Comment puis-je me débrouiller IAM ? - AWS Gestion de l’identité et des accès
Utilisez le AWS Management ConsoleAWS Outils de ligne de commandeUtilisez le AWS SDKsUtiliser la IAM requête API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comment puis-je me débrouiller IAM ?

La gestion AWS Identity and Access Management au sein d'un AWS environnement implique l'utilisation d'une variété d'outils et d'interfaces. La méthode la plus courante consiste à utiliser AWS Management Console une interface Web qui vous permet d'effectuer un large éventail de tâches IAM administratives, de la création d'utilisateurs et de rôles à la configuration des autorisations.

Pour les utilisateurs plus à l'aise avec les interfaces de ligne de commande, AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interface et le AWS Tools for Windows PowerShell. Ils vous permettent d'émettre IAM des commandes associées directement depuis le terminal, souvent de manière plus efficace que de naviguer dans la console. En outre, il vous AWS CloudShell permet d'exécuter CLI des SDK commandes directement depuis votre navigateur Web, en utilisant les autorisations associées à votre connexion à la console.

Au-delà de la console et de la ligne de commande, AWS propose des kits de développement logiciel (SDKs) pour différents langages de programmation, vous permettant d'intégrer IAM des fonctionnalités de gestion directement dans vos applications. Vous pouvez également y accéder IAM par programmation à l'aide de la IAM requêteAPI, qui vous permet d'envoyer des HTTPS demandes directement au service. En tirant parti de ces différentes approches de gestion, vous disposez de la flexibilité nécessaire pour les IAM intégrer à vos flux de travail et processus existants.

Utilisez le AWS Management Console

La console est une interface basée sur un navigateur permettant de gérer IAM les AWS ressources. Pour plus d'informations sur l'accès IAM via la console, voir Comment se connecter AWS dans le guide de Connexion à AWS l'utilisateur.

AWS Console

La console AWS de gestion est une application Web qui comprend et fait référence à un vaste ensemble de consoles de service pour la gestion AWS des ressources. Lors de votre première connexion, vous accédez à la page d’accueil de la console. La page d'accueil permet d'accéder à chaque console de service et propose un emplacement unique pour accéder aux informations nécessaires à l'exécution des tâches AWS connexes. Les services et applications mis à votre disposition une fois connecté à la console dépendent AWS des ressources auxquelles vous êtes autorisé à accéder. Vous pouvez obtenir des autorisations d'accès aux ressources soit en endossant un rôle, soit en étant membre d'un groupe auquel des autorisations ont été accordées, soit en obtenant une autorisation explicite. Pour un AWS compte autonome, l'utilisateur root ou l'IAMadministrateur configure l'accès aux ressources. En AWS Organizations effet, le compte de gestion ou l'administrateur délégué configure l'accès aux ressources.

Si vous prévoyez que des personnes utilisent la console de AWS gestion pour gérer les AWS ressources, nous vous recommandons de configurer les utilisateurs avec des informations d'identification temporaires en tant que meilleure pratique en matière de sécurité. IAMles utilisateurs qui ont assumé un rôle, les utilisateurs fédérés et les utilisateurs d'IAMIdentity Center disposent d'informations d'identification temporaires, tandis que l'IAMutilisateur et l'utilisateur root disposent d'informations d'identification à long terme. Les informations d'identification de l'utilisateur root fournissent un accès complet à Compte AWS, tandis que les autres utilisateurs disposent d'informations d'identification qui leur permettent d'accéder aux ressources qui leur sont accordées par les IAM politiques.

L'expérience de connexion est différente selon les types d' AWS Management Console utilisateurs.

  • IAMles utilisateurs et l'utilisateur root se connectent à partir de la AWS connexion principale URL ()https://signin.aws.amazon.com. Une fois connectés, ils ont accès aux ressources du compte pour lequel ils ont été autorisés.

    Pour vous connecter en tant qu'utilisateur root, vous devez avoir l'adresse e-mail et le mot de passe de l'utilisateur root.

    Pour vous connecter en tant qu'IAMutilisateur, vous devez disposer du Compte AWS numéro ou de l'alias, du nom IAM d'utilisateur et du mot de passe IAM utilisateur.

    Nous vous recommandons de limiter IAM les utilisateurs de votre compte aux situations spécifiques nécessitant des informations d'identification à long terme, par exemple pour un accès d'urgence, et de n'utiliser l'utilisateur root que pour les tâches nécessitant des informations d'identification utilisateur root.

    Pour plus de commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser le nom IAM d'utilisateur et les informations du compte. La prochaine fois que l'utilisateur accède à une page du AWS Management Console, la console utilise le cookie pour le rediriger vers la page de connexion au compte.

    Déconnectez-vous de la console à la fin de votre session pour empêcher la réutilisation de votre connexion précédente.

  • IAMLes utilisateurs d'Identity Center se connectent à l'aide d'un portail d' AWS accès spécifique propre à leur organisation. Une fois connectés, ils peuvent choisir le compte ou l'application auxquels ils veulent accéder. S'ils choisissent d'accéder à un compte, ils choisissent le jeu d'autorisations qu'ils souhaitent utiliser pour la session de gestion.

  • Les utilisateurs fédérés gérés par un fournisseur d'identité externe lié à un Compte AWS se connectent à l'aide d'un portail d'accès d'entreprise personnalisé. Les AWS ressources disponibles pour les utilisateurs fédérés dépendent des politiques sélectionnées par leur organisation.

Note

Pour fournir un niveau de sécurité supplémentaire, l'utilisateur root, IAM les utilisateurs et les utilisateurs d'IAMIdentity Center peuvent faire vérifier l'authentification multifactorielle (MFA) AWS avant d'accorder l'accès aux AWS ressources. Lorsque cette option MFA est activée, vous devez également avoir accès à l'MFAappareil pour vous connecter.

Pour en savoir plus sur la façon dont les différents utilisateurs se connectent à la console de gestion, voir Connexion à la console de AWS gestion dans le Guide de l'utilisateur de AWS connexion.

AWS Outils de ligne de commande

Vous pouvez utiliser les outils de ligne de AWS commande pour exécuter des AWS tâches sur la ligne de commande IAM de votre système. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que de la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts qui exécutent AWS des tâches.

AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interface(AWS CLI) et le AWS Tools for Windows PowerShell. Pour plus d'informations sur l'installation et l'utilisation du AWS CLI, consultez le guide de AWS Command Line Interface l'utilisateur. Pour plus d'informations sur l'installation et l'utilisation des outils pour Windows PowerShell, consultez le guide de AWS Tools for Windows PowerShell l'utilisateur.

Une fois connecté à la console, vous pouvez utiliser AWS CloudShell votre navigateur pour exécuter CLI des SDK commandes. Les autorisations d'accès aux AWS ressources sont basées sur les informations d'identification que vous avez utilisées pour vous connecter à la console. Selon votre expérience, vous trouverez peut-être que CLI c'est une méthode plus efficace pour gérer votre Compte AWS. Pour plus d’informations, consultez AWS CloudShell À utiliser pour travailler avec AWS Identity and Access Management.

AWS Interface de ligne de commande (CLI) et kits de développement logiciel (SDKs)

IAMIdentity Center et IAM les utilisateurs utilisent différentes méthodes pour authentifier leurs informations d'identification lorsqu'ils s'authentifient via les interfaces CLI ou les interfaces d'application (APIs) associées. SDKs

Les informations d'identification et les paramètres de configuration se trouvent à plusieurs endroits, tels que les variables d'environnement système ou utilisateur, les fichiers de AWS configuration locaux, ou sont explicitement déclarés sur la ligne de commande en tant que paramètre. Certains emplacements l'emportent sur d'autres.

IAMIdentity Center et IAM fournissent des clés d'accès qui peuvent être utilisées avec le CLI ouSDK. IAMLes clés d'accès à Identity Center sont des informations d'identification temporaires qui peuvent être automatiquement actualisées et sont recommandées plutôt que les clés d'accès à long terme associées aux IAM utilisateurs.

Pour gérer votre Compte AWS utilisation du CLI ou SDK vous pouvez utiliser AWS CloudShell depuis votre navigateur. Si vous utilisez des SDK commandes CloudShell pour exécuter CLI ou, vous devez d'abord vous connecter à la console. Les autorisations d'accès aux AWS ressources sont basées sur les informations d'identification que vous avez utilisées pour vous connecter à la console. Selon votre expérience, vous trouverez peut-être que CLI c'est une méthode plus efficace pour gérer votre Compte AWS.

Pour le développement d'applications, vous pouvez télécharger le CLI ou sur votre ordinateur et vous connecter SDK à partir de l'invite de commande ou d'une fenêtre Docker. Dans ce scénario, vous configurez l'authentification et les informations d'accès dans le cadre du CLI script ou de SDK l'application. Vous pouvez configurer l'accès programmatique aux ressources de différentes manières, en fonction de l'environnement et de l'accès dont vous disposez.

  • Les options recommandées pour authentifier le code local auprès du AWS service sont IAM Identity Center et IAM Roles Anywhere

  • Les options recommandées pour authentifier le code exécuté dans un AWS environnement sont d'utiliser IAM des rôles ou des informations d'identification IAM Identity Center.

Lorsque vous vous connectez via le portail AWS d'accès, vous pouvez obtenir des informations d'identification à court terme sur la page d'accueil où vous choisissez votre ensemble d'autorisations. Ces informations d'identification ont une durée définie et ne sont pas actualisées automatiquement. Si vous souhaitez utiliser ces informations d'identification, après vous être connecté au AWS portail, choisissez le, Compte AWS puis choisissez l'ensemble d'autorisations. Sélectionnez Accès par ligne de commande ou par programmation pour afficher les options que vous pouvez utiliser pour accéder aux AWS ressources par programmation ou depuis le. CLI Pour plus d'informations sur ces méthodes, consultez la section Obtenir et actualiser des informations d'identification temporaires dans le guide de l'utilisateur d'IAMIdentity Center. Ces informations d'identification sont souvent utilisées lors du développement d'applications pour tester rapidement le code.

Nous vous recommandons IAM d'utiliser les informations d'identification Identity Center qui sont automatiquement actualisées lors de l'automatisation de l'accès à vos AWS ressources. Si vous avez configuré des utilisateurs et des ensembles d'autorisations dans IAM Identity Center, vous utilisez la aws configure sso commande pour utiliser un assistant de ligne de commande qui vous aidera à identifier les informations d'identification disponibles et à les stocker dans un profil. Pour plus d'informations sur la configuration de votre profil, veuillez consulter la rubrique Configure your profile with the aws configure sso wizard dans le Guide de l'utilisateur de l'interface de ligne de commande AWS pour la version 2.

Note

De nombreux exemples d'applications utilisent des clés d'accès à long terme associées IAM aux utilisateurs ou à l'utilisateur root. N'utilisez les informations d'identification à long terme qu'au sein d'un environnement de test (sandbox), dans le cadre d'un exercice d'apprentissage. Passez en revue les alternatives aux clés d'accès à long terme et planifiez la transition de votre code pour utiliser d'autres informations d'identification, telles que les informations d'identification ou IAM les rôles d'IAMIdentity Center, dès que possible. Après avoir modifié votre code, supprimez les clés d'accès.

Pour en savoir plus sur la configuration duCLI, voir Installer ou mettre à jour la dernière version du Guide de l' AWS CLIutilisateur de l'interface de ligne de AWS commande pour la version 2 et Informations d'authentification et d'accès dans le Guide de l'utilisateur de l'interface de ligne de AWS commande

Pour en savoir plus sur la configuration deSDK, consultez IAMIdentity Center dans le guide de référence AWS SDKs and Tools et IAMRoles Anywhere dans le guide de référence AWS SDKs and Tools.

Utilisez le AWS SDKs

AWS fournit SDKs (kits de développement logiciel) composés de bibliothèques et d'exemples de code pour divers langages de programmation et plateformes (Java, Python, Ruby,. NET, iOS, Android, etc.). Ils SDKs fournissent un moyen pratique de créer un accès programmatique à IAM et AWS. Par exemple, ils se SDKs chargent de tâches telles que la signature cryptographique des demandes, la gestion des erreurs et le renouvellement automatique des demandes. Pour plus d'informations AWS SDKs, notamment sur la manière de les télécharger et de les installer, consultez la page Outils pour Amazon Web Services.

Utiliser la IAM requête API

Vous pouvez y accéder IAM et par AWS programmation à l'aide de la IAM requêteAPI, qui vous permet d'envoyer des HTTPS demandes directement au service. Lorsque vous utilisez la requêteAPI, vous devez inclure un code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d'informations, reportez-vous à la section Appel de l'API IAM à l'aide de requêtes HTTP et à la IAMAPIréférence.