Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
AWS Identity and Access Management fournit l’infrastructure nécessaire au contrôle de l’authentification et des autorisations de votre compte Compte AWS.
Tout d'abord, un utilisateur humain ou une application utilise ses informations de connexion pour s'authentifier auprès d'AWS. IAM fait correspondre les informations d’identification à un principal (un utilisateur IAM, un utilisateur fédéré, un rôle IAM ou une application) approuvé par le Compte AWS et authentifie l’autorisation d’accéder à AWS.
Ensuite, IAM effectue une requête pour accorder au principal l’accès aux ressources. IAM accorde ou refuse l’accès en réponse à une requête d’autorisation. Par exemple, lorsque vous vous connectez à la console pour la première fois et que vous vous trouvez sur sa page d’accueil, vous n’accédez à aucun service spécifique. Lorsque vous sélectionnez un service, vous envoyez une requête d’autorisation à IAM pour ce service. IAM vérifie que votre identité figure sur la liste des utilisateurs autorisés, détermine les politiques qui contrôlent le niveau d’accès accordé et évalue les autres politiques éventuellement en vigueur. Les principaux de votre Compte AWS ou d’un autre Compte AWS en lequel vous avez confiance peuvent effectuer des requêtes d’autorisation.
Une fois autorisé, le principal peut effectuer des actions ou des opérations sur les ressources de votre Compte AWS. Par exemple, le principal peut lancer une nouvelle instance Amazon Elastic Compute Cloud, modifier l'appartenance à un groupe IAM ou supprimer des compartiments Amazon Simple Storage Service. Le diagramme suivant illustre ce processus à travers l’infrastructure IAM :
![Ce diagramme montre comment un principal est authentifié et autorisé par le service IAM à effectuer des actions ou des opérations sur d’autres services ou ressources AWS.](images/intro-diagram _policies_800.png)
Composants d’une requête
Lorsqu'un principal essaie d'utiliser AWS Management Console, l'API AWS ou l'AWS CLI, il envoie une requête à AWS. La demande inclut les informations suivants :
-
Actions ou opérations : actions ou opérations que le principal souhaite effectuer, par exemple une action dans l’AWS Management Console, ou une opération dans l’AWS CLI ou dans l’API AWS.
-
Ressources : l’objet de ressource AWS sur lequel le principal demande d’effectuer une action ou une opération.
-
Principal : personne ou application qui utilise une entité (utilisateur ou rôle) pour envoyer la demande. Les informations sur le principal incluent les politiques d’autorisation.
-
Données d’environnement : informations sur l’adresse IP, l’agent utilisateur, le statut SSL ou l’horodatage.
-
Données sur les ressources : données associées à la ressource demandée, telles que le nom d’une table DynamoDB ou une balise sur une instance Amazon EC2.
AWS recueille les informations de requête dans un contexte de requête, qu’IAM évalue pour autoriser la requête.
Comment les principaux sont authentifiés
Un principal se connecte à AWS à l’aide de ses informations d’identification qu’IAM authentifie pour permettre au principal d’envoyer une requête à AWS. Certains services, tels qu’Amazon S3 et AWS STS, autorisent des requêtes spécifiques provenant d’utilisateurs anonymes. Cependant, ils sont l’exception à la règle. Chaque type d’utilisateur passe par une authentification.
-
Utilisateur racine : vos informations d’identification de connexion utilisées pour l’authentification sont l’adresse e-mail que vous avez utilisée pour créer le Compte AWS et le mot de passe que vous avez spécifié à ce moment-là.
-
Utilisateur fédéré : votre fournisseur d’identité vous authentifie et transmet vos informations d’identification à AWS, vous n’avez pas besoin de vous connecter directement à AWS. IAM Identity Center et IAM prennent tous deux en charge les utilisateurs fédérés.
-
Utilisateurs dans Répertoire AWS IAM Identity Center (non fédérés) : les utilisateurs créés directement dans le répertoire par défaut d’IAM Identity Center se connectent à l’aide du portail d’accès AWS et fournissent leur nom d’utilisateur et leur mot de passe.
-
Utilisateur IAM : vous vous connectez en fournissant votre ID de compte ou alias, votre nom d’utilisateur et votre mot de passe. Pour authentifier les charges de travail à partir de l’API ou de l’AWS CLI, vous pouvez utiliser des informations d’identification temporaires en endossant un rôle ou vous pouvez utiliser des informations d’identification à long terme en fournissant votre clé d’accès et votre clé secrète.
Pour en savoir plus sur les entités IAM, consultez Utilisateurs IAM et Rôles IAM.
AWS vous recommande d’utiliser l’authentification multifactorielle (MFA) avec tous les utilisateurs pour accroître la sécurité de votre compte. Pour en savoir plus sur MFA, consultez AWS Authentification multifactorielle dans IAM.
Principes de base des politiques d’autorisation
L’autorisation signifie que le principal dispose des autorisations requises pour traiter sa requête. Lors de l’autorisation, IAM identifie les politiques qui s’appliquent à la requête en utilisant les valeurs du contexte de la requête. Ensuite, il utilise les politiques pour déterminer s'il autorise ou refuse la demande. IAM stocke la plupart des politiques d’autorisation sous forme de documents JSON spécifiant les autorisations pour les entités du principal.
Il existe plusieurs types de politiques pouvant affecter une requête d’autorisation. Pour fournir à vos utilisateurs l’autorisation d’accéder aux ressources AWS de votre compte, vous pouvez utiliser des politiques basées sur l’identité. Les politiques basées sur les ressources peuvent accorder un accès intercomptes. Pour effectuer une requête dans un autre compte, une politique dans l’autre compte doit vous autoriser à accéder à la ressource et l’entité IAM que vous utilisez pour effectuer la demande doit avoir une politique basée sur une identité qui autorise la requête.
IAM recherche chaque politique qui s’applique au contexte de votre requête. L’évaluation de la politique IAM utilise un refus explicite, ce qui signifie que si une seule politique d’autorisation inclut une action refusée, IAM refuse l’ensemble de la requête et arrête l’évaluation. Les requêtes étant refusées par défaut, les politiques d’autorisation applicables doivent autoriser toutes les parties de votre requête pour qu’IAM l’autorise. La logique d’évaluation pour une requête au sein d’un même compte utilise les règles de base suivantes :
-
Par défaut, toutes les demandes sont refusées. (En général, les demandes effectuées à l'aide des informations d'identification du Utilisateur racine d'un compte AWS pour les ressources de ce compte sont toujours autorisées.)
-
Une autorisation explicite dans une politique d'autorisations (basée sur l'identité ou les ressources) remplace cette valeur par défaut.
-
L’existence d’une politique de contrôle des services (SCP) ou d’une politique de contrôle des ressources (RCP) d’organisation, de limites des autorisations IAM ou d’une politique de session remplace l’autorisation. S'il existe une ou plusieurs de ces sortes de politiques, elles doivent toutes autoriser la demande. Sinon, elle est refusée implicitement. Pour plus d’informations sur les SCP et les RCP, consultez les Politiques d’autorisation dans AWS Organizations dans le Guide de l’utilisateur AWS Organizations.
-
Un refus explicite dans n’importe quelle politique remplace toutes les autorisations dans toutes les politiques.
Pour en savoir plus, consultez Logique d'évaluation de politiques.
Une fois qu’IAM a authentifié et autorisé le principal, IAM approuve les actions ou les opérations figurant dans sa requête en évaluant la politique d’autorisation qui s’applique au principal. Chaque service AWS définit les actions (opérations) qu’il prend en charge et comprend les éléments que vous pouvez faire sur une ressource, tels que l’affichage, la création, la modification et la suppression de cette ressource. La politique d’autorisation qui s’applique au principal doit inclure les actions nécessaires pour exécuter une opération. Pour en savoir sur l’évaluation des politiques d’autorisation par IAM, consultez Logique d'évaluation de politiques.
Le service définit un ensemble d’actions qu’un principal peut effectuer sur chaque ressource. Lorsque vous créez des politiques d’autorisation, veillez à inclure les actions que vous souhaitez que l’utilisateur puisse effectuer. Par exemple, IAM prend en charge plus de 40 actions pour une ressource utilisateur, y compris les actions de base suivantes :
-
CreateUser
-
DeleteUser
-
GetUser
-
UpdateUser
En outre, vous pouvez spécifier des conditions dans votre politique d’autorisation qui permettent d’accéder aux ressources lorsque la requête remplit les conditions spécifiées. Par exemple, vous pouvez souhaiter qu’une déclaration de politique prenne effet après une date spécifique ou qu’elle contrôle l’accès lorsqu’une valeur spécifique apparaît dans une API. Pour spécifier des conditions, vous utilisez l’élément Condition d’une déclaration de politique.
Une fois que l’IAM a approuvé les opérations d’une requête, le principal peut travailler avec les ressources correspondantes de votre compte. Une ressource est une objet existant au sein d'un service. Il peut s'agir, par exemple, d'une instance Amazon EC2, d'un utilisateur IAM et d'un compartiment Amazon S3. Si le principal crée une requête pour effectuer une action sur une ressource qui n’est pas incluse dans la politique d’autorisation, le service refuse la requête. Par exemple, si vous êtes autorisé à supprimer un rôle IAM mais demandez la suppression d’un groupe IAM, la requête échoue si vous n’êtes pas autorisé à supprimer des groupes IAM. Pour en savoir sur les actions, ressources et clés de condition prises en charge par les différents services AWS, consultez Actions, ressources et clés de condition pour les services AWS.