessionToken` et. `AssumeRole` L'opération d'API que l'utilisateur appelle pour obtenir des informations d'identification de sécurité temporaires dépend du scénario applicable parmi les suivants :
**Utilisez `GetSessionToken` pour les scénarios suivants :**
+ Appelez les opérations d'API qui accèdent aux ressources de la même manière Compte AWS que l'utilisateur IAM qui fait la demande. Notez que les informations d'identification temporaires issues d'une `GetSessionToken` demande ne peuvent accéder aux opérations IAM et AWS STS API *que* si vous incluez des informations MFA dans la demande d'informations d'identification. Du fait que les informations d'identification temporaires renvoyées par `GetSessionToken` incluent des informations d'authentification MFA, vous pouvez vérifier l'authentification MFA dans les opérations d'API individuelles effectuées par les informations d'identification.
+ Accédez aux ressources protégées par des politiques basées sur les ressources qui incluent une condition MFA.
Le but principal de l'opération `GetSessionToken` est d'authentifier l'utilisateur à l'aide de l'authentification MFA. Vous ne pouvez pas utiliser de stratégies pour contrôler les opérations d’authentification.
**Utilisez `AssumeRole` pour les scénarios suivants :**
+ Appeler des opérations d'API qui accèdent à des ressources dans le même Compte AWS ou dans un compte différent. Les appels d'API peuvent inclure n'importe quel IAM ou AWS STS API. Notez que pour protéger l'accès vous devez appliquer l'authentification MFA au moment où l'utilisateur endosse le rôle. Les informations d'identification temporaires renvoyées par `AssumeRole` n'incluent pas d'informations d'authentification MFA dans ce contexte ; vous ne pouvez donc pas vérifier les opérations d'API individuelles pour l'authentification MFA. C'est pourquoi vous devez utiliser `GetSessionToken` pour restreindre l'accès aux ressources protégées par des politiques basées sur les ressources.
**Note**
AWS CloudTrail les journaux contiendront des informations MFA lorsque l'utilisateur IAM se connectera avec MFA. Si l'utilisateur IAM assume un rôle IAM, il CloudTrail se connectera également aux `sessionContext` attributs des actions effectuées `mfaAuthenticated: true` à l'aide du rôle assumé. Cependant, la CloudTrail journalisation est distincte de ce dont IAM a besoin lorsque des appels d'API sont effectués avec les informations d'identification du rôle assumé. Pour en savoir plus, consultez [Élément CloudTrail userIdentity](https://docs.aws.amazon.com//awscloudtrail/latest/userguide/cloudtrail-event-reference-user-identity.html).
Vous trouverez des détails sur l'implémentation de ces scénarios ultérieurement dans ce document.
### Points importants sur l'accès aux API protégé par MFA
Il est important de comprendre les aspects suivants relatifs à la protection MFA pour les opérations d'API :
+ La protection MFA est uniquement disponible avec les informations d'identification de sécurité temporaires que vous devez obtenir avec `AssumeRole` ou `GetSessionToken`.
+ Vous ne pouvez pas utiliser l'accès à l'API protégé par MFA avec des informations d'identification. Utilisateur racine d'un compte AWS
+ Vous ne pouvez pas utiliser l'accès aux API protégé par MFA avec les clés de sécurité U2F.
+ Les utilisateurs fédérés ne peuvent pas se voir attribuer de périphérique MFA pour une utilisation AWS avec les services, ils ne peuvent donc pas AWS accéder aux ressources contrôlées par le MFA. (Voir le point suivant.)
+ Les autres opérations d' AWS STS API qui renvoient des informations d'identification temporaires ne prennent pas en charge le MFA. Pour `AssumeRoleWithWebIdentity` et`AssumeRoleWithSAML`, l'utilisateur est authentifié par un fournisseur externe et AWS ne peut pas déterminer si ce fournisseur a besoin du MFA. Pour `GetFederationToken`, l'authentification MFA n'est pas nécessairement associée à un utilisateur spécifique.
+ De même, les informations d'identification à long terme (clés d'accès utilisateur IAM et clés d'accès de l’utilisateur racine) ne peuvent pas être utilisées avec l'accès aux API protégé par MFA, car elles n'expirent pas.
+ `AssumeRole` et `GetSessionToken` peuvent également être appelées sans informations MFA. Dans ce cas, le principal récupère les informations d'identification de sécurité temporaires, mais les informations de session de ces informations d'identification temporaires n'indiquent pas que l'utilisateur s'est authentifié avec l'authentification MFA.
+ Pour établir la protection MFA pour les opérations d'API, ajoutez des conditions d'authentification MFA aux politiques. Une politique doit inclure la clé de condition `aws:MultiFactorAuthPresent` pour imposer l'utilisation de l'authentification MFA. Pour la délégation entre comptes, la politique d'approbation du rôle doit inclure la clé de condition.
+ Lorsque vous autorisez une autre personne Compte AWS à accéder aux ressources de votre compte, la sécurité de vos ressources dépend de la configuration du compte approuvé (l'autre compte, pas le vôtre). Cela est vrai même lorsque vous imposez une authentification multi-facteur. Toutes les identités du compte approuvé ayant l'autorisation de créer des dispositifs MFA virtuels peut créer une demande de MFA pour satisfaire cette partie de la politique d'approbation de votre rôle. Avant d'autoriser les membres d'un autre compte à accéder à vos AWS ressources qui nécessitent une authentification à plusieurs facteurs, vous devez vous assurer que le propriétaire du compte de confiance suit les meilleures pratiques en matière de sécurité. Par exemple, le compte approuvé doit restreindre l'accès aux opérations d'API sensibles, telles que les opérations d'API de gestion de dispositif MFA, à des identités approuvées spécifiques.
+ Si une politique inclut une condition MFA, une demande est refusée si les utilisateurs n'ont pas été authentifiés par MFA ou s'ils fournissent un identifiant de dispositif MFA ou un TOTP non valide.
## Scénario : protection MFA pour la délégation entre comptes
Dans ce scénario, vous souhaitez déléguer l'accès aux utilisateurs IAM d'un autre compte, mais uniquement si les utilisateurs sont authentifiés à l'aide d'un appareil MFA AWS . Pour plus d’informations sur la délégation entre comptes, consultez [Termes et concepts relatifs aux rôles](id_roles.md#id_roles_terms-and-concepts).
Imaginons que vous disposiez d'un compte A (le compte d'approbation qui est titulaire de la ressource auxquelles les utilisateurs ont accès), avec l'utilisateur IAM Anaya qui dispose de l'autorisation administrateur. Elle souhaite accorder l'accès à l'utilisateur Richard au compte B (le compte approuvé), mais veut s'assurer que Richard s'est authentifié avec MFA avant d'endosser le rôle.
1. Dans le compte de confiance A, Anaya crée un rôle IAM nommé `CrossAccountRole` et définit le principal de la politique de confiance du rôle sur l'ID du compte B. La politique de confiance autorise l'action. AWS STS `AssumeRole` Anaya ajoute également une condition MFA à la politique d'approbation, comme dans l'exemple suivant.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Principal": {"AWS": "ACCOUNT-B-ID"},
"Action": "sts:AssumeRole",
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}
}
```
------
1. Anaya ajoute une politique d'autorisations au rôle qui spécifie ce que le rôle est autorisé à faire. La politique d'autorisations d'un rôle avec protection MFA est identique à toutes les politiques d'autorisation de rôle. L'exemple suivant montre la politique qu'Anaya ajoute au rôle : elle permet à un utilisateur endossant le rôle d'exécuter toutes les actions Amazon DynamoDB sur la table `Books` dans le compte A. Cette politique permet également l'action `dynamodb:ListTables`, qui est nécessaire pour effectuer des actions dans la console.
**Note**
La politique d'autorisations n'inclut pas de condition MFA. Il est important de comprendre que l'authentification MFA sert uniquement à déterminer si un utilisateur peut endosser le rôle. Une fois que l'utilisateur endosse le rôle, aucune autre vérification MFA n'est effectuée.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "TableActions",
"Effect": "Allow",
"Action": "dynamodb:*",
"Resource": "arn:aws:dynamodb:*:111122223333:table/Books"
},
{
"Sid": "ListTables",
"Effect": "Allow",
"Action": "dynamodb:ListTables",
"Resource": "*"
}
]
}
```
------
1. Dans le compte sécurisé B, l'administrateur s'assure que l'utilisateur IAM Richard est configuré avec un appareil AWS MFA et qu'il connaît l'identifiant de l'appareil. L'ID du périphérique est le numéro de série s'il s'agit d'un dispositif MFA matériel, ou l'ARN du périphérique s'il s'agit d'un dispositif MFA virtuel.
1. Dans le compte B, l'administrateur attache la politique suivante à l'utilisateur Richard (ou à un groupe dont il est membre) qui l'autorise à appeler l'action `AssumeRole`. La ressource est définie sur l'ARN du rôle qu'Anaya a créé à l'étape 1. Notez que cette politique n'inclut aucune condition MFA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": [
"arn:aws:iam::111122223333:role/CrossAccountRole"
]
}
]
}
```
------
1. Dans le compte B, Richard (ou une application qu'il exécute) appelle `AssumeRole`. L'appel d'API inclut l'ARN du rôle à endosser (`arn:aws:iam::ACCOUNT-A-ID:role/CrossAccountRole`), l'ID du dispositif MFA et le TOTP actuel que Richard obtient de ce périphérique.
Lorsque Richard appelle`AssumeRole`, il AWS détermine s'il possède des informations d'identification valides, y compris l'exigence du MFA. Le cas échéant, Richard réussit à endosser le rôle et peut exécuter n'importe quelle action DynamoDB sur la table nommée `Books` dans le compte A tout en utilisant les informations d'identification temporaires du rôle.
Pour obtenir un exemple d'un programme qui appelle `AssumeRole`, consultez [Appels AssumeRole avec authentification MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-assumerole).
## Scénario : protection MFA pour l'accès aux opérations d'API du compte actuel
Dans ce scénario, vous devez vous assurer qu'un utilisateur Compte AWS peut accéder aux opérations d'API sensibles uniquement lorsqu'il est authentifié à l'aide d'un dispositif AWS MFA.
Imaginons que vous ayez un compte A contenant un groupe de développeurs ayant besoin d'utiliser des instances EC2. Les développeurs standard peuvent utiliser les instances, mais ils n'ont pas l'autorisation d'utiliser les actions `ec2:StopInstances` ou `ec2:TerminateInstances`. Vous souhaitez limiter ces actions « destructives » réalisées avec des actions à quelques utilisateurs approuvés uniquement, vous ajoutez donc la protection MFA à la politique qui autorise ces actions Amazon EC2 sensibles.
Dans ce scénario, l'un des utilisateurs approuvé s'appelle Sofía. L'utilisatrice Anaya est administratrice du compte A.
1. Anaya s'assure que Sofía est configurée avec un appareil AWS MFA et que Sofía connaît l'identifiant de l'appareil. L'ID du périphérique est le numéro de série s'il s'agit d'un dispositif MFA matériel, ou l'ARN du périphérique s'il s'agit d'un dispositif MFA virtuel.
1. Anaya crée un groupe appelé `EC2-Admins` et ajoute l'utilisatrice Sofía au groupe.
1. Anaya attache la politique suivante au groupe `EC2-Admins`. Cette politique autorise également les utilisateurs à appeler les actions `StopInstances` et `TerminateInstances` Amazon EC2 uniquement si l'utilisateur s'est authentifié à l'aide de l'authentification MFA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:StopInstances",
"ec2:TerminateInstances"
],
"Resource": ["*"],
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}]
}
```
------
1.
**Note**
Pour que cette politique prenne effet, les utilisateurs doivent d'abord se déconnecter et se connecter à nouveau.
Si l'utilisatrice Sofía a besoin d'arrêter ou de résilier une instance Amazon EC2, elle (ou une application qu'elle exécute) appelle `GetSessionToken`. Cette opération d'API transmet l'ID du dispositif MFA et le TOTP actuel que Sofía obtient de son périphérique.
1. L'utilisatrice Sofía (ou une application qu'elle utilise) utilise les informations d'identification temporaires fournies par `GetSessionToken` pour appeler l'action `StopInstances` ou `TerminateInstances` Amazon EC2.
Pour obtenir un exemple d'un programme qui appelle `GetSessionToken`, consultez [Appels GetSessionToken avec authentification MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) ci-après dans ce document.
## Scénario : protection MFA des ressources disposant de politiques basées sur les ressources
Dans ce scénario, vous êtes le propriétaire d'un compartiment S3, d'une file d'attente SQS ou d'une rubrique SNS. Vous devez vous assurer que tous les Compte AWS utilisateurs accédant à la ressource sont authentifiés par un dispositif MFA AWS .
Ce scénario illustre un processus permettant de fournir une protection MFA entre comptes sans nécessiter que les utilisateurs endossent d'abord un rôle. Dans ce cas, l'utilisateur peut accéder à la ressource s'il répond à trois conditions : l'utilisateur doit être authentifié par l'authentification MFA, être en mesure d'obtenir des informations d'identification temporaires de `GetSessionToken` et disposer d'un compte approuvé par la politique de la ressource.
Imaginons que vous vous trouvez dans le compte A et que vous créez un compartiment S3. Vous souhaitez accorder l'accès à ce compartiment à des utilisateurs appartenant à plusieurs entités différentes Comptes AWS, mais uniquement s'ils sont authentifiés à l'aide de la MFA.
Dans ce scénario, l'utilisatrice Anaya est une administratrice du compte A. L'utilisateur Nikhil est un utilisateur IAM du compte C.
1. Dans le compte A, Anaya crée un compartiment appelé `Account-A-bucket`.
1. Anaya ajoute la politique de compartiment au compartiment. La politique autorise n'importe quel utilisateur du compte A, du compte B ou du compte C à exécuter les actions `PutObject` et `DeleteObject` Amazon S3 dans le compartiment. La politique inclut une condition MFA.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {"AWS": [
"ACCOUNT-A-ID",
"ACCOUNT-B-ID",
"ACCOUNT-C-ID"
]},
"Action": [
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": ["arn:aws:s3:::ACCOUNT-A-BUCKET-NAME/*"],
"Condition": {"Bool": {"aws:MultiFactorAuthPresent": "true"}}
}]
}
```
------
**Note**
Amazon S3 fournit une fonction de suppression MFA (MFA Delete) pour l'accès au compte *racine* (uniquement). Vous pouvez activer la fonction de suppression MFA d'Amazon S3 lorsque vous définissez l'état de la gestion des versions du compartiment. La fonction de suppression MFA d'Amazon S3 ne peut pas être appliquée à un utilisateur IAM et elle est gérée indépendamment de l'accès à l'API protégé par MFA. Un utilisateur IAM disposant des autorisations nécessaires pour supprimer un compartiment ne peut pas le faire si la fonction de suppression MFA Amazon S3 est activée. Pour plus d'informations sur la fonction Supprimer MFA d'Amazon S3, consultez la section [Supprimer MFA](https://docs.aws.amazon.com/AmazonS3/latest/dev/MultiFactorAuthenticationDelete.html).
1. Dans le compte C, un administrateur vérifie que l'utilisateur Nikhil est configuré avec un dispositif MFA AWS et qu'il connaît l'ID du dispositif. L'ID du périphérique est le numéro de série s'il s'agit d'un dispositif MFA matériel, ou l'ARN du périphérique s'il s'agit d'un dispositif MFA virtuel.
1. Dans le compte C, Nikhil (ou une application qu'il exécute) appelle `GetSessionToken`. L'appel inclut l'ID ou l'ARN du dispositif MFA et le TOTP actuel que Nikhil obtient de ce périphérique.
1. Nikhil (ou une application qu'il utilise) utilise les informations d'identification temporaires renvoyées par `GetSessionToken` pour appeler l'action `PutObject` Amazon S3 afin de télécharger un fichier dans `Account-A-bucket`.
Pour obtenir un exemple d'un programme qui appelle `GetSessionToken`, consultez [Appels GetSessionToken avec authentification MFA](id_credentials_mfa_sample-code.md#MFAProtectedAPI-example-getsessiontoken) ci-après dans ce document.
**Note**
Les informations d'identification temporaires renvoyées par `AssumeRole` ne fonctionnent pas dans ce cas. Bien que l'utilisateur puisse fournir les informations MFA lui permettant d'endosser un rôle, les informations d'identification temporaires renvoyées par `AssumeRole` n'incluent par les informations MFA. Ces informations sont requises pour satisfaire la condition MFA de la politique.
# Exemple de code : demande d'informations d'identification avec l'authentification multifacteur
Les exemples suivants montrent comment appeler les opérations `GetSessionToken` et `AssumeRole` et transmettre les paramètres d'authentification MFA. Aucune autorisation n'est requise pour appeler `GetSessionToken`, toutefois, vous devez disposer d'une politique vous permettant d'appeler `AssumeRole`. Les informations d'identification renvoyées sont ensuite utilisées afin de répertorier tous les compartiments S3 dans le compte.
## Appels GetSessionToken avec authentification MFA
L'exemple suivant explique comment appeler `GetSessionToken` et transmettre les informations d'authentification MFA. Les informations d'identification de sécurité temporaires renvoyées par l'opération `GetSessionToken` sont ensuite utilisées pour répertorier tous les compartiments S3 dans le compte.
La politique associée à l'utilisateur exécutant ce code (ou à un groupe dont fait partie l'utilisateur) fournit les autorisations pour les informations d'identification temporaires renvoyées. Dans cet exemple de code, la politique doit autoriser l'utilisateur à demander l'opération `ListBuckets` Amazon S3.
Les exemples de code suivants illustrent comment utiliser `GetSessionToken`.
------
#### [ CLI ]
**AWS CLI**
**Pour obtenir un ensemble d’informations d’identification à court terme d’une identité IAM**
La commande `get-session-token` suivante extrait un ensemble d’informations d’identification à court terme pour l’identité IAM qui effectue l’appel. Les informations d’identification obtenues peuvent être utilisées pour les requêtes où l’authentification multifactorielle (MFA) est requise par la politique. Les informations d’identification expirent 15 minutes après leur création.
```
aws sts get-session-token \
--duration-seconds 900 \
--serial-number "YourMFADeviceSerialNumber" \
--token-code 123456
```
Sortie :
```
{
"Credentials": {
"AccessKeyId": "ASIAIOSFODNN7EXAMPLE",
"SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
"SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
"Expiration": "2020-05-19T18:06:10+00:00"
}
}
```
Pour plus d’informations, consultez [Demande d’informations d’identification temporaires de sécurité](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html#api_getsessiontoken) dans le *Guide de l’utilisateur AWS IAM*.
+ Pour plus de détails sur l'API, voir [GetSessionToken](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/get-session-token.html)la section *Référence des AWS CLI commandes*.
------
#### [ PowerShell ]
**Outils pour PowerShell V4**
**Exemple 1 : renvoie une instance `Amazon.RuntimeAWSCredentials` contenant des informations d’identification temporaires valables pendant une période définie. Les informations d’identification utilisées pour demander des informations d’identification temporaires sont déduites des paramètres par défaut actuels du shell. Pour spécifier d'autres informations d'identification, utilisez les SecretKey paramètres - ProfileName ou - AccessKey /-.**
```
Get-STSSessionToken
```
**Sortie** :
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
**Exemple 2 : renvoie une instance `Amazon.RuntimeAWSCredentials` contenant des informations d’identification temporaires valides pour une heure. Les informations d’identification utilisées pour effectuer la demande sont obtenues à partir du profil spécifié.**
```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Sortie** :
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
**Exemple 3 : renvoie une instance `Amazon.RuntimeAWSCredentials` contenant des informations d’identification temporaires valables pendant une heure en utilisant le numéro d’identification du dispositif MFA associé au compte dont les informations d’identification sont spécifiées dans le profil « myprofilename » et la valeur fournie par le dispositif.**
```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Sortie** :
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
+ Pour plus de détails sur l'API, reportez-vous [GetSessionToken](https://docs.aws.amazon.com/powershell/v4/reference)à la section *Référence des Outils AWS pour PowerShell applets de commande (V4)*.
**Outils pour PowerShell V5**
**Exemple 1 : renvoie une instance `Amazon.RuntimeAWSCredentials` contenant des informations d’identification temporaires valables pendant une période définie. Les informations d’identification utilisées pour demander des informations d’identification temporaires sont déduites des paramètres par défaut actuels du shell. Pour spécifier d'autres informations d'identification, utilisez les SecretKey paramètres - ProfileName ou - AccessKey /-.**
```
Get-STSSessionToken
```
**Sortie** :
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
**Exemple 2 : renvoie une instance `Amazon.RuntimeAWSCredentials` contenant des informations d’identification temporaires valides pour une heure. Les informations d’identification utilisées pour effectuer la demande sont obtenues à partir du profil spécifié.**
```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile
```
**Sortie** :
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
**Exemple 3 : renvoie une instance `Amazon.RuntimeAWSCredentials` contenant des informations d’identification temporaires valables pendant une heure en utilisant le numéro d’identification du dispositif MFA associé au compte dont les informations d’identification sont spécifiées dans le profil « myprofilename » et la valeur fournie par le dispositif.**
```
Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456
```
**Sortie** :
```
AccessKeyId Expiration SecretAccessKey SessionToken
----------- ---------- --------------- ------------
EXAMPLEACCESSKEYID 2/16/2015 9:12:28 PM examplesecretaccesskey... SamPleTokeN.....
```
+ Pour plus de détails sur l'API, reportez-vous [GetSessionToken](https://docs.aws.amazon.com/powershell/v5/reference)à la section *Référence des Outils AWS pour PowerShell applets de commande (V5)*.
------
#### [ Python ]
**Kit SDK for Python (Boto3)**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples).
Obtenez un jeton de session en transmettant un jeton MFA et utilisez-le pour répertorier les compartiments Amazon S3 pour le compte.
```
def list_buckets_with_session_token_with_mfa(mfa_serial_number, mfa_totp, sts_client):
"""
Gets a session token with MFA credentials and uses the temporary session
credentials to list Amazon S3 buckets.
Requires an MFA device serial number and token.
:param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
device, this is an Amazon Resource Name (ARN).
:param mfa_totp: A time-based, one-time password issued by the MFA device.
:param sts_client: A Boto3 STS instance that has permission to assume the role.
"""
if mfa_serial_number is not None:
response = sts_client.get_session_token(
SerialNumber=mfa_serial_number, TokenCode=mfa_totp
)
else:
response = sts_client.get_session_token()
temp_credentials = response["Credentials"]
s3_resource = boto3.resource(
"s3",
aws_access_key_id=temp_credentials["AccessKeyId"],
aws_secret_access_key=temp_credentials["SecretAccessKey"],
aws_session_token=temp_credentials["SessionToken"],
)
print(f"Buckets for the account:")
for bucket in s3_resource.buckets.all():
print(bucket.name)
```
+ Pour plus de détails sur l'API, consultez [GetSessionToken](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/GetSessionToken)le *AWS manuel de référence de l'API SDK for Python (Boto3*).
------
## Appels AssumeRole avec authentification MFA
Les exemples suivants, expliquent comment appeler `AssumeRole` et transmettre les informations d'authentification MFA. Les informations d'identification de sécurité temporaires renvoyées par `AssumeRole` sont ensuite utilisées pour répertorier tous les compartiments Amazon S3 du compte.
Pour plus d'informations sur ce scénario, consultez [Scénario : protection MFA pour la délégation entre comptes](id_credentials_mfa_configure-api-require.md#MFAProtectedAPI-cross-account-delegation).
Les exemples de code suivants illustrent comment utiliser `AssumeRole`.
------
#### [ .NET ]
**SDK pour .NET**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/dotnetv3/STS#code-examples).
```
using System;
using System.Threading.Tasks;
using Amazon;
using Amazon.SecurityToken;
using Amazon.SecurityToken.Model;
namespace AssumeRoleExample
{
class AssumeRole
{
///
/// This example shows how to use the AWS Security Token
/// Service (AWS STS) to assume an IAM role.
///
/// NOTE: It is important that the role that will be assumed has a
/// trust relationship with the account that will assume the role.
///
/// Before you run the example, you need to create the role you want to
/// assume and have it trust the IAM account that will assume that role.
///
/// See https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html
/// for help in working with roles.
///
// A region property may be used if the profile or credentials loaded do not specify a region,
// or to use a specific region.
private static readonly RegionEndpoint REGION = RegionEndpoint.USWest2;
static async Task Main()
{
// Create the SecurityToken client and then display the identity of the
// default user.
var roleArnToAssume = "arn:aws:iam::123456789012:role/testAssumeRole";
var client = new Amazon.SecurityToken.AmazonSecurityTokenServiceClient(REGION);
// Get and display the information about the identity of the default user.
var callerIdRequest = new GetCallerIdentityRequest();
var caller = await client.GetCallerIdentityAsync(callerIdRequest);
Console.WriteLine($"Original Caller: {caller.Arn}");
// Create the request to use with the AssumeRoleAsync call.
var assumeRoleReq = new AssumeRoleRequest()
{
DurationSeconds = 1600,
RoleSessionName = "Session1",
RoleArn = roleArnToAssume
};
var assumeRoleRes = await client.AssumeRoleAsync(assumeRoleReq);
// Now create a new client based on the credentials of the caller assuming the role.
var client2 = new AmazonSecurityTokenServiceClient(credentials: assumeRoleRes.Credentials, REGION);
// Get and display information about the caller that has assumed the defined role.
var caller2 = await client2.GetCallerIdentityAsync(callerIdRequest);
Console.WriteLine($"AssumedRole Caller: {caller2.Arn}");
}
}
}
```
+ Pour plus de détails sur l'API, voir [AssumeRole](https://docs.aws.amazon.com/goto/DotNetSDKV3/sts-2011-06-15/AssumeRole)la section *Référence des AWS SDK pour .NET API*.
------
#### [ Bash ]
**AWS CLI avec le script Bash**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/aws-cli/bash-linux/iam#code-examples).
```
###############################################################################
# function iecho
#
# This function enables the script to display the specified text only if
# the global variable $VERBOSE is set to true.
###############################################################################
function iecho() {
if [[ $VERBOSE == true ]]; then
echo "$@"
fi
}
###############################################################################
# function errecho
#
# This function outputs everything sent to it to STDERR (standard error output).
###############################################################################
function errecho() {
printf "%s\n" "$*" 1>&2
}
###############################################################################
# function sts_assume_role
#
# This function assumes a role in the AWS account and returns the temporary
# credentials.
#
# Parameters:
# -n role_session_name -- The name of the session.
# -r role_arn -- The ARN of the role to assume.
#
# Returns:
# [access_key_id, secret_access_key, session_token]
# And:
# 0 - If successful.
# 1 - If an error occurred.
###############################################################################
function sts_assume_role() {
local role_session_name role_arn response
local option OPTARG # Required to use getopts command in a function.
# bashsupport disable=BP5008
function usage() {
echo "function sts_assume_role"
echo "Assumes a role in the AWS account and returns the temporary credentials:"
echo " -n role_session_name -- The name of the session."
echo " -r role_arn -- The ARN of the role to assume."
echo ""
}
while getopts n:r:h option; do
case "${option}" in
n) role_session_name=${OPTARG} ;;
r) role_arn=${OPTARG} ;;
h)
usage
return 0
;;
\?)
echo "Invalid parameter"
usage
return 1
;;
esac
done
response=$(aws sts assume-role \
--role-session-name "$role_session_name" \
--role-arn "$role_arn" \
--output text \
--query "Credentials.[AccessKeyId, SecretAccessKey, SessionToken]")
local error_code=${?}
if [[ $error_code -ne 0 ]]; then
aws_cli_error_log $error_code
errecho "ERROR: AWS reports create-role operation failed.\n$response"
return 1
fi
echo "$response"
return 0
}
```
+ Pour plus de détails sur l'API, voir [AssumeRole](https://docs.aws.amazon.com/goto/aws-cli/sts-2011-06-15/AssumeRole)la section *Référence des AWS CLI commandes*.
------
#### [ C\$1\$1 ]
**SDK pour C\$1\$1**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/cpp/example_code/sts#code-examples).
```
bool AwsDoc::STS::assumeRole(const Aws::String &roleArn,
const Aws::String &roleSessionName,
const Aws::String &externalId,
Aws::Auth::AWSCredentials &credentials,
const Aws::Client::ClientConfiguration &clientConfig) {
Aws::STS::STSClient sts(clientConfig);
Aws::STS::Model::AssumeRoleRequest sts_req;
sts_req.SetRoleArn(roleArn);
sts_req.SetRoleSessionName(roleSessionName);
sts_req.SetExternalId(externalId);
const Aws::STS::Model::AssumeRoleOutcome outcome = sts.AssumeRole(sts_req);
if (!outcome.IsSuccess()) {
std::cerr << "Error assuming IAM role. " <<
outcome.GetError().GetMessage() << std::endl;
}
else {
std::cout << "Credentials successfully retrieved." << std::endl;
const Aws::STS::Model::AssumeRoleResult result = outcome.GetResult();
const Aws::STS::Model::Credentials &temp_credentials = result.GetCredentials();
// Store temporary credentials in return argument.
// Note: The credentials object returned by assumeRole differs
// from the AWSCredentials object used in most situations.
credentials.SetAWSAccessKeyId(temp_credentials.GetAccessKeyId());
credentials.SetAWSSecretKey(temp_credentials.GetSecretAccessKey());
credentials.SetSessionToken(temp_credentials.GetSessionToken());
}
return outcome.IsSuccess();
}
```
+ Pour plus de détails sur l'API, voir [AssumeRole](https://docs.aws.amazon.com/goto/SdkForCpp/sts-2011-06-15/AssumeRole)la section *Référence des AWS SDK pour C\$1\$1 API*.
------
#### [ CLI ]
**AWS CLI**
**Pour endosser un rôle**
La commande `assume-role` suivante extrait un ensemble d’informations d’identification à court terme pour le rôle IAM `s3-access-example`.
```
aws sts assume-role \
--role-arn arn:aws:iam::123456789012:role/xaccounts3access \
--role-session-name s3-access-example
```
Sortie :
```
{
"AssumedRoleUser": {
"AssumedRoleId": "AROA3XFRBF535PLBIFPI4:s3-access-example",
"Arn": "arn:aws:sts::123456789012:assumed-role/xaccounts3access/s3-access-example"
},
"Credentials": {
"SecretAccessKey": "9drTJvcXLB89EXAMPLELB8923FB892xMFI",
"SessionToken": "AQoXdzELDDY//////////wEaoAK1wvxJY12r2IrDFT2IvAzTCn3zHoZ7YNtpiQLF0MqZye/qwjzP2iEXAMPLEbw/m3hsj8VBTkPORGvr9jM5sgP+w9IZWZnU+LWhmg+a5fDi2oTGUYcdg9uexQ4mtCHIHfi4citgqZTgco40Yqr4lIlo4V2b2Dyauk0eYFNebHtYlFVgAUj+7Indz3LU0aTWk1WKIjHmmMCIoTkyYp/k7kUG7moeEYKSitwQIi6Gjn+nyzM+PtoA3685ixzv0R7i5rjQi0YE0lf1oeie3bDiNHncmzosRM6SFiPzSvp6h/32xQuZsjcypmwsPSDtTPYcs0+YN/8BRi2/IcrxSpnWEXAMPLEXSDFTAQAM6Dl9zR0tXoybnlrZIwMLlMi1Kcgo5OytwU=",
"Expiration": "2016-03-15T00:05:07Z",
"AccessKeyId": "ASIAJEXAMPLEXEG2JICEA"
}
}
```
La sortie de la commande contient une clé d’accès, une clé secrète et un jeton de session que vous pouvez utiliser pour vous authentifier auprès d’ AWS.
Pour l'utilisation de la AWS CLI, vous pouvez configurer un profil nommé associé à un rôle. Lorsque vous utilisez le profil, la AWS CLI appelle assume-role et gère les informations d'identification pour vous. Pour plus d'informations, consultez la section [Utiliser un rôle IAM dans la AWS CLI du](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-role.html) *Guide de l'utilisateur de la AWS CLI*.
+ Pour plus de détails sur l'API, voir [AssumeRole](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sts/assume-role.html)la section *Référence des AWS CLI commandes*.
------
#### [ Java ]
**SDK pour Java 2.x**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javav2/example_code/sts#code-examples).
```
import software.amazon.awssdk.regions.Region;
import software.amazon.awssdk.services.sts.StsClient;
import software.amazon.awssdk.services.sts.model.AssumeRoleRequest;
import software.amazon.awssdk.services.sts.model.StsException;
import software.amazon.awssdk.services.sts.model.AssumeRoleResponse;
import software.amazon.awssdk.services.sts.model.Credentials;
import java.time.Instant;
import java.time.ZoneId;
import java.time.format.DateTimeFormatter;
import java.time.format.FormatStyle;
import java.util.Locale;
/**
* To make this code example work, create a Role that you want to assume.
* Then define a Trust Relationship in the AWS Console. You can use this as an
* example:
*
* {
* "Version":"2012-10-17",
* "Statement": [
* {
* "Effect": "Allow",
* "Principal": {
* "AWS": ""
* },
* "Action": "sts:AssumeRole"
* }
* ]
* }
*
* For more information, see "Editing the Trust Relationship for an Existing
* Role" in the AWS Directory Service guide.
*
* Also, set up your development environment, including your credentials.
*
* For information, see this documentation topic:
*
* https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/get-started.html
*/
public class AssumeRole {
public static void main(String[] args) {
final String usage = """
Usage:
\s
Where:
roleArn - The Amazon Resource Name (ARN) of the role to assume (for example, arn:aws:iam::000008047983:role/s3role).\s
roleSessionName - An identifier for the assumed role session (for example, mysession).\s
""";
if (args.length != 2) {
System.out.println(usage);
System.exit(1);
}
String roleArn = args[0];
String roleSessionName = args[1];
Region region = Region.US_EAST_1;
StsClient stsClient = StsClient.builder()
.region(region)
.build();
assumeGivenRole(stsClient, roleArn, roleSessionName);
stsClient.close();
}
public static void assumeGivenRole(StsClient stsClient, String roleArn, String roleSessionName) {
try {
AssumeRoleRequest roleRequest = AssumeRoleRequest.builder()
.roleArn(roleArn)
.roleSessionName(roleSessionName)
.build();
AssumeRoleResponse roleResponse = stsClient.assumeRole(roleRequest);
Credentials myCreds = roleResponse.credentials();
// Display the time when the temp creds expire.
Instant exTime = myCreds.expiration();
String tokenInfo = myCreds.sessionToken();
// Convert the Instant to readable date.
DateTimeFormatter formatter = DateTimeFormatter.ofLocalizedDateTime(FormatStyle.SHORT)
.withLocale(Locale.US)
.withZone(ZoneId.systemDefault());
formatter.format(exTime);
System.out.println("The token " + tokenInfo + " expires on " + exTime);
} catch (StsException e) {
System.err.println(e.getMessage());
System.exit(1);
}
}
}
```
+ Pour plus de détails sur l'API, voir [AssumeRole](https://docs.aws.amazon.com/goto/SdkForJavaV2/sts-2011-06-15/AssumeRole)la section *Référence des AWS SDK for Java 2.x API*.
------
#### [ JavaScript ]
**SDK pour JavaScript (v3)**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascriptv3/example_code/sts#code-examples).
Créez le client.
```
import { STSClient } from "@aws-sdk/client-sts";
// Set the AWS Region.
const REGION = "us-east-1";
// Create an AWS STS service client object.
export const client = new STSClient({ region: REGION });
```
Assumez le rôle IAM.
```
import { AssumeRoleCommand } from "@aws-sdk/client-sts";
import { client } from "../libs/client.js";
export const main = async () => {
try {
// Returns a set of temporary security credentials that you can use to
// access Amazon Web Services resources that you might not normally
// have access to.
const command = new AssumeRoleCommand({
// The Amazon Resource Name (ARN) of the role to assume.
RoleArn: "ROLE_ARN",
// An identifier for the assumed role session.
RoleSessionName: "session1",
// The duration, in seconds, of the role session. The value specified
// can range from 900 seconds (15 minutes) up to the maximum session
// duration set for the role.
DurationSeconds: 900,
});
const response = await client.send(command);
console.log(response);
} catch (err) {
console.error(err);
}
};
```
+ Pour plus de détails sur l'API, voir [AssumeRole](https://docs.aws.amazon.com/AWSJavaScriptSDK/v3/latest/client/sts/command/AssumeRoleCommand)la section *Référence des AWS SDK pour JavaScript API*.
**SDK pour JavaScript (v2)**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/javascript/example_code/sts#code-examples).
```
// Load the AWS SDK for Node.js
const AWS = require("aws-sdk");
// Set the region
AWS.config.update({ region: "REGION" });
var roleToAssume = {
RoleArn: "arn:aws:iam::123456789012:role/RoleName",
RoleSessionName: "session1",
DurationSeconds: 900,
};
var roleCreds;
// Create the STS service object
var sts = new AWS.STS({ apiVersion: "2011-06-15" });
//Assume Role
sts.assumeRole(roleToAssume, function (err, data) {
if (err) console.log(err, err.stack);
else {
roleCreds = {
accessKeyId: data.Credentials.AccessKeyId,
secretAccessKey: data.Credentials.SecretAccessKey,
sessionToken: data.Credentials.SessionToken,
};
stsGetCallerIdentity(roleCreds);
}
});
//Get Arn of current identity
function stsGetCallerIdentity(creds) {
var stsParams = { credentials: creds };
// Create STS service object
var sts = new AWS.STS(stsParams);
sts.getCallerIdentity({}, function (err, data) {
if (err) {
console.log(err, err.stack);
} else {
console.log(data.Arn);
}
});
}
```
+ Pour plus de détails sur l'API, voir [AssumeRole](https://docs.aws.amazon.com/goto/AWSJavaScriptSDK/sts-2011-06-15/AssumeRole)la section *Référence des AWS SDK pour JavaScript API*.
------
#### [ PowerShell ]
**Outils pour PowerShell V4**
**Exemple 1 : renvoie un ensemble d'informations d'identification temporaires (clé d'accès, clé secrète et jeton de session) qui peuvent être utilisées pendant une heure pour accéder à AWS des ressources auxquelles l'utilisateur demandeur n'a pas normalement accès. Les informations d’identification renvoyées disposent des autorisations autorisées par la stratégie d’accès du rôle assumé et par la politique fournie (vous ne pouvez pas utiliser la politique fournie pour accorder des autorisations supérieures à celles définies par la stratégie d’accès du rôle assumé).**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Exemple 2 : renvoie un ensemble d’informations d’identification temporaires, valides pendant une heure, dotées des mêmes autorisations que celles définies dans la stratégie d’accès du rôle assumé.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Exemple 3 : renvoie un ensemble d’informations d’identification temporaires fournissant le numéro de série et le jeton généré par une MFA associée aux informations d’identification de l’utilisateur utilisées pour exécuter l’applet de commande.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Exemple 4 : renvoie un ensemble d’informations d’identification temporaires qui ont endossé un rôle défini dans le compte d’un client. Pour chaque rôle que le tiers peut assumer, le compte client doit créer un rôle à l'aide d'un identifiant qui doit être transmis dans le ExternalId paramètre - chaque fois que le rôle est assumé.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+ Pour plus de détails sur l'API, reportez-vous [AssumeRole](https://docs.aws.amazon.com/powershell/v4/reference)à la section *Référence des Outils AWS pour PowerShell applets de commande (V4)*.
**Outils pour PowerShell V5**
**Exemple 1 : renvoie un ensemble d'informations d'identification temporaires (clé d'accès, clé secrète et jeton de session) qui peuvent être utilisées pendant une heure pour accéder à AWS des ressources auxquelles l'utilisateur demandeur n'a pas normalement accès. Les informations d’identification renvoyées disposent des autorisations autorisées par la stratégie d’accès du rôle assumé et par la politique fournie (vous ne pouvez pas utiliser la politique fournie pour accorder des autorisations supérieures à celles définies par la stratégie d’accès du rôle assumé).**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600
```
**Exemple 2 : renvoie un ensemble d’informations d’identification temporaires, valides pendant une heure, dotées des mêmes autorisations que celles définies dans la stratégie d’accès du rôle assumé.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600
```
**Exemple 3 : renvoie un ensemble d’informations d’identification temporaires fournissant le numéro de série et le jeton généré par une MFA associée aux informations d’identification de l’utilisateur utilisées pour exécuter l’applet de commande.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"
```
**Exemple 4 : renvoie un ensemble d’informations d’identification temporaires qui ont endossé un rôle défini dans le compte d’un client. Pour chaque rôle que le tiers peut assumer, le compte client doit créer un rôle à l'aide d'un identifiant qui doit être transmis dans le ExternalId paramètre - chaque fois que le rôle est assumé.**
```
Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"
```
+ Pour plus de détails sur l'API, reportez-vous [AssumeRole](https://docs.aws.amazon.com/powershell/v5/reference)à la section *Référence des Outils AWS pour PowerShell applets de commande (V5)*.
------
#### [ Python ]
**Kit SDK for Python (Boto3)**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/python/example_code/sts#code-examples).
Assumez un rôle IAM qui nécessite un jeton MFA et utilisez des informations d’identification temporaires pour répertorier les compartiments Amazon S3 pour le compte.
```
def list_buckets_from_assumed_role_with_mfa(
assume_role_arn, session_name, mfa_serial_number, mfa_totp, sts_client
):
"""
Assumes a role from another account and uses the temporary credentials from
that role to list the Amazon S3 buckets that are owned by the other account.
Requires an MFA device serial number and token.
The assumed role must grant permission to list the buckets in the other account.
:param assume_role_arn: The Amazon Resource Name (ARN) of the role that
grants access to list the other account's buckets.
:param session_name: The name of the STS session.
:param mfa_serial_number: The serial number of the MFA device. For a virtual MFA
device, this is an ARN.
:param mfa_totp: A time-based, one-time password issued by the MFA device.
:param sts_client: A Boto3 STS instance that has permission to assume the role.
"""
response = sts_client.assume_role(
RoleArn=assume_role_arn,
RoleSessionName=session_name,
SerialNumber=mfa_serial_number,
TokenCode=mfa_totp,
)
temp_credentials = response["Credentials"]
print(f"Assumed role {assume_role_arn} and got temporary credentials.")
s3_resource = boto3.resource(
"s3",
aws_access_key_id=temp_credentials["AccessKeyId"],
aws_secret_access_key=temp_credentials["SecretAccessKey"],
aws_session_token=temp_credentials["SessionToken"],
)
print(f"Listing buckets for the assumed role's account:")
for bucket in s3_resource.buckets.all():
print(bucket.name)
```
+ Pour plus de détails sur l'API, consultez [AssumeRole](https://docs.aws.amazon.com/goto/boto3/sts-2011-06-15/AssumeRole)le *AWS manuel de référence de l'API SDK for Python (Boto3*).
------
#### [ Ruby ]
**Kit SDK pour Ruby**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/ruby/example_code/iam#code-examples).
```
# Creates an AWS Security Token Service (AWS STS) client with specified credentials.
# This is separated into a factory function so that it can be mocked for unit testing.
#
# @param key_id [String] The ID of the access key used by the STS client.
# @param key_secret [String] The secret part of the access key used by the STS client.
def create_sts_client(key_id, key_secret)
Aws::STS::Client.new(access_key_id: key_id, secret_access_key: key_secret)
end
# Gets temporary credentials that can be used to assume a role.
#
# @param role_arn [String] The ARN of the role that is assumed when these credentials
# are used.
# @param sts_client [AWS::STS::Client] An AWS STS client.
# @return [Aws::AssumeRoleCredentials] The credentials that can be used to assume the role.
def assume_role(role_arn, sts_client)
credentials = Aws::AssumeRoleCredentials.new(
client: sts_client,
role_arn: role_arn,
role_session_name: 'create-use-assume-role-scenario'
)
@logger.info("Assumed role '#{role_arn}', got temporary credentials.")
credentials
end
```
+ Pour plus de détails sur l'API, voir [AssumeRole](https://docs.aws.amazon.com/goto/SdkForRubyV3/sts-2011-06-15/AssumeRole)la section *Référence des AWS SDK pour Ruby API*.
------
#### [ Rust ]
**SDK pour Rust**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/rustv1/examples/sts/#code-examples).
```
async fn assume_role(config: &SdkConfig, role_name: String, session_name: Option) {
let provider = aws_config::sts::AssumeRoleProvider::builder(role_name)
.session_name(session_name.unwrap_or("rust_sdk_example_session".into()))
.configure(config)
.build()
.await;
let local_config = aws_config::from_env()
.credentials_provider(provider)
.load()
.await;
let client = Client::new(&local_config);
let req = client.get_caller_identity();
let resp = req.send().await;
match resp {
Ok(e) => {
println!("UserID : {}", e.user_id().unwrap_or_default());
println!("Account: {}", e.account().unwrap_or_default());
println!("Arn : {}", e.arn().unwrap_or_default());
}
Err(e) => println!("{:?}", e),
}
}
```
+ Pour plus de détails sur l'API, voir [AssumeRole](https://docs.rs/aws-sdk-sts/latest/aws_sdk_sts/client/struct.Client.html#method.assume_role)la section de *référence de l'API AWS SDK for Rust*.
------
#### [ Swift ]
**Kit SDK pour Swift**
Il y en a plus sur GitHub. Trouvez l’exemple complet et découvrez comment le configurer et l’exécuter dans le [référentiel d’exemples de code AWS](https://github.com/awsdocs/aws-doc-sdk-examples/tree/main/swift/example_code/iam#code-examples).
```
import AWSSTS
public func assumeRole(role: IAMClientTypes.Role, sessionName: String)
async throws -> STSClientTypes.Credentials
{
let input = AssumeRoleInput(
roleArn: role.arn,
roleSessionName: sessionName
)
do {
let output = try await stsClient.assumeRole(input: input)
guard let credentials = output.credentials else {
throw ServiceHandlerError.authError
}
return credentials
} catch {
print("Error assuming role: ", dump(error))
throw error
}
}
```
+ Pour plus de détails sur l'API, reportez-vous [AssumeRole](https://sdk.amazonaws.com/swift/api/awssts/latest/documentation/awssts/stsclient/assumerole(input:))à la section *AWS SDK pour la référence de l'API Swift*.
------
# Informations d’identification spécifiques au service pour les utilisateurs IAM
Les informations d'identification spécifiques à un service sont des mécanismes d'authentification spécialisés conçus pour des services spécifiques AWS . Ces informations d'identification fournissent une authentification simplifiée par rapport aux AWS informations d'identification standard et sont adaptées aux exigences d'authentification de chaque AWS service. Contrairement aux clés d'accès, qui peuvent être utilisées pour plusieurs AWS services, les informations d'identification spécifiques à un service sont conçues pour être utilisées uniquement avec le service pour lequel elles ont été créées. Cette approche ciblée améliore la sécurité en limitant la portée des informations d’identification.
Les informations d’identification spécifiques à un service se composent généralement d’un nom d’utilisateur et d’un mot de passe ou de clés d’API spécialisées dont le format est conforme aux exigences du service concerné. Lorsque vous créez des informations d’identification spécifiques à un service, celles-ci sont actives par défaut et peuvent être utilisées immédiatement. Vous pouvez avoir un maximum de deux ensembles d’informations d’identification spécifiques au service pour chaque service pris en charge par utilisateur IAM. Cette limite vous permet de conserver un ensemble actif tout en passant à un nouveau set en cas de besoin. AWS prend actuellement en charge les informations d'identification spécifiques au service pour les services suivants :
## Quand utiliser les informations d'identification spécifiques au service
Les informations d'identification spécifiques au service sont destinées à être compatibles avec des bibliothèques SDKs, des outils ou des applications tiers qui ne sont pas compatibles nativement avec les AWS informations d'identification, AWS SDKs ou. AWS APIs Ces cas d'utilisation incluent la migration vers des AWS services à partir d'une infrastructure auto-hébergée ou de services hébergés par d'autres fournisseurs.
Lorsque vous partez de zéro, et dans la mesure du possible, nous vous recommandons d'utiliser des informations d'identification AWS temporaires, telles que celles fournies par un rôle IAM, pour vous authentifier auprès d'un AWS service à l'aide d'un AWS SDK ou d'une bibliothèque qui prend en charge AWS les informations d'identification temporaires.
## Changement des informations d’identification spécifiques au service
En tant que bonne pratique en matière de sécurité, renouvelez régulièrement les informations d’identification spécifiques aux services. Pour changer les informations d’identification sans perturber vos applications :
1. Créez un deuxième ensemble d’informations d’identification spécifiques au service pour le même service et le même utilisateur IAM
1. Mettez à jour toutes les applications afin qu’elles utilisent les nouvelles informations d’identification et vérifiez qu’elles fonctionnent correctement
1. Modifiez le statut des informations d’identification d’origine en « Inactif »
1. Vérifiez que toutes les applications fonctionnent toujours correctement
1. Supprimez les informations d’identification spécifiques au service inactif lorsque vous êtes certain qu’elles ne sont plus nécessaires.
## Surveillance des informations d’identification spécifiques au service
Vous pouvez l'utiliser AWS CloudTrail pour surveiller l'utilisation des informations d'identification spécifiques au service dans votre AWS compte. Pour consulter les CloudTrail événements liés à l'utilisation des informations d'identification spécifiques à un service, consultez les CloudTrail journaux des événements provenant du service où les informations d'identification sont utilisées. Pour de plus amples informations, veuillez consulter [Journalisation des appels IAM et AWS STS API avec AWS CloudTrail](cloudtrail-integration.md).
Pour plus de sécurité, envisagez de configurer des CloudWatch alarmes pour vous avertir de modèles d'utilisation spécifiques des informations d'identification susceptibles d'indiquer un accès non autorisé ou d'autres problèmes de sécurité. Pour plus d'informations, consultez la section [Surveillance des fichiers CloudTrail CloudWatch journaux avec Amazon Logs](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/monitor-cloudtrail-log-files-with-cloudwatch-logs.html) dans le *guide de AWS CloudTrail l'utilisateur*.
Les rubriques suivantes fournissent des informations sur les informations d’identification spécifiques au service.
**Topics**
+ [Quand utiliser les informations d'identification spécifiques au service](#id_credentials_service-specific-creds-usecase)
+ [Changement des informations d’identification spécifiques au service](#id_credentials_service-specific-creds-rotation)
+ [Surveillance des informations d’identification spécifiques au service](#id_credentials_service-specific-creds-monitoring)
+ [Clés d'API pour Amazon Bedrock et Amazon CloudWatch Logs](id_credentials_bedrock_cloudwatchlogs.md)
+ [Utilisation d’IAM avec Amazon Keyspaces (pour Apache Cassandra)](id_credentials_keyspaces.md)
# Clés d'API pour Amazon Bedrock et Amazon CloudWatch Logs
**Note**
Les clés d'API Amazon CloudWatch Logs sont actuellement disponibles en version préliminaire et seront généralement disponibles dans les semaines à venir. Les clés d'API Amazon CloudWatch Logs ressemblent étroitement aux clés d'API à long terme d'Amazon Bedrock décrites sur cette page. Pour en savoir plus sur les clés d'API à long terme d'Amazon CloudWatch Logs, consultez [Envoyer des journaux à Amazon CloudWatch Logs à l'aide du point de terminaison HLC](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/CWL_HLC_Endpoint.html).
Amazon Bedrock est un service entièrement géré qui propose des modèles de base provenant des principales entreprises d’IA et d’Amazon. Vous pouvez accéder à Amazon Bedrock via AWS Management Console et par programmation à l'aide de l' AWS CLI API ou. AWS Lorsque vous effectuez des demandes programmatiques auprès d’Amazon Bedrock, vous pouvez vous authentifier à l’aide d’[informations d’identification de sécurité temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html) ou de clés API Amazon Bedrock. Amazon Bedrock prend en charge deux types de clés d’API :
+ **Clés d'API à** court terme — Une clé d'API à court terme est une URL pré-signée qui utilise AWS la version 4 de Signature. Les clés API à court terme partagent les mêmes autorisations et la même date d’expiration que les informations d’identification de l’identité qui génère la clé d’API. Elles sont valables pendant 12 heures maximum ou jusqu’à la fin de votre session sur la console, selon la durée la plus courte. Vous pouvez utiliser la console Amazon Bedrock, le package Python `aws-bedrock-token-generator` et les packages d’autres langages de programmation pour générer des clés d’API à court terme. Pour plus d’informations, consultez la section [Générer des clés d’API Amazon Bedrock pour accéder facilement à l’API Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys.html) dans le *Guide de l’utilisateur Amazon Bedrock*.
+ **Clés d’API à long terme **: les clés d’API à long terme sont associées à un utilisateur IAM et générées à l’aide d’[informations d’identification](id_credentials_service-specific-creds.md) spécifiques au service IAM. Ces informations d’identification sont conçues pour être utilisées uniquement avec Amazon Bedrock, ce qui renforce la sécurité en limitant leur portée. Vous pouvez définir une date d’expiration pour la clé d’API à long terme. Vous pouvez utiliser la console IAM ou Amazon Bedrock, la AWS CLI ou l' AWS API pour générer des clés d'API à long terme.
Un utilisateur IAM peut disposer d’un maximum de deux clés d’API à long terme pour Amazon Bedrock, ce qui vous aide à mettre en œuvre des pratiques sécurisées de rotation des clés.
Lorsque vous générez une clé d'API à long terme, la politique AWS gérée [AmazonBedrockLimitedAccess](https://docs.aws.amazon.com/bedrock/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AmazonBedrockLimitedAccess)est automatiquement attachée à l'utilisateur IAM. Cette politique accorde l’accès aux principales opérations d’API Amazon Bedrock. Si vous avez besoin d’un accès supplémentaire à Amazon Bedrock, vous pouvez modifier les autorisations de l’utilisateur IAM. Pour plus d’informations sur la modification des autorisations, consultez [Ajout et suppression d'autorisations basées sur l'identité IAM](access_policies_manage-attach-detach.md). Pour plus d’informations sur l’utilisation d’une clé Amazon Bedrock, consultez la section [Utilisation d’une clé d’API Amazon Bedrock](https://docs.aws.amazon.com/bedrock/latest/userguide/api-keys-use.html) dans le *Guide de l’utilisateur Amazon Bedrock*.
**Note**
Les clés d’API à long terme présentent un risque de sécurité plus élevé que les clés d’API à court terme. Nous vous recommandons d’utiliser des clés d’API à court terme ou des informations d’identification de sécurité temporaires si possible. Si vous utilisez des clés API à long terme, nous vous recommandons de mettre en place des pratiques régulières de rotation des clés.
## Conditions préalables
Avant de pouvoir générer une clé d’API Amazon Bedrock à long terme à partir de la console IAM, vous devez remplir les conditions préalables suivantes :
+ Un utilisateur IAM à associer à la clé d’API à long terme. Pour plus d’informations sur la création d’un utilisateur IAM, consultez [Créez un utilisateur IAM dans votre Compte AWS](id_users_create.md).
+ Assurez-vous de disposer des autorisations de politique IAM suivantes pour gérer les informations d’identification spécifiques au service pour un utilisateur IAM. L’exemple de politique accorde l’autorisation de créer, répertorier, mettre à jour, supprimer et réinitialiser les informations d’identification spécifiques au service. Remplacez la valeur `username` dans l’élément Resource par le nom de l’utilisateur IAM pour lequel vous allez générer des clés d’API Amazon Bedrock :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ManageBedrockServiceSpecificCredentials",
"Effect": "Allow",
"Action": [
"iam:CreateServiceSpecificCredential",
"iam:ListServiceSpecificCredentials",
"iam:UpdateServiceSpecificCredential",
"iam:DeleteServiceSpecificCredential",
"iam:ResetServiceSpecificCredential"
],
"Resource": "arn:aws:iam::*:user/username"
}
]
}
```
------
## Génération d’une clé d’API à long terme pour Amazon Bedrock (console)
**Pour générer une clé d’API à long terme pour Amazon Bedrock (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation de la console IAM, sélectionnez **Utilisateurs**.
1. Sélectionnez l’utilisateur IAM pour lequel vous souhaitez générer des clés d’API Amazon Bedrock à long terme.
1. Choisissez l’onglet **Informations d’identification de sécurité.**
1. Dans la section **Clés d’API pour Amazon Bedrock**, choisissez **Générer une clé d’API**.
1. Pour **Epiration de la clé d’API**, effectuez l’une des actions suivantes :
+ Sélectionnez une durée d’expiration de la clé d’API de **1**, **5**, **30**, **90** ou **365** jours.
+ Choisissez **Durée personnalisée** pour spécifier une date d’expiration personnalisée pour la clé d’API.
+ Sélectionnez **Ne jamais expirer** (non recommandé)
1. Choisissez **Générer une clé d’API**.
1. Copiez ou téléchargez votre clé d’API. C’est le seul moment où vous pouvez voir la valeur de la clé API.
**Important**
Stockez votre clé d’API en toute sécurité. Une fois la boîte de dialogue fermée, vous ne pouvez plus récupérer la clé d’API. Si vous perdez ou oubliez votre clé d’accès secrète, vous ne pourrez pas la récupérer. Créez plutôt une nouvelle clé d’accès et désactivez l’ancienne.
## Génération d’une clé d’API à long terme pour Amazon Bedrock (AWS CLI)
Pour générer une clé d'API à long terme Amazon Bedrock à l'aide de AWS CLI, procédez comme suit :
1. Créez un utilisateur IAM qui sera utilisé avec Amazon Bedrock à l’aide de la commande [create-user](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-user.html) :
```
aws iam create-user \
--user-name BedrockAPIKey_1
```
1. Associez la politique AWS gérée `AmazonBedrockLimitedAccess` à l'utilisateur Amazon Bedrock IAM à l'aide de la [ attach-user-policy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/attach-user-policy.html)commande :
```
aws iam attach-user-policy --user-name BedrockAPIKey_1 \
--policy-arn arn:aws:iam::aws:policy/AmazonBedrockLimitedAccess
```
1. Générez la clé d'API à long terme Amazon Bedrock à l'aide de la [ create-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/create-service-specific-credential.html)commande. Pour la durée de validité des informations d’identification, vous pouvez spécifier une valeur comprise entre 1 et 36 600 jours. Si vous ne spécifiez pas de durée de validité, la clé d’API n’expirera pas.
Pour générer une clé d’API à long terme avec une expiration de 30 jours, procédez comme suit :
```
aws iam create-service-specific-credential \
--user-name BedrockAPIKey_1 \
--service-name bedrock.amazonaws.com \
--credential-age-days 30
```
La valeur `ServiceApiKeyValue` renvoyée dans la réponse est votre clé d’API Amazon Bedrock à long terme. Stockez la valeur `ServiceApiKeyValue` en toute sécurité, car vous ne pourrez pas la récupérer ultérieurement.
### Répertorier les clés d’API à long terme (AWS CLI)
Pour répertorier les métadonnées des clés d'API à long terme d'Amazon Bedrock pour un utilisateur spécifique, utilisez la [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)commande avec le `--user-name` paramètre :
```
aws iam list-service-specific-credentials \
--service-name bedrock.amazonaws.com \
--user-name BedrockAPIKey_1
```
Pour répertorier toutes les métadonnées des clés d'API à long terme Amazon Bedrock présentes dans le compte, utilisez la [ list-service-specific-credentials](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/list-service-specific-credentials.html)commande avec le `--all-users` paramètre :
```
aws iam list-service-specific-credentials \
--service-name bedrock.amazonaws.com \
--all-users
```
### Mettre à jour le statut de la clé d’API à long terme (AWS CLI)
Pour mettre à jour le statut d'une clé d'API à long terme pour Amazon Bedrock, utilisez la [ update-service-specific-credential](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iam/update-service-specific-credential.html)commande :
```
aws iam update-service-specific-credential \
--user-name "BedrockAPIKey_1" \
--service-specific-credential-id "ACCA1234EXAMPLE1234" \
--status Inactive|Active
```
## Génération d'une clé d'API à long terme pour Amazon Bedrock (AWS API)
Vous pouvez utiliser les opérations d’API suivantes pour générer et gérer des clés d’API à long terme pour Amazon Bedrock :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceSpecificCredential.html)
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ResetServiceSpecificCredential.html)
# Utilisation d’IAM avec Amazon Keyspaces (pour Apache Cassandra)
Amazon Keyspaces (pour Apache Cassandra) est un service de base de données compatible avec Apache Cassandra, évolutif, hautement disponible et géré. Vous pouvez accéder à Amazon Keyspaces par le biais du ou par AWS Management Console programme. Pour accéder à Amazon Keyspaces de manière programmatique avec des informations d'identification spécifiques au service, vous pouvez utiliser `cqlsh` ou des pilotes Cassandra open source. Les *informations d'identification spécifiques à un service* comprennent un nom d'utilisateur et un mot de passe similaires à ceux que Cassandra utilise pour l'authentification et la gestion des accès. Vous pouvez avoir un maximum de deux ensembles d'informations d’identification spécifiques au service pour chaque service pris en charge par utilisateur.
Pour accéder à Amazon Keyspaces par programmation à l'aide de clés d' AWS accès, vous pouvez utiliser le AWS SDK, le AWS Command Line Interface (AWS CLI) ou les pilotes Cassandra open source avec le plugin SigV4. Pour en savoir plus, consultez la section [Création et configuration des AWS informations d'identification pour Amazon Keyspaces](https://docs.aws.amazon.com//keyspaces/latest/devguide/access.credentials.html) (pour Apache Cassandra) dans le guide du développeur Amazon *Keyspaces (pour Apache Cassandra*).
**Note**
Si vous envisagez d'interagir avec Amazon Keyspaces uniquement via la console, vous n'avez pas besoin de générer des informations d'identification spécifiques au service. Pour de plus amples informations, veuillez consulter la rubrique [Accès à Amazon Keyspaces à l'aide de la console](https://docs.aws.amazon.com/keyspaces/latest/devguide/console_keyspaces.html) dans le *Guide du développeur Amazon Keyspaces (pour Apache Cassandra)*.
Pour de plus amples informations sur les autorisations requises pour accéder à Amazon Keyspaces, veuillez consulter [Exemples de politiques basées sur l'identité Amazon Keyspaces (for Apache Cassandra)](https://docs.aws.amazon.com/keyspaces/latest/devguide/security_iam_id-based-policy-examples.html#security_iam_id-based-policy-examples-console) dans le *Manuel du développeur Amazon Keyspaces (for Apache Cassandra)*.
## Génération d'informations d'identification Amazon Keyspaces (console)
Vous pouvez utiliser le AWS Management Console pour générer des informations d'identification Amazon Keyspaces (pour Apache Cassandra) pour vos utilisateurs IAM.
**Pour générer des informations d'identification spécifiques au service Amazon Keyspaces (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **Users (Utilisateurs)**, puis choisissez le nom de l'utilisateur ayant besoin d'informations d'identification.
1. Dans l'onglet **Security Credentials** (informations d'identification de sécurité) sous **Credentials for Amazon Keyspaces (informations d’identification pour Amazon Keyspaces) (pour Apache Cassandra) (MCS)** sélectionnez **Generate credentials** (générer des informations d'identification).
1. Vos informations d'identification spécifiques au service sont disponibles. C'est la seule fois que vous pouvez afficher ou télécharger le mot de passe. Vous ne pourrez pas la récupérer plus tard. Cependant, vous pouvez réinitialiser votre mot de passe à tout moment. Enregistrez cet utilisateur et ce mot de passe dans un emplacement sécurisé, car vous en aurez besoin plus tard.
## Génération d'informations d'identification Amazon Keyspaces (AWS CLI)
Vous pouvez utiliser le AWS CLI pour générer des informations d'identification Amazon Keyspaces (pour Apache Cassandra) pour vos utilisateurs IAM.
**Pour générer des informations d'identification spécifiques au service Amazon Keyspaces (AWS CLI)**
+ Utilisez la commande suivante :
+ [était iam create-service-specific-credential](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-specific-credential.html)
## Génération d'informations d'identification Amazon Keyspaces (API)AWS
Vous pouvez utiliser l' AWS API pour générer des informations d'identification Amazon Keyspaces (pour Apache Cassandra) pour vos utilisateurs IAM.
**Pour générer des informations d'identification (API) spécifiques au service Amazon Keyspaces AWS**
+ Complétez l'opération suivante :
+ [CreateServiceSpecificCredential](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceSpecificCredential.html)
# Trouver les AWS informations d'identification non utilisées
Pour renforcer la sécurité de votre compte Compte AWS, supprimez les informations d'identification utilisateur IAM (c'est-à-dire les mots de passe et les clés d'accès) qui ne sont pas nécessaires. Par exemple, lorsque des utilisateurs quittent votre organisation ou n'ont plus besoin d'y AWS accéder, recherchez les informations d'identification qu'ils utilisaient et assurez-vous qu'elles ne sont plus opérationnelles. Idéalement, supprimez les informations d'identification qui ne sont plus requises. Il est toujours possible de les recréer ultérieurement, si nécessaire. Vous devez au moins modifier le mot de passe ou désactiver les clés d'accès afin que les anciens utilisateurs ne soient plus en mesure de s'en servir.
La signification du mot *inutilisées* peut bien sûr varier : cela indique généralement que les informations d'identification n'ont pas été utilisées au cours d'un laps de temps spécifié.
## Recherche de mots de passe inutilisés
Vous pouvez utiliser le AWS Management Console pour consulter les informations relatives à l'utilisation des mots de passe par vos utilisateurs. Si vous disposez d'un nombre volumineux d'utilisateurs, vous pouvez utiliser la console pour télécharger un rapport d'informations d'identification contenant des données sur la dernière utilisation du mot de passe de console par chaque utilisateur. Vous pouvez également accéder aux informations à partir de l'API AWS CLI ou de l'API IAM.
**Pour rechercher les mots de passe inutilisés (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, choisissez **utilisateurs**.
1. Au besoin, ajoutez la colonne **Console last sign-in (Dernière connexion à la console)** à la table des utilisateurs :
1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres (![\[Settings icon\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-settings-icon.console.png)).
1. Dans **Sélectionner les colonnes visibles**, sélectionnez **Dernière connexion à la console**.
1. Choisissez **Confirmer** pour revenir à la liste des utilisateurs.
1. La colonne **Dernière connexion à la console** indique la date à laquelle l'utilisateur s'est connecté pour la dernière fois AWS via la console. Ces informations vous permettent de rechercher les utilisateurs avec mots de passe ne s'étant pas connectés depuis une période donnée. La colonne affiche **Jamais** pour les utilisateurs avec mots de passe ne s'étant jamais connectés. **Aucun** indique les utilisateurs sans mot de passe. Les mots de passe qui n'ont pas été utilisés récemment peuvent être supprimés.
**Important**
En raison d'un problème de service, les données de dernière d'utilisation du mot de passe n'incluent pas l'utilisation du mot de passe entre le 3 mai 2018 et le 23 mai 2018 22:50 14:08 PDT (heure du Pacifique). [Cela affecte les dates de [dernière connexion](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) affichées dans la console IAM et les dates de dernière utilisation du mot de passe dans le [rapport d'identification IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html), et renvoyées par l'opération d'API. GetUser ](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html) Si des utilisateurs se sont connectés au cours de la période concernée, la date de dernière d'utilisation du mot de passe renvoyée est la date de la dernière connexion de l'utilisateur avant le 3 mai 2018. Pour les utilisateurs qui se sont connectés après le 23 mai 2018 14:08 PDT, la date de dernière utilisation du mot de passe renvoyée est exacte.
Si vous utilisez les informations de dernière utilisation du mot de passe pour identifier les informations d'identification non utilisées à supprimer, par exemple en supprimant des utilisateurs qui ne se AWS sont pas connectés au cours des 90 derniers jours, nous vous recommandons d'ajuster votre fenêtre d'évaluation pour inclure les dates postérieures au 23 mai 2018. Par ailleurs, si vos utilisateurs utilisent des clés d'accès pour accéder AWS par programmation, vous pouvez vous référer aux dernières informations utilisées sur les clés d'accès, car elles sont exactes pour toutes les dates.
**Pour rechercher les mots de passe inutilisés en téléchargeant le rapport d'informations d'identification (console)**
1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.
1. Dans le panneau de navigation, sélectionnez **Rapport sur les informations d'identification**.
1. Choisissez **Télécharger le rapport** pour télécharger un fichier CSV nommé `status_reports_T