Comment gérer IAM ? - AWS Identity and Access Management
Utilisez le AWS Management ConsoleAWS Outils de ligne de commandeUtilisez le AWS SDKsUtilisation de l’API Query IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment gérer IAM ?

La gestion AWS Identity and Access Management au sein d'un AWS environnement implique l'utilisation d'une variété d'outils et d'interfaces. La méthode la plus courante consiste à utiliser AWS Management Console une interface Web qui vous permet d'effectuer un large éventail de tâches administratives IAM, de la création d'utilisateurs et de rôles à la configuration des autorisations.

Pour les utilisateurs plus à l'aise avec les interfaces de ligne de commande, AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interface et le AWS Tools for Windows PowerShell. Ils vous permettent d’émettre des commandes liées à IAM directement depuis le terminal, souvent de manière plus efficace que de naviguer dans la console. En outre, il vous AWS CloudShell permet d'exécuter des commandes CLI ou SDK directement depuis votre navigateur Web, en utilisant les autorisations associées à votre connexion à la console.

Au-delà de la console et de la ligne de commande, AWS propose des kits de développement logiciel (SDKs) pour différents langages de programmation, vous permettant d'intégrer les fonctionnalités de gestion IAM directement dans vos applications. Vous pouvez également accéder à IAM par programmation à l’aide de l’API Query IAM, qui vous permet d’effectuer des demandes HTTPS directement au service. L’utilisation de ces différentes approches de gestion vous offre la flexibilité nécessaire pour intégrer IAM dans vos flux de travail et processus existants.

Utilisez le AWS Management Console

La console AWS de gestion est une application Web qui comprend et fait référence à une vaste collection de consoles de service pour la gestion AWS des ressources. Lors de votre première connexion, vous accédez à la page d’accueil de la console. La page d'accueil permet d'accéder à chaque console de service et propose un emplacement unique pour accéder aux informations nécessaires à l'exécution des tâches AWS connexes. Les services et applications mis à votre disposition une fois connecté à la console dépendent AWS des ressources auxquelles vous êtes autorisé à accéder. Vous pouvez obtenir des autorisations d'accès aux ressources soit en endossant un rôle, soit en étant membre d'un groupe auquel des autorisations ont été accordées, soit en obtenant une autorisation explicite. Pour un compte AWS autonome, l'utilisateur root ou l'administrateur IAM configure l'accès aux ressources. Pour AWS Organizations, le compte de gestion ou l'administrateur délégué configure l'accès aux ressources.

Si vous prévoyez que des personnes utilisent la console de AWS gestion pour gérer les AWS ressources, nous vous recommandons de configurer les utilisateurs avec des informations d'identification temporaires afin de garantir la sécurité. Les utilisateurs IAM qui ont endossé un rôle, les utilisateurs fédérés et les utilisateurs d'IAM Identity Center disposent d'informations d'identification temporaires, tandis que l'utilisateur IAM et l'utilisateur root disposent d'informations d'identification à long terme. Les informations d'identification de l'utilisateur root fournissent un accès complet à Compte AWS, tandis que les autres utilisateurs disposent d'informations d'identification qui leur permettent d'accéder aux ressources qui leur sont accordées par les politiques IAM.

L'expérience de connexion est différente selon les types d' AWS Management Console utilisateurs.

  • Les utilisateurs IAM et l'utilisateur root se connectent à partir de l'URL de AWS connexion principale (). https://signin.aws.amazon.com Une fois connectés, ils ont accès aux ressources du compte pour lequel ils ont été autorisés.

    Pour vous connecter en tant qu'utilisateur root, vous devez avoir l'adresse e-mail et le mot de passe de l'utilisateur root.

    Pour vous connecter en tant qu'utilisateur IAM, vous devez disposer du Compte AWS numéro ou de l'alias, du nom d'utilisateur IAM et du mot de passe de l'utilisateur IAM.

    Nous vous recommandons de limiter les utilisateurs IAM de votre compte aux situations spécifiques nécessitant des informations d'identification à long terme, par exemple pour un accès d'urgence, et de n'utiliser l'utilisateur root que pour les tâches nécessitant les informations d'identification de l'utilisateur root.

    Pour plus de commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser le nom d'utilisateur IAM et les informations de compte. La prochaine fois que l'utilisateur accède à une page du AWS Management Console, la console utilise le cookie pour le rediriger vers la page de connexion au compte.

    Déconnectez-vous de la console à la fin de votre session pour empêcher la réutilisation de votre connexion précédente.

  • Les utilisateurs d'IAM Identity Center se connectent à l'aide d'un portail d' AWS accès spécifique propre à leur organisation. Une fois connectés, ils peuvent choisir le compte ou l'application auxquels ils veulent accéder. S'ils choisissent d'accéder à un compte, ils choisissent le jeu d'autorisations qu'ils souhaitent utiliser pour la session de gestion.

  • Les utilisateurs fédérés gérés par un fournisseur d'identité externe lié à un Compte AWS se connectent à l'aide d'un portail d'accès d'entreprise personnalisé. Les ressources AWS disponibles pour les utilisateurs fédérés dépendent des politiques sélectionnées par leur organisation.

Note

Pour fournir un niveau de sécurité supplémentaire, l'utilisateur root, les utilisateurs IAM et les utilisateurs d'IAM Identity Center peuvent faire vérifier l'authentification multifactorielle (MFA) AWS avant d'accorder l'accès aux ressources. AWS Lorsque l'authentification MFA est activée, vous devez également avoir accès au périphérique MFA pour vous connecter.

Pour en savoir plus sur la façon dont les différents utilisateurs se connectent à la console de gestion, voir Connexion à la console de AWS gestion dans le Guide de l'utilisateur de AWS connexion.

AWS Outils de ligne de commande

Vous pouvez utiliser les outils de ligne de AWS commande pour émettre des commandes sur la ligne de commande de votre système afin d'exécuter l'IAM et AWS des tâches. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que de la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts qui exécutent AWS des tâches.

AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interface(AWS CLI) et le AWS Tools for Windows PowerShell. Pour plus d'informations sur l'installation et l'utilisation du AWS CLI, consultez le guide de AWS Command Line Interface l'utilisateur. Pour plus d'informations sur l'installation et l'utilisation des outils pour Windows PowerShell, consultez le guide de AWS Tools for Windows PowerShell l'utilisateur.

Une fois connecté à la console, vous pouvez l'utiliser AWS CloudShell depuis votre navigateur pour exécuter des commandes CLI ou SDK. Les autorisations d'accès aux AWS ressources sont basées sur les informations d'identification que vous avez utilisées pour vous connecter à la console. Selon votre expérience, vous trouverez peut-être que la CLI est une méthode plus efficace pour gérer votre Compte AWS. Pour plus d’informations, consultez Utilisation d’AWS CloudShell pour travailler avec la gestion des identités et des accès AWS.

AWS Interface de ligne de commande (CLI) et kits de développement logiciel (SDKs)

Les utilisateurs d'IAM Identity Center et d'IAM utilisent différentes méthodes pour authentifier leurs informations d'identification lorsqu'ils s'authentifient via la CLI ou les interfaces d'application (APIs) associées. SDKs

Les informations d'identification et les paramètres de configuration se trouvent à plusieurs endroits, tels que les variables d'environnement système ou utilisateur, les fichiers de AWS configuration locaux, ou sont explicitement déclarés sur la ligne de commande en tant que paramètre. Certains emplacements l'emportent sur d'autres.

IAM Identity Center et IAM fournissent des clés d'accès qui peuvent être utilisées avec la CLI ou le kit SDK. Les clés d'accès IAM Identity Center sont des identifiants temporaires qui peuvent être actualisés automatiquement et leur utilisation est recommandée par rapport aux clés d'accès à long terme associées aux utilisateurs IAM.

Pour gérer votre Compte AWS utilisation de la CLI ou du SDK, vous pouvez utiliser AWS CloudShell votre navigateur. Si vous exécutez CloudShell des commandes CLI ou SDK, vous devez d'abord vous connecter à la console. Les autorisations d'accès aux AWS ressources sont basées sur les informations d'identification que vous avez utilisées pour vous connecter à la console. Selon votre expérience, vous trouverez peut-être que la CLI est une méthode plus efficace pour gérer votre Compte AWS.

Pour le développement d'applications, vous pouvez télécharger la CLI ou le kit SDK sur votre ordinateur et vous connecter à partir de l'invite de commande ou d'une fenêtre Docker. Dans ce scénario, vous configurez les informations d'identification relatives à l'authentification et à l'accès dans le cadre du script CLI ou de l'application SDK. Vous pouvez configurer l'accès programmatique aux ressources de différentes manières, en fonction de l'environnement et de l'accès dont vous disposez.

  • Les options recommandées pour authentifier le code local avec le AWS service sont IAM Identity Center et IAM Roles Anywhere.

  • Les options recommandées pour authentifier le code exécuté dans un environnement AWS sont d'utiliser des rôles IAM ou des informations d'identification IAM Identity Center.

Lorsque vous vous connectez via le portail AWS d'accès, vous pouvez obtenir des informations d'identification à court terme sur la page d'accueil où vous choisissez votre ensemble d'autorisations. Ces informations d'identification ont une durée définie et ne sont pas actualisées automatiquement. Si vous souhaitez utiliser ces informations d'identification, après vous être connecté au AWS portail, choisissez le, Compte AWS puis choisissez l'ensemble d'autorisations. Sélectionnez Accès par ligne de commande ou par programmation pour afficher les options que vous pouvez utiliser pour accéder aux AWS ressources par programmation ou à partir de la CLI. Pour plus d'informations sur ces méthodes, veuillez consulter la rubrique Getting and refreshing temporary credentials dans le Guide de l'utilisateur IAM Identity Center. Ces informations d'identification sont souvent utilisées lors du développement d'applications pour tester rapidement le code.

Nous vous recommandons d'utiliser les informations d'identification IAM Identity Center qui sont automatiquement actualisées lors de l'automatisation de l'accès à vos AWS ressources. Si vous avez configuré des utilisateurs et des jeux d'autorisations dans IAM Identity Center, utilisez la commande aws configure sso pour faire appel à un assistant de ligne de commande qui vous aidera à identifier les informations d'identification disponibles et à les stocker dans un profil. Pour plus d'informations sur la configuration de votre profil, veuillez consulter la rubrique Configure your profile with the aws configure sso wizard dans le Guide de l'utilisateur de l'interface de ligne de commande AWS pour la version 2.

Note

De nombreux exemples d'applications utilisent des clés d'accès à long terme associées à des utilisateurs IAM ou à un utilisateur root. N'utilisez les informations d'identification à long terme qu'au sein d'un environnement de test (sandbox), dans le cadre d'un exercice d'apprentissage. Passez en revue les alternatives aux clés d'accès à long terme et planifiez la modification de votre code pour utiliser des informations d'identification alternatives, telles que les informations d'identification IAM Identity Center ou les rôles IAM, dès que possible. Après avoir modifié votre code, supprimez les clés d'accès.

Pour en savoir plus sur la configuration de la CLI, voir Installer ou mettre à jour la dernière version de la AWS CLI dans le Guide de l'utilisateur de l'interface de ligne de AWS commande pour la version 2 et Authentification et informations d'identification d'accès dans le Guide de l'utilisateur de l'interface de ligne de AWS commande

Pour en savoir plus sur la configuration du SDK, consultez les sections Authentication IAM Identity Center dans le guide de référence AWS SDKs and Tools et IAM Roles Anywhere dans le guide de référence AWS SDKs and Tools.

Utilisez le AWS SDKs

AWS fournit SDKs (kits de développement logiciel) composés de bibliothèques et d'exemples de code pour différents langages de programmation et plateformes (Java, Python, Ruby, .NET, iOS, Android, etc.). Ils SDKs fournissent un moyen pratique de créer un accès programmatique à IAM et. AWS Par exemple, ils se SDKs chargent de tâches telles que la signature cryptographique des demandes, la gestion des erreurs et le renouvellement automatique des demandes. Pour plus d'informations AWS SDKs, notamment sur la manière de les télécharger et de les installer, consultez la page Outils pour Amazon Web Services.

Utilisation de l’API Query IAM

Vous pouvez accéder à IAM et par AWS programmation à l'aide de l'API de requête IAM, qui vous permet d'envoyer des requêtes HTTPS directement au service. Lorsque vous utilisez l'API Query , vous devez inclure un code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d'informations sur les groupes d'utilisateurs, veuillez consulter Appel de l'API IAM à l'aide de requêtes HTTP et la référence API IAM.