Qu'est-ce qu'IAM ?

AWS Identity and Access Management (IAM) est un service Web qui vous permet de contrôler en toute sécurité l'accès aux AWS ressources. AvecIAM, vous pouvez gérer les autorisations qui contrôlent les AWS ressources auxquelles les utilisateurs peuvent accéder. Vous pouvez IAM contrôler qui est authentifié (connecté) et autorisé (autorisé) à utiliser les ressources. IAMfournit l'infrastructure nécessaire pour contrôler l'authentification et l'autorisation pour votre Comptes AWS.

Identités

Lorsque vous créez un Compte AWS, vous commencez par une identité de connexion unique qui donne un accès complet à toutes Services AWS les ressources du compte. Cette identité est appelée utilisateur Compte AWS root et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, consultez la section Tâches nécessitant des informations d'identification utilisateur root dans le guide de IAM l'utilisateur.

IAMUtilisez-le pour configurer d'autres identités en plus de votre utilisateur root, telles que les administrateurs, les analystes et les développeurs, et leur accorder l'accès aux ressources dont ils ont besoin pour mener à bien leurs tâches.

Gestion des accès

Une fois qu'un utilisateur est configuréIAM, il utilise ses informations de connexion pour s'authentifier auprès de lui. AWS L'authentification est fournie en faisant correspondre les informations de connexion à un principal (un IAM utilisateur, un utilisateur fédéré, un IAM rôle ou une application) approuvé par le. Compte AWS Ensuite, une demande est effectuée pour accorder au principal l'accès aux ressources. L'accès est accordé en réponse à une demande d'autorisation si l'utilisateur a reçu l'autorisation d'accéder à la ressource. Par exemple, lorsque vous vous connectez pour la première fois à la console et que vous vous trouvez sur la page d'accueil de la console, vous n'accédez pas à un service spécifique. Lorsque vous sélectionnez un service, la demande d'autorisation est envoyée à ce service et celui-ci vérifie si votre identité figure sur la liste des utilisateurs autorisés, les stratégies appliquées pour contrôler le niveau d'accès accordé et toutes les autres stratégies susceptibles d'être en vigueur. Les demandes d'autorisation peuvent être faites par des mandants au sein de vous Compte AWS ou par une autre personne en Compte AWS qui vous avez confiance.

Une fois autorisé, le principal peut prendre des mesures ou effectuer des opérations sur les ressources de votre Compte AWS. Par exemple, le principal peut lancer une nouvelle Amazon Elastic Compute Cloud instance, modifier l'appartenance à un IAM groupe ou supprimer Amazon Simple Storage Service des buckets.

Astuce

AWS Training and Certification propose une vidéo de 10 minutes présentant IAM :

Présentation de AWS Identity and Access Management.

Disponibilité du service

IAM, comme de nombreux autres AWS services, est finalement cohérent. IAMatteint une haute disponibilité en répliquant les données sur plusieurs serveurs au sein des centres de données d'Amazon dans le monde entier. Si une demande de modification de certaines données aboutit, la modification est validée et stockée en toute sécurité. Cependant, la modification doit être répliquéeIAM, ce qui peut prendre un certain temps. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure de telles IAM modifications dans les chemins de code critiques à haute disponibilité de votre application. Apportez plutôt IAM des modifications dans une routine d'initialisation ou de configuration distincte que vous exécutez moins fréquemment. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent. Pour de plus amples informations, veuillez consulter Les modifications que j'apporte ne sont pas toujours visibles immédiatement.

Informations sur les coûts des services

AWS Identity and Access Management (IAM) AWS IAM Identity Center et AWS Security Token Service (AWS STS) sont des fonctionnalités de votre AWS compte proposées sans frais supplémentaires. Vous n'êtes débité que lorsque vous accédez à d'autres AWS services à l'aide de vos IAM utilisateurs ou de vos identifiants de sécurité AWS STS temporaires.

IAML'analyse des accès externes d'Access Analyzer est proposée sans frais supplémentaires. Cependant, vous devrez payer des frais pour l'analyse des accès non utilisés et les vérifications de la politique client. Pour une liste complète des frais et des prix d'IAMAccess Analyzer, consultez la section Tarification IAMd'Access Analyzer.

Pour plus d'informations sur les prix des autres AWS produits, consultez la page de tarification d'Amazon Web Services.

Intégration avec d'autres AWS services

IAMest intégré à de nombreux AWS services. Pour obtenir la liste des AWS services compatibles IAM et des IAM fonctionnalités qu'ils prennent en charge, consultezAWS des services qui fonctionnent avec IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Pourquoi utiliser des IAM ?