Comment IAM les utilisateurs se connectent à AWS - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment IAM les utilisateurs se connectent à AWS

Pour vous connecter en AWS Management Console tant qu'IAMutilisateur, vous devez fournir votre identifiant de compte ou votre alias de compte en plus de votre nom d'utilisateur et de votre mot de passe. Lorsque votre administrateur a créé votre IAM utilisateur dans la console, il aurait dû vous envoyer vos informations de connexion, notamment votre nom d'utilisateur et la page de connexion URL à votre compte qui inclut votre identifiant de compte ou votre alias de compte. 

https://My_AWS_Account_ID.signin.aws.amazon.com/console/
Conseil

Pour créer un signet pour la page de connexion de votre compte dans votre navigateur Web, vous devez saisir manuellement l'identifiant de connexion de votre compte dans le URL signet. N'utilisez pas la fonction de signet de votre navigateur Web, car les redirections peuvent masquer la connexion. URL

Vous pouvez également vous connecter au point de terminaison général suivant et saisir manuellement votre ID de compte ou votre alias de compte :

https://console.aws.amazon.com/

Pour plus de commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser le nom IAM d'utilisateur et les informations du compte. La prochaine fois que l'utilisateur accède à une page du AWS Management Console, la console utilise le cookie pour le rediriger vers la page de connexion au compte.

Vous n'avez accès qu'aux AWS ressources spécifiées par votre administrateur dans la politique associée à votre identité IAM d'utilisateur. Pour travailler dans la console, vous devez disposer des autorisations nécessaires pour effectuer les actions effectuées par la console, telles que la liste et la création de AWS ressources. Pour plus d’informations, consultez Gestion de l'accès aux AWS ressources et Exemples de politiques basées sur l'identité IAM.

Note

Si votre organisation possède déjà un système d'identité, vous souhaiterez peut-être créer une option d'authentification unique (SSO). SSOpermet aux utilisateurs d'accéder AWS Management Console à votre compte sans qu'ils aient besoin d'une identité IAM d'utilisateur. SSOélimine également la nécessité pour les utilisateurs de se connecter au site de votre organisation et de s'y connecter AWS séparément. Pour de plus amples informations, veuillez consulter Activation de l'accès de broker d'identité personnalisé à la AWS console.

Enregistrement des informations de connexion dans CloudTrail

Si vous activez CloudTrail l'enregistrement des événements de connexion dans vos journaux, vous devez savoir comment CloudTrail choisit où enregistrer les événements.

  • Si les utilisateurs se connectent directement à une console, ils sont redirigés vers un point de terminaison de connexion international ou régional, si la console de service sélectionnée prend en charge les régions. Par exemple, la page d'accueil principale de la console prend en charge les régions, donc si vous vous connectez à l'adresse suivante URL :

    https://alias.signin.aws.amazon.com/console

    vous êtes redirigé vers un point de connexion régional tel quehttps://us-east-2.signin.aws.amazon.com, ce qui entraîne une entrée de CloudTrail journal régional dans le journal régional de l'utilisateur :

    En revanche, la console Amazon S3 ne prend pas en charge les régions. Par conséquent, si vous vous connectez à l'adresse suivante URL

    https://alias.signin.aws.amazon.com/console/s3

    AWS vous redirige vers le point de terminaison de connexion global à l'adressehttps://signin.aws.amazon.com, ce qui entraîne une entrée de CloudTrail journal globale.

  • Vous pouvez demander manuellement un point de terminaison de connexion régional en vous connectant à la page d'accueil de la console principale adaptée aux régions à l'aide d'une URL syntaxe similaire à la suivante :

    https://alias.signin.aws.amazon.com/console?region=ap-southeast-1

    AWS vous redirige vers le point de terminaison de connexion ap-southeast-1 régional et entraîne un événement de CloudTrail journal régional.

Pour plus d'informations sur CloudTrail etIAM, consultez la section Journalisation IAM des événements avec CloudTrail.

Si les utilisateurs ont besoin d'un accès par programmation pour utiliser votre compte, vous pouvez créer une paire de clés d'accès (un ID de clé d'accès et une clé d'accès secrète) pour chaque utilisateur. Toutefois, il existe des alternatives plus sécurisées à envisager avant de créer des clés d'accès pour les utilisateurs. Pour plus d'informations, consultez Considérations et alternatives relatives aux clés d'accès à long terme dans Références générales AWS.