Modification des autorisations pour un utilisateur IAM - AWS Identity and Access Management
Afficher l'accès des utilisateursGénérer une politique basée sur l'activité d'accès d'un utilisateurAjout d'autorisations à un utilisateur (console)Modification des autorisations pour un utilisateur (console)Pour supprimer une politique d’autorisations d’un utilisateur (console)Pour supprimer la limite des autorisations d’un utilisateur (console)Ajout et suppression des autorisations d'un utilisateur (AWS CLI ou API AWS)

Modification des autorisations pour un utilisateur IAM

Vous pouvez modifier les autorisations d'un utilisateur IAM dans votre Compte AWS en modifiant ses appartenances à un groupe, en copiant les autorisations d'un utilisateur existant, en attachant des politiques directement à un utilisateur ou en définissant une limite des autorisations. Une limite d'autorisations contrôle les autorisations maximum dont un utilisateur peut disposer. Les limites d'autorisations constituent une fonctionnalité AWS avancée.

Pour plus d'informations sur les autorisations requises pour modifier les autorisations d'un utilisateur, consultez Autorisations requises pour accéder aux autres ressources IAM.

Afficher l'accès des utilisateurs

Avant de modifier les autorisations d'un utilisateur, vous devez passer en revue ses activités récentes au niveau service. Ceci est important, car vous ne souhaitez pas supprimer l'accès à partir d'un principal (personne ou application) qui l'utilise. Pour de plus amples informations sur l'affichage des dernières informations consultées, consultez Ajustement des autorisations dans AWS à l’aide des dernières informations consultées.

Générer une politique basée sur l'activité d'accès d'un utilisateur

Vous pouvez parfois octroyer plus d'autorisations à une entité IAM (utilisateur ou rôle) qu'elle n'en a besoin. Pour affiner les autorisations que vous octroyez, vous pouvez générer une politique IAM basée sur l'activité d'accès d'une entité. IAM Access Analyzer passe en revue vos journaux AWS CloudTrail et génère un modèle de politique contenant les autorisations qui ont été utilisées par l'entité dans la plage de dates spécifiée. Vous pouvez utiliser le modèle pour créer une politique gérée avec des autorisations affinées, puis l'attacher à l'entité IAM. De cette façon, vous accordez uniquement les autorisations dont l'utilisateur ou le rôle a besoin pour interagir avec les ressources AWS pour votre cas d'utilisation spécifique. Pour en savoir plus, consultez Génération d’une politique de l’analyseur d’accès IAM.

Ajout d'autorisations à un utilisateur (console)

IAM propose trois méthodes pour ajouter des politiques d'autorisations à un utilisateur :

  • Ajouter l’utilisateur IAM à un groupe IAM : faites de l’utilisateur un membre d’un groupe. Les politiques du groupe sont attachées à l'utilisateur.

  • Copier les autorisations d’un utilisateur IAM existant : copiez toutes les appartenances à un groupe, toutes les politiques gérées attachées, les politiques en ligne et toutes les limites des autorisations existantes d’un utilisateur source.

  • Attacher directement des politiques à l’utilisateur IAM : attachez directement une politique gérée à l’utilisateur. Pour faciliter la gestion des autorisations, affectez vos politiques à un groupe, puis faites de ces utilisateurs IAM des membres des groupes appropriés.

Important

Si l’utilisateur dispose d’une limite des autorisations, alors vous ne pouvez pas ajouter à l’utilisateur plus d’autorisations que le permet la limite.

Pour ajouter des autorisations en ajoutant l’utilisateur IAM à un groupe

L’ajout d’un utilisateur IAM à un groupe IAM met immédiatement à jour les autorisations de l’utilisateur avec les autorisations définies pour le groupe.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d'accueil de la console, sélectionnez le service IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste des Users (Utilisateurs), choisissez le nom d'utilisateur IAM.

  5. Sélectionnez l’onglet Groupes pour afficher la liste des groupes qui incluent l’utilisateur actuel.

  6. Choisissez Ajouter l’utilisateur aux groupes.

  7. Activez la case à cocher pour chaque groupe que l’utilisateur doit rejoindre. La liste affiche le nom de chaque groupe et les politiques que l'utilisateur reçoit s'il devient membre de ce groupe.

  8. (Facultatif) Vous pouvez choisir Créer un groupe pour définir un nouveau groupe. Cela est utile si vous souhaitez ajouter l’utilisateur à un groupe auquel sont associées des politiques différentes de celles des groupes existants :

    1. Dans le nouvel onglet, pour Nom du groupe d'utilisateurs, saisissez le nom de votre nouveau groupe.

      Note

      Le nombre et la taille des ressources IAM dans un compte AWS sont limités. Pour plus d’informations, veuillez consulter Quotas IAM et AWS STS. Les noms de groupe peuvent combiner jusqu'à 128 lettres, chiffres et caractères suivants : plus (+), égal (=), virgule (,), point (.), arobase (@) et tiret (-). Les noms doivent être uniques dans un compte. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux groupes nommés TESTGROUP et testgroup.

    2. Cochez une ou plusieurs cases pour les politiques gérées que vous souhaitez attacher au groupe. Vous pouvez également créer une politique gérée en choisissant Créer une politique. Le cas échéant, revenez dans la fenêtre ou l'onglet du navigateur une fois la nouvelle politique créée. Choisissez Refresh (Actualiser), puis choisissez la nouvelle politique à attacher à votre groupe. Pour en savoir plus, consultez Définition d’autorisations IAM personnalisées avec des politiques gérées par le client.

    3. Choisissez Créer un groupe d'utilisateurs.

    4. Revenez à l'onglet initial, actualisez votre liste de groupes. Puis cochez la case correspondant à votre nouveau groupe.

  9. Choisissez Ajouter l’utilisateur au(x) groupe(s).

La console affiche un message d’état vous informant que l’utilisateur a été ajouté aux groupes que vous avez spécifié.

Pour ajouter des autorisations en copiant celles d’un autre utilisateur IAM

Si vous choisissez d’ajouter des autorisations à un utilisateur IAM en copiant des autorisations, IAM copie toutes les appartenances à des groupes, les politiques gérées attachées, les politiques en ligne et toutes les limites des autorisations existantes de l’utilisateur spécifié et les applique immédiatement à l’utilisateur actuellement sélectionné.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d'accueil de la console, sélectionnez le service IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste des Users (Utilisateurs), choisissez le nom d'utilisateur IAM.

  5. Sous l’onglet Autorisations, choisissez Ajouter des autorisations.

  6. Sur la page Ajouter des autorisations, choisissez Copier des autorisations. La liste affiche les utilisateurs IAM disponibles ainsi que leur appartenance à un groupe et les politiques attachées.

  7. Sélectionnez le bouton radio en regard de l'utilisateur dont vous voulez copier les autorisations.

  8. Choisissez Suivant pour afficher la liste des modifications apportées à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

La console affiche un message d’état vous informant que les autorisations ont été copiées depuis l’utilisateur IAM que vous avez spécifié.

Pour ajouter des autorisations en attachant les politiques directement à l’utilisateur IAM

Vous pouvez attacher une politique gérée directement à un utilisateur IAM. Les autorisations mises à jour sont appliquées immédiatement.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d'accueil de la console, sélectionnez le service IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste des Users (Utilisateurs), choisissez le nom d'utilisateur IAM.

  5. Sous l’onglet Autorisations, choisissez Ajouter des autorisations.

  6. Sur la page Ajouter des autorisations, choisissez Attacher directement les politiques. La liste des Politiques d’autorisations affiche les politiques disponibles ainsi que leurs types de politiques et les entités associées.

  7. Sélectionnez le bouton en regard du Nom de la politique que vous souhaitez attacher.

  8. Choisissez Suivant pour afficher la liste des modifications apportées à l'utilisateur. Choisissez ensuite Add permissions (Ajouter des autorisations).

La console affiche un message d’état vous informant que la politique a été ajoutée à l’utilisateur IAM que vous avez spécifié.

Pour définir la limite des autorisations pour un utilisateur IAM

Une limite des autorisations est une fonctionnalité avancée permettant de gérer les autorisations dans AWS, qui est utilisée pour définir les autorisations maximales qu’un utilisateur IAM peut avoir. La définition d’une limite des autorisations restreint immédiatement les autorisations de l’utilisateur IAM à cette limite, quelles que soient les autres autorisations accordées.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d'accueil de la console, sélectionnez le service IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisteurs, choisissez le nom de l’utilisateur IAM dont vous souhaitez modifier la limite des autorisations.

  5. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Limite d'autorisations, puis choisissez Définir une limite d'autorisations.

  6. Sur la page Définir la limite des autorisations, sous Politiques d’autorisations, sélectionnez la politique que vous souhaitez utiliser pour la limite des autorisations.

  7. Choisissez Set boundary (Définir une limite).

La console affiche un message d’état vous informant que la limite des autorisations a été ajoutée.

Modification des autorisations pour un utilisateur (console)

IAM vous permet de modifier les autorisations associées à un utilisateur de la manière suivante :

  • Edit a permissions policy (Modifier une politique d'autorisations) : modifiez la politique en ligne d'un utilisateur, la politique en ligne du groupe de l'utilisateur ou une politique gérée attachée directement à l'utilisateur ou à partir d'un groupe. Si l'utilisateur dispose d'une limite d'autorisations, alors vous ne pouvez pas fournir plus d'autorisations que le permet la politique utilisée comme limite d'autorisations de l'utilisateur.

  • Changing the permissions boundary (Modification de la limite d'autorisations) : modifiez la politique utilisée comme limite d'autorisations pour l'utilisateur. Cette action peut développer ou limiter les autorisations maximum dont dispose un utilisateur.

Modification d'une politique d'autorisations attachée à un utilisateur

La modification d’autorisations met immédiatement à jour l’accès de l’utilisateur.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d'accueil de la console, sélectionnez le service IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisteurs, choisissez le nom de l’utilisateur IAM dont vous souhaitez modifier la limite des autorisations.

  5. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Limite des autorisations.

  6. Choisissez le nom de la politique que vous souhaitez modifier pour en afficher les détails. Choisissez l’onglet Entités attachées pour afficher d’autres entités (utilisateurs, groupes et rôles IAM) qui pourraient être affectées par la modification de la politique.

  7. Choisissez l'onglet Autorisations et examinez les autorisations accordées par la politique. Pour modifier les autorisations, choisissez Modifier.

  8. Modifiez la politique et résolvez les recommandations sur la validation des politiques. Pour en savoir plus, consultez Modification de politiques IAM.

  9. Choisissez Suivant, examinez le récapitulatif de la politique, puis choisissez Enregistrer les modifications.

La console affiche un message d’état vous informant que la politique a été mise à jour.

Pour changer la limite des autorisations pour un utilisateur

La modification d’une limite des autorisations met immédiatement à jour l’accès de l’utilisateur.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d'accueil de la console, sélectionnez le service IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisteurs, choisissez le nom de l’utilisateur IAM dont vous souhaitez modifier la limite des autorisations.

  5. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Permissions boundary (Limite d'autorisations), puis choisissez Change boundary (Modifier une limite).

  6. Sélectionnez la politique que vous souhaitez utiliser pour la limite d'autorisations.

  7. Choisissez Set boundary (Définir une limite).

La console affiche un message d’état vous informant que la limite des autorisations a été modifiée.

Pour supprimer une politique d’autorisations d’un utilisateur (console)

La suppression d’autorisations met immédiatement à jour l’accès de l’utilisateur.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d'accueil de la console, sélectionnez le service IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Choisissez le nom de l’utilisateur dont vous souhaitez supprimer les politiques d’autorisations.

  5. Choisissez l’onglet Permissions (Autorisations).

  6. Si vous souhaitez supprimer les autorisations en supprimant une politique existante, affichez la colonne Attachée via pour comprendre comment l’utilisateur obtient cette politique avant de choisir Supprimer pour supprimer celle-ci :

    • Si la politique s'applique en raison de l'appartenance à un groupe, choisissez Supprimer pour supprimer l'utilisateur du groupe. N'oubliez pas que vous pouvez avoir plusieurs politiques attachées à un seul groupe. Si vous supprimez un utilisateur d'un groupe, il perd l'accès à toutes les politiques qu'il reçoit par le biais de cette appartenance au groupe.

    • Si la politique est une politique gérée attachée directement à l'utilisateur, choisissez Supprimer pour détacher la politique de l'utilisateur. Cela n'affecte pas la politique elle-même ni aucune autre entité à laquelle la politique pourrait être attachée.

    • S’il s’agit d’une politique en ligne intégrée, sélectionnez Supprimer pour supprimer la politique d’IAM. Les politiques en ligne attachées directement à un utilisateur existent uniquement sur cet utilisateur.

Si la politique a été accordée à l’utilisateur par le biais d’une adhésion à un groupe, la console affiche un message d’état vous informant que l’utilisateur IAM a été supprimé du groupe IAM. Si la politique est directement attachée ou intégrée, le message d’état vous informe que la politique a été supprimée.

Pour supprimer la limite des autorisations d’un utilisateur (console)

La suppression de la limite des autorisations met immédiatement à jour l’accès de l’utilisateur.

IAM console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d'accueil de la console, sélectionnez le service IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Dans la liste Utilisteurs, choisissez le nom de l’utilisateur IAM dont vous souhaitez supprimer la limite des autorisations.

  5. Choisissez l’onglet Permissions (Autorisations). Si nécessaire, ouvrez la section Limite des autorisations.

  6. Choisissez Change boundary (Modifier une limite). Pour confirmer que vous souhaitez supprimer la limite des autorisations, sélectionnez Supprimer la limite dans la boîte de dialogue de confirmation.

La console affiche un message d’état vous informant que la limite des autorisations a été supprimée.

Ajout et suppression des autorisations d'un utilisateur (AWS CLI ou API AWS)

Pour ajouter ou supprimer des autorisations par programme, vous devez ajouter ou supprimer l'appartenance au groupe, attacher ou détacher les politiques gérées, ou ajouter ou supprimer les politiques en ligne. Pour plus d’informations, consultez les rubriques suivantes :