Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Important
En guise de bonne pratique IAM, nous vous recommandons d'exiger des utilisateurs humains qu'ils se joignent à un fournisseur d'identité en utilisant la fédération pour accéder à AWS en utilisant des informations d'identification temporaires et non pas des utilisateurs IAM aves des informations d’identification à long terme. Nous vous recommandons de n’utiliser les utilisateurs IAM que pour les cas d’utilisation spécifiques non pris en charge par les utilisateurs fédérés.
Le processus de création d’un utilisateur IAM et sa capacité à exécuter des tâches se compose des étapes suivantes :
-
Créez l’utilisateur dans l’AWS Management Console, l’AWS CLI, Tools for Windows PowerShell ou via une opération d’API AWS. Si vous créez l'utilisateur dans AWS Management Console, les étapes 1 à 4 sont gérées automatiquement en fonction de vos choix. Si vous créez les utilisateurs IAM par programme, vous devez exécuter chacune de ces étapes individuellement.
-
Créez les informations d'identification pour l'utilisateur, en fonction du type d'accès dont il a besoin :
-
Activer l'accès à la console – facultatif : Si l'utilisateur doit accéder à la AWS Management Console, créez-lui un mot de passe. La désactivation de l'accès à la console pour un utilisateur l'empêche de se connecter à l'AWS Management Console à l'aide de son nom d'utilisateur et de son mot de passe. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé.
Astuce
Créez uniquement les informations d'identification dont a besoin l'utilisateur. Par exemple, pour un utilisateur exigeant un accès uniquement via l'AWS Management Console, ne créez pas de clés d'accès.
-
-
Donner à l’utilisateur les autorisations nécessaires pour effectuer les tâches requises. Nous vous recommandons de placer vos utilisateurs IAM dans des groupes et de gérer leurs autorisations par le biais de politiques attachées à ces groupes. Toutefois, vous pouvez également accorder des autorisations en attachant des politiques d’autorisations directement à l’utilisateur. Si vous utilisez la console pour ajouter l’utilisateur, vous pouvez copier les autorisations d’un utilisateur existant vers le nouvel utilisateur.
Vous pouvez également ajouter une limite des autorisations pour limiter les autorisations de l’utilisateur en spécifiant une politique qui définit les autorisations maximales que l’utilisateur peut avoir. Les limites des autorisations n’accordent aucune autorisation.
Pour obtenir des instructions sur la création d’une politique d’autorisation personnalisée à utiliser pour accorder des autorisations ou définir une limite des autorisations, consultez Définition d’autorisations IAM personnalisées avec des politiques gérées par le client.
-
(Facultatif) Ajoutez des métadonnées à l'utilisateur en associant des balises. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balises pour les ressources AWS Identity and Access Management.
-
Fournissez à l'utilisateur les informations nécessaires à la connexion. Cela inclut le mot de passe et l'URL de la console de la page de connexion au compte sur laquelle l'utilisateur saisit ces informations d'identification. Pour plus d’informations, veuillez consulter Comment IAM les utilisateurs se connectent à AWS.
-
(Facultatif) Configurez l'authentification multifacteur (MFA) pour l'utilisateur. MFA exige que l'utilisateur fournisse un code à utilisation unique chaque fois qu'il se connecte à AWS Management Console.
-
(Facultatif) Accordez aux utilisateurs IAM les autorisations requises pour gérer leurs propres informations d’identification. (Par défaut, les utilisateurs IAM ne sont pas autorisés à gérer leurs propres informations d’identification.) Pour en savoir plus, consultez Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe.
Note
Si vous utilisez la console pour créer l’utilisateur et que vous sélectionnez l’Utilisateur doit créer un nouveau mot de passe à la prochaine connexion (recommandé), l’utilisateur dispose des autorisations requises.
Pour plus d'informations sur les autorisations requises pour créer un utilisateur, consultez Autorisations requises pour accéder aux autres ressources IAM.
Pour de plus amples informations sur la création d’utilisateurs IAM pour des cas d’utilisation particuliers, consultez les rubriques suivantes :