Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# En quoi consiste IAM ?
<a name="introduction"></a>

Gestion des identités et des accès AWS (IAM) est un service Web qui vous permet de contrôler en toute sécurité l'accès aux AWS ressources. Avec IAM, vous pouvez gérer les autorisations qui contrôlent les AWS ressources auxquelles les utilisateurs peuvent accéder. Vous pouvez utiliser IAM pour contrôler les personnes qui s’authentifient (sont connectées) et sont autorisées (disposent d’autorisations) à utiliser des ressources. IAM fournit l'infrastructure nécessaire au contrôle de l'authentification et des autorisations de votre compte Comptes AWS.

**Identités**

 Lorsque vous créez un Compte AWS, vous commencez par une seule identité de connexion appelée *utilisateur Compte AWS root* qui dispose d'un accès complet à toutes Services AWS les ressources. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez [Tâches qui requièrent les informations d’identification de l’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*. 

Utilisez IAM pour configurer d’autres identités en plus de votre utilisateur racine, telles que les administrateurs, les analystes et les développeurs, et leur accorder l’accès aux ressources dont ils ont besoin pour mener à bien leurs tâches. 

**Gestion des accès**

Une fois qu’un utilisateur est configuré dans IAM, il utilise ses informations d’identification de connexion pour s’authentifier auprès d’ AWS. L'authentification est fournie en faisant correspondre les informations de connexion à un principal (un utilisateur IAM, un principal AWS STS fédéré, un rôle IAM ou une application) approuvé par le. Compte AWS Ensuite, une demande est effectuée pour accorder au principal l'accès aux ressources. L’accès est accordé en réponse à une demande d’autorisation si l’utilisateur a obtenu une autorisation pour accéder à la ressource. Par exemple, lorsque vous vous connectez à la console pour la première fois et que vous vous trouvez sur sa page d’accueil, vous n’accédez à aucun service spécifique. Lorsque vous sélectionnez un service, la demande d'autorisation est envoyée à ce service et celui-ci vérifie si votre identité figure sur la liste des utilisateurs autorisés, les stratégies appliquées pour contrôler le niveau d'accès accordé et toutes les autres stratégies susceptibles d'être en vigueur. Les demandes d'autorisation peuvent être faites par des mandants au sein de vous Compte AWS ou par une autre personne en Compte AWS qui vous avez confiance.

Une fois autorisé, le principal peut prendre des mesures ou effectuer des opérations sur les ressources de votre Compte AWS. Par exemple, le principal peut lancer une nouvelle Amazon Elastic Compute Cloud instance, modifier l'appartenance à un groupe IAM ou supprimer des Amazon Simple Storage Service buckets.

**Astuce**  
AWS Training and Certification propose une présentation vidéo de 10 minutes de l'IAM :  
[Introduction à Gestion des identités et des accès AWS](https://www.aws.training/learningobject/video?id=16448)

**Disponibilité du service**

L'IAM, comme de nombreux autres AWS services, est [finalement cohérent](https://wikipedia.org/wiki/Eventual_consistency). IAM garantit une haute disponibilité en répliquant les données sur plusieurs serveurs dans les centres de données d'Amazon du monde entier. Si une demande de modification de certaines données aboutit, la modification est validée et stockée en toute sécurité. En revanche, cette modification doit être répliquée dans IAM, ce qui peut prendre un certain temps. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure ce type de modifications IAM dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications IAM dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent. Pour de plus amples informations, veuillez consulter [Les modifications que j'apporte ne sont pas toujours visibles immédiatement](troubleshoot.md#troubleshoot_general_eventual-consistency).

**Informations sur les coûts des services**

Gestion des identités et des accès AWS (IAM) AWS IAM Identity Center et AWS Security Token Service (AWS STS) sont des fonctionnalités de votre AWS compte proposées sans frais supplémentaires. Vous êtes facturé uniquement lorsque vous accédez à d'autres AWS services à l'aide de vos utilisateurs IAM ou de vos informations d'identification de sécurité AWS STS temporaires. 

L’analyseur d’accès IAM propose une analyse des accès externes sans frais supplémentaires. Cependant, des frais vous seront facturés pour les analyses des accès non utilisées et les vérifications des politiques des clients. Pour une liste complète des frais et des prix pour l’analyseur d’accès IAM, consultez la [Tarification de l’analyseur d’accès IAM](https://aws.amazon.com/iam/access-analyzer/pricing).

Pour plus d'informations sur les prix des autres AWS produits, consultez la [page de tarification d'Amazon Web Services](https://aws.amazon.com/pricing/).

**Intégration avec d'autres AWS services**

L'IAM est intégré à de nombreux AWS services. Pour obtenir la liste des AWS services compatibles avec IAM et des fonctionnalités IAM prises en charge, voir. [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md) 

# Pourquoi utiliser IAM ?
<a name="intro-iam-features"></a>

Gestion des identités et des accès AWS est un outil puissant pour gérer en toute sécurité l'accès à vos AWS ressources. L'un des principaux avantages de l'utilisation d'IAM est la possibilité d'accorder un accès partagé à votre AWS compte. En outre, IAM vous permet d’attribuer des autorisations granulaires, ce qui vous permet de contrôler exactement les actions que les différents utilisateurs peuvent effectuer sur des ressources spécifiques. Ce niveau de contrôle d'accès est essentiel pour garantir la sécurité de votre AWS environnement. IAM offre également plusieurs autres fonctionnalités de sécurité. Vous pouvez ajouter l’authentification multifactorielle (MFA) pour un niveau de protection supplémentaire et tirer parti de la fédération d’identité pour intégrer de manière fluide les utilisateurs de votre réseau d’entreprise ou d’autres fournisseurs d’identité. IAM s'intègre également AWS CloudTrail, fournissant des informations de journalisation et d'identité détaillées pour répondre aux exigences d'audit et de conformité. En tirant parti de ces fonctionnalités, vous pouvez garantir que l'accès à vos AWS ressources critiques est étroitement contrôlé et sécurisé.

## Accès partagé à votre Compte AWS
<a name="intro-shared-access"></a>

Vous pouvez accorder à d'autres utilisateurs l'autorisation d'administrer et d'utiliser les ressources de votre compte AWS sans avoir à partager votre mot de passe ou clé d'accès. 

## Autorisations granulaires
<a name="intro-granular-permissions"></a>

Vous pouvez accorder différentes autorisations à différents utilisateurs concernant différentes ressources. Par exemple, vous pouvez autoriser certains utilisateurs à accéder totalement à Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), Amazon DynamoDB, Amazon Redshift et à d'autres services. AWS Pour d’autres utilisateurs, vous pouvez autoriser un accès en lecture seule à certains compartiments Amazon S3 ou l’autorisation d’administrer certaines instances Amazon EC2 seulement, ou encore un accès à vos informations de facturation uniquement.

## Accès sécurisé aux AWS ressources pour les applications exécutées sur Amazon EC2
<a name="intro-secure-access"></a>

Vous pouvez utiliser les fonctions IAM pour fournir en toute sécurité des informations d'identification pour les applications s'exécutant sur des instances EC2. Ces informations d'identification permettent à votre application d'accéder à d'autres AWS ressources. Il s'agit notamment des compartiments S3 et des tables DynamoDB. 

## Authentification multifactorielle (MFA)
<a name="intro-mfa-iam"></a>

Vous pouvez ajouter une authentification à deux facteurs à votre compte et aux utilisateurs individuels pour une sécurité renforcée. Avec l'authentification MFA, vos utilisateurs ou vous-même fournissez non seulement un mot de passe ou une clé d'accès pour utiliser votre compte, mais aussi un code généré par un dispositif configuré spécialement. Si vous utilisez déjà une clé de sécurité FIDO avec d'autres services et que sa configuration est AWS prise en charge, vous pouvez l'utiliser WebAuthn pour la sécurité MFA. Pour plus d’informations, consultez [Configurations prises en charge pour l’utilisation des clés d’accès et des clés de sécurité](id_credentials_mfa_fido_supported_configurations) 

## Fédération des identités
<a name="intro-identity-federation-iam"></a>

Vous pouvez autoriser des utilisateurs disposant déjà de mots de passe ailleurs, par exemple, dans votre réseau d’entreprise ou auprès d’un fournisseur d’identité Internet, d’accéder à votre Compte AWS. Ces utilisateurs reçoivent des informations d’identification temporaires conformes aux recommandations des pratiques exemplaires d’IAM. L’utilisation de la fédération d’identité améliore la sécurité de votre compte AWS .

## Informations d'identité par sécurité
<a name="intro-identity-assurance"></a>

Si vous utilisez [AWS CloudTrail](https://aws.amazon.com/cloudtrail/), vous recevez des enregistrements de journaux incluant des informations sur les utilisateurs effectuant des demandes concernant les ressources de votre compte. Ces informations sont basées sur les identités IAM.

## Conformité PCI DSS
<a name="intro-pci-dss-compliance"></a>

IAM prend en charge le traitement, le stockage et la transmission des données de cartes bancaires par un commerçant ou un fournisseur de services et a été validé comme étant conforme à la norme PCI (Payment Card Industry) DSS (Data Security Standard). Pour plus d'informations sur la norme PCI DSS, notamment sur la manière de demander une copie du Package de AWS conformité PCI, consultez la section [PCI](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) DSS niveau 1. 

# Quand utiliser IAM ?
<a name="when-to-use-iam"></a>

Gestion des identités et des accès AWS est un service d'infrastructure de base qui constitue la base du contrôle d'accès basé sur les identités internes AWS. Vous utilisez IAM chaque fois que vous accédez à votre AWS compte. La façon dont vous utilisez IAM dépend des responsabilités et des fonctions spécifiques au sein de votre organisation. Les utilisateurs des AWS services utilisent IAM pour accéder aux AWS ressources nécessaires à leur day-to-day travail, les administrateurs leur accordant les autorisations appropriées. Les administrateurs IAM, quant à eux, sont chargés de gérer les identités IAM et de rédiger des politiques pour contrôler l’accès aux ressources. Quel que soit votre rôle, vous interagissez avec IAM chaque fois que vous vous authentifiez et autorisez l'accès aux AWS ressources. Cela peut impliquer de se connecter en tant qu’utilisateur IAM, d’assumer un rôle IAM ou de tirer parti de la fédération d’identités pour un accès fluide. Il est essentiel de comprendre les différentes fonctionnalités et les différents cas d'utilisation de l'IAM pour gérer efficacement l'accès sécurisé à votre AWS environnement. Lorsqu’il s’agit de créer des politiques et des autorisations, IAM propose une approche flexible et granulaire. Vous pouvez définir des politiques de confiance pour contrôler quels principaux peuvent endosser un rôle, en plus des politiques basées sur l’identité qui spécifient les actions et les ressources auxquelles un utilisateur ou un rôle peut accéder. En configurant ces politiques IAM, vous pouvez garantir que les utilisateurs et les applications disposent du niveau d’autorisation approprié pour effectuer les tâches requises.

## Lorsque vous effectuez différentes activités professionnelles
<a name="security_iam_audience"></a>

Gestion des identités et des accès AWS est un service d'infrastructure de base qui constitue la base du contrôle d'accès basé sur les identités internes AWS. Vous utilisez IAM chaque fois que vous accédez à votre compte AWS .

 Votre utilisation d'IAM diffère selon le travail que vous effectuez dans AWS.
+ Utilisateur du service : si vous utilisez un AWS service pour effectuer votre travail, votre administrateur vous fournit les informations d'identification et les autorisations dont vous avez besoin. Plus vous utilisez de fonctions avancées pour effectuer votre travail, plus vous pouvez avoir besoin d'autorisations supplémentaires. Si vous comprenez bien la gestion des accès, vous saurez demander les autorisations appropriées à votre administrateur.
+ Administrateur de service — Si vous êtes responsable d'une AWS ressource au sein de votre entreprise, vous avez probablement un accès complet à IAM. Votre responsabilité consiste à déterminer les fonctionnalités IAM ainsi que les ressources auxquelles les utilisateurs de votre service doivent accéder. Vous devez ensuite soumettre les demandes à votre administrateur IAM pour modifier les autorisations des utilisateurs de votre service. Consultez les informations sur cette page pour comprendre les concepts de base d’IAM. 
+ Administrateur IAM – Si vous êtes administrateur IAM, vous gérez les identités IAM et rédigez des politiques pour gérer l'accès à IAM. 

 

## Quand vous êtes autorisé à accéder aux AWS ressources
<a name="security_iam_authentication-intro"></a>

L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être authentifié en tant qu'utilisateur IAM ou en assumant un rôle IAM. Utilisateur racine d'un compte AWS

Vous pouvez vous connecter en tant qu'identité fédérée à l'aide d'informations d'identification provenant d'une source d'identité telle que AWS IAM Identity Center (IAM Identity Center), d'une authentification unique ou d'informations d'identification. Google/Facebook Pour plus d’informations sur la connexion, consultez [Connexion à votre Compte AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) dans le *Guide de l’utilisateur Connexion à AWS *.

Pour l'accès par programmation, AWS fournit un SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez [Signature AWS Version 4 pour les demandes d’API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) dans le *Guide de l’utilisateur IAM*.

## Lorsque vous vous connectez en tant qu'utilisateur IAM
<a name="security_iam_authentication-iamuser"></a>

Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d'informations, voir [Exiger des utilisateurs humains qu'ils utilisent la fédération avec un fournisseur d'identité pour accéder à AWS l'aide d'informations d'identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) dans le *guide de l'utilisateur IAM*.

[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.

## Lorsque vous assumez un rôle IAM
<a name="security_iam_authentication-iamrole"></a>

Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Vous pouvez assumer un rôle en [passant d'un rôle d'utilisateur à un rôle IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) ou en appelant une opération d' AWS API AWS CLI ou d'API. Pour plus d’informations, consultez [Méthodes pour endosser un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le *Guide de l’utilisateur IAM*.

Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès intercompte, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez [Accès intercompte aux ressources dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) dans le *Guide de l’utilisateur IAM*.

## Lorsque vous créez des politiques et des autorisations
<a name="getting-started_trust-policies"></a>

Vous accordez des autorisations à un utilisateur en créant une stratégie, qui est un document qui répertorie les actions qu'un utilisateur peut effectuer et les ressources que ces actions peuvent concerner. Les actions ou ressources qui ne sont pas explicitement autorisées sont refusées par défaut. Vous pouvez créer des politiques et les attacher à des principaux (utilisateurs, groupes d'utilisateurs, rôles assumés par des utilisateurs et ressources).

Vous pouvez utiliser ces politiques avec un rôle IAM :
+ **Politique d’approbation** : définit quel [principal](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#principal) peut endosser ce rôle et dans quelles conditions. Une politique d'approbation est un type de politique basée sur les ressources pour les rôles IAM. Un rôle ne peut disposer que d'une seule politique d'approbation.
+ **Politiques basées sur l'identité (en ligne et gérées)** – Ces politiques définissent les autorisations que l'utilisateur du rôle est en mesure d'exécuter (ou qui lui sont refusées), et sur quelles ressources.

Utilisez les [Exemples de politiques basées sur l'identité IAM](access_policies_examples.md) pour vous aider à définir des autorisations pour vos identités IAM. Une fois la politique recherchée trouvée, choisissez Afficher la politique pour afficher le JSON de la politique. Vous pouvez utiliser le document de politique JSON sous forme de modèle pour vos propres politiques.

**Note**  
Si vous utilisez IAM Identity Center pour gérer vos utilisateurs, vous attribuez des ensembles d’autorisations dans IAM Identity Center au lieu d’associer une politique d’autorisations à un principal. Lorsque vous attribuez un ensemble d'autorisations à un groupe ou à un autre utilisateur dans le centre d'identité AWS IAM, IAM Identity Center crée les rôles IAM correspondants dans chaque compte et associe les politiques spécifiées dans le jeu d'autorisations à ces rôles. IAM Identity Center gère le rôle et permet aux utilisateurs autorisés que vous avez définis d'assumer ce rôle. Si vous modifiez le jeu d'autorisations, IAM Identity Center s'assure que les politiques et les rôles IAM correspondants sont mis à jour en conséquence.  
Pour en savoir plus sur IAM Identity Center, consultez [Qu’est-ce que IAM Identity Center ?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.

# Comment gérer IAM ?
<a name="intro-managing-iam"></a>

La gestion Gestion des identités et des accès AWS au sein d'un AWS environnement implique l'utilisation d'une variété d'outils et d'interfaces. La méthode la plus courante consiste à utiliser AWS Management Console une interface Web qui vous permet d'effectuer un large éventail de tâches administratives IAM, de la création d'utilisateurs et de rôles à la configuration des autorisations.

Pour les utilisateurs plus à l'aise avec les interfaces de ligne de commande, AWS fournit deux ensembles d'outils de ligne de commande : le AWS Command Line Interface et le AWS Tools for Windows PowerShell. Ils vous permettent d’émettre des commandes liées à IAM directement depuis le terminal, souvent de manière plus efficace que de naviguer dans la console. En outre, il vous AWS CloudShell permet d'exécuter des commandes CLI ou SDK directement depuis votre navigateur Web, en utilisant les autorisations associées à votre connexion à la console.

Au-delà de la console et de la ligne de commande, AWS propose des kits de développement logiciel (SDKs) pour différents langages de programmation, vous permettant d'intégrer les fonctionnalités de gestion IAM directement dans vos applications. Vous pouvez également accéder à IAM par programmation à l’aide de l’API Query IAM, qui vous permet d’effectuer des demandes HTTPS directement au service. L’utilisation de ces différentes approches de gestion vous offre la flexibilité nécessaire pour intégrer IAM dans vos flux de travail et processus existants.

## Utilisez le AWS Management Console
<a name="intro-managing-iam-section-1"></a>

La console AWS de gestion est une application Web qui comprend et fait référence à une vaste collection de consoles de service pour la gestion AWS des ressources. Lors de votre première connexion, vous accédez à la page d’accueil de la console. La page d'accueil permet d'accéder à chaque console de service et propose un emplacement unique pour accéder aux informations nécessaires à l'exécution des tâches AWS connexes. Les services et applications mis à votre disposition une fois connecté à la console dépendent AWS des ressources auxquelles vous êtes autorisé à accéder. Vous pouvez obtenir des autorisations d'accès aux ressources soit en endossant un rôle, soit en étant membre d'un groupe auquel des autorisations ont été accordées, soit en obtenant une autorisation explicite. Pour un compte AWS autonome, l'utilisateur root ou l'administrateur IAM configure l'accès aux ressources. Pour AWS Organizations, le compte de gestion ou l'administrateur délégué configure l'accès aux ressources.

Si vous prévoyez que des personnes utilisent la console de AWS gestion pour gérer les AWS ressources, nous vous recommandons de configurer les utilisateurs avec des informations d'identification temporaires afin de [garantir la](best-practices.md) sécurité. Les utilisateurs IAM qui ont endossé un rôle, les principaux fédérés et les utilisateurs d’IAM Identity Center disposent d’informations d’identification temporaires, tandis que l’utilisateur IAM et l’utilisateur racine disposent d’informations d’identification à long terme. Les informations d'identification de l'utilisateur root fournissent un accès complet à Compte AWS, tandis que les autres utilisateurs disposent d'informations d'identification qui leur permettent d'accéder aux ressources qui leur sont accordées par les politiques IAM.

L'expérience de connexion est différente selon les types d' AWS Management Console utilisateurs.
+ Les utilisateurs IAM et l'utilisateur root se connectent à partir de l'URL de AWS connexion principale (). https://signin.aws.amazon.com Une fois connectés, ils ont accès aux ressources du compte pour lequel ils ont été autorisés.

  Pour vous connecter en tant qu'utilisateur root, vous devez avoir l'adresse e-mail et le mot de passe de l'utilisateur root.

  Pour vous connecter en tant qu'utilisateur IAM, vous devez disposer du Compte AWS numéro ou de l'alias, du nom d'utilisateur IAM et du mot de passe de l'utilisateur IAM. 

  Nous vous recommandons de limiter les utilisateurs IAM de votre compte aux situations spécifiques nécessitant des informations d'identification à long terme, par exemple pour un accès d'urgence, et de n'utiliser l'utilisateur root que pour les [tâches nécessitant les informations d'identification de l'utilisateur root](id_root-user.md#root-user-tasks).

  Pour plus de commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser le nom d'utilisateur IAM et les informations de compte. La prochaine fois que l'utilisateur accède à une page du AWS Management Console, la console utilise le cookie pour le rediriger vers la page de connexion au compte.

  Déconnectez-vous de la console à la fin de votre session pour empêcher la réutilisation de votre connexion précédente.
+ Les utilisateurs d'IAM Identity Center se connectent à l'aide d'un portail d' AWS accès spécifique propre à leur organisation. Une fois connectés, ils peuvent choisir le compte ou l'application auxquels ils veulent accéder. S'ils choisissent d'accéder à un compte, ils choisissent le jeu d'autorisations qu'ils souhaitent utiliser pour la session de gestion. 
+ Les principaux fédérés OIDC et SAML gérés par un fournisseur d’identité externe lié à un Compte AWS se connectent à l’aide d’un portail d’accès d’entreprise personnalisé. Les ressources AWS disponibles pour les utilisateurs dépendent des politiques sélectionnées par leur organisation.

**Note**  
Pour fournir un niveau de sécurité supplémentaire, l'utilisateur root, les utilisateurs IAM et les utilisateurs d'IAM Identity Center peuvent faire vérifier l'authentification multifactorielle (MFA) AWS avant d'accorder l'accès aux ressources. AWS Lorsque l'authentification MFA est activée, vous devez également avoir accès au périphérique MFA pour vous connecter.

Pour en savoir plus sur la façon dont les différents utilisateurs se connectent à la console de gestion, voir [Connexion à la console de AWS gestion dans le](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html) Guide de l'*utilisateur de AWS connexion*.

## AWS Outils de ligne de commande
<a name="management-method-cli"></a>

Vous pouvez utiliser les outils de ligne de AWS commande pour émettre des commandes sur la ligne de commande de votre système afin d'exécuter l'IAM et AWS des tâches. L'utilisation de la ligne de commande peut être plus rapide et plus pratique que de la console. Les outils de ligne de commande sont également utiles si vous souhaitez créer des scripts qui exécutent AWS des tâches.

AWS fournit deux ensembles d'outils de ligne de commande : le [AWS Command Line Interface](https://aws.amazon.com/cli/)(AWS CLI) et le [AWS Tools for Windows PowerShell](https://aws.amazon.com/powershell/). Pour plus d'informations sur l'installation et l'utilisation du AWS CLI, consultez le [guide de AWS Command Line Interface l'utilisateur](https://docs.aws.amazon.com/cli/latest/userguide/). Pour plus d'informations sur l'installation et l'utilisation des outils pour Windows PowerShell, consultez le [guide de Outils AWS pour PowerShell l'utilisateur](https://docs.aws.amazon.com/powershell/latest/userguide/).

Une fois connecté à la console, vous pouvez l'utiliser AWS CloudShell depuis votre navigateur pour exécuter des commandes CLI ou SDK. Les autorisations d'accès aux AWS ressources sont basées sur les informations d'identification que vous avez utilisées pour vous connecter à la console. Selon votre expérience, vous trouverez peut-être que la CLI est une méthode plus efficace pour gérer votre Compte AWS. Pour de plus amples informations, consultez [AWS CloudShell À utiliser pour travailler avec AWS Identity and Access Management](using-aws-with-cloudshell.md).

### AWS Interface de ligne de commande (CLI) et kits de développement logiciel (SDKs)
<a name="management-method-cli-sdk"></a>

Les utilisateurs d'IAM Identity Center et d'IAM utilisent différentes méthodes pour authentifier leurs informations d'identification lorsqu'ils s'authentifient via la CLI ou les interfaces d'application (APIs) associées. SDKs 

Les informations d'identification et les paramètres de configuration se trouvent à plusieurs endroits, tels que les variables d'environnement système ou utilisateur, les fichiers de AWS configuration locaux, ou sont explicitement déclarés sur la ligne de commande en tant que paramètre. Certains emplacements l’emportent sur d’autres.

IAM Identity Center et IAM fournissent des clés d'accès qui peuvent être utilisées avec la CLI ou le kit SDK. Les clés d'accès IAM Identity Center sont des identifiants temporaires qui peuvent être actualisés automatiquement et leur utilisation est recommandée par rapport aux clés d'accès à long terme associées aux utilisateurs IAM.

Pour gérer votre Compte AWS utilisation de la CLI ou du SDK, vous pouvez utiliser AWS CloudShell votre navigateur. Si vous exécutez CloudShell des commandes CLI ou SDK, vous devez d'abord vous connecter à la console. Les autorisations d'accès aux AWS ressources sont basées sur les informations d'identification que vous avez utilisées pour vous connecter à la console. Selon votre expérience, vous trouverez peut-être que la CLI est une méthode plus efficace pour gérer votre Compte AWS.

Pour le développement d'applications, vous pouvez télécharger la CLI ou le kit SDK sur votre ordinateur et vous connecter à partir de l'invite de commande ou d'une fenêtre Docker. Dans ce scénario, vous configurez les informations d'identification relatives à l'authentification et à l'accès dans le cadre du script CLI ou de l'application SDK. Vous pouvez configurer l'accès programmatique aux ressources de différentes manières, en fonction de l'environnement et de l'accès dont vous disposez. 
+ Les options recommandées pour authentifier le code local avec le AWS service sont IAM Identity Center et IAM Roles Anywhere.
+ Les options recommandées pour authentifier le code exécuté dans un environnement AWS sont d'utiliser des rôles IAM ou des informations d'identification IAM Identity Center.

Lorsque vous vous connectez via le portail AWS d'accès, vous pouvez obtenir des informations d'identification à court terme sur la page d'accueil où vous choisissez votre ensemble d'autorisations. Ces informations d'identification ont une durée définie et ne sont pas actualisées automatiquement. Si vous souhaitez utiliser ces informations d'identification, après vous être connecté au AWS portail, choisissez le, Compte AWS puis choisissez l'ensemble d'autorisations. Sélectionnez **Accès par ligne de commande ou par programmation** pour afficher les options que vous pouvez utiliser pour accéder aux AWS ressources par programmation ou à partir de la CLI. Pour plus d'informations sur ces méthodes, veuillez consulter la rubrique [Getting and refreshing temporary credentials](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html#how-to-get-temp-credentials) dans le *Guide de l'utilisateur IAM Identity Center*. Ces informations d'identification sont souvent utilisées lors du développement d'applications pour tester rapidement le code.

Nous vous recommandons d'utiliser les informations d'identification IAM Identity Center qui sont automatiquement actualisées lors de l'automatisation de l'accès à vos AWS ressources. Si vous avez configuré des utilisateurs et des jeux d'autorisations dans IAM Identity Center, utilisez la commande `aws configure sso` pour faire appel à un assistant de ligne de commande qui vous aidera à identifier les informations d'identification disponibles et à les stocker dans un profil. Pour plus d'informations sur la configuration de votre profil, veuillez consulter la rubrique [Configure your profile with the `aws configure sso` wizard](https://docs.aws.amazon.com/cli/latest/userguide/sso-configure-profile-token.html#sso-configure-profile-token-auto-sso) dans le *Guide de l'utilisateur de l'interface de ligne de commande AWS pour la version 2*.

**Note**  
De nombreux exemples d'applications utilisent des clés d'accès à long terme associées à des utilisateurs IAM ou à un utilisateur root. N'utilisez les informations d'identification à long terme qu'au sein d'un environnement de test (sandbox), dans le cadre d'un exercice d'apprentissage. Passez en revue les [alternatives aux clés d'accès à long terme](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys) et planifiez la modification de votre code pour utiliser des informations d'identification alternatives, telles que les informations d'identification IAM Identity Center ou les rôles IAM, dès que possible. Après avoir modifié votre code, supprimez les clés d'accès. 

Pour en savoir plus sur la configuration de la CLI, voir [Installer ou mettre à jour la dernière version de la AWS CLI dans le Guide de l'](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html)*utilisateur de l'interface de ligne de AWS commande pour la version 2* et [Authentification et informations d'identification d'accès](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-authentication.html) dans le *Guide de l'utilisateur de l'interface de ligne de AWS commande*

Pour en savoir plus sur la configuration du SDK, consultez les sections [Authentication IAM Identity Center](https://docs.aws.amazon.com/sdkref/latest/guide/access-sso.html) dans le *guide de référence AWS SDKs and Tools* et [IAM Roles Anywhere](https://docs.aws.amazon.com/sdkref/latest/guide/access-rolesanywhere.html) dans le guide de référence *AWS SDKs and Tools*.

## Utilisez le AWS SDKs
<a name="intro-managing-iam-section-2"></a>

AWS fournit SDKs (kits de développement logiciel) composés de bibliothèques et d'exemples de code pour différents langages de programmation et plateformes (Java, Python, Ruby, .NET, iOS, Android, etc.). Ils SDKs fournissent un moyen pratique de créer un accès programmatique à IAM et. AWS Par exemple, ils se SDKs chargent de tâches telles que la signature cryptographique des demandes, la gestion des erreurs et le renouvellement automatique des demandes. Pour plus d'informations AWS SDKs, notamment sur la manière de les télécharger et de les installer, consultez la page [Outils pour Amazon Web Services](https://aws.amazon.com/tools/).

## Utilisation de l’API Query IAM
<a name="intro-managing-iam-section-3"></a>

Vous pouvez accéder à IAM et par AWS programmation à l'aide de l'API de requête IAM, qui vous permet d'envoyer des requêtes HTTPS directement au service. Lorsque vous utilisez l'API Query , vous devez inclure un code pour signer numériquement les demandes à l'aide de vos informations d'identification. Pour plus d'informations sur les groupes d'utilisateurs, veuillez consulter [Appel de l'API IAM à l'aide de requêtes HTTP](programming.md) et la [référence API IAM](https://docs.aws.amazon.com/IAM/latest/APIReference/).

# Fonctionnement de IAM
<a name="intro-structure"></a>

Gestion des identités et des accès AWS fournit l'infrastructure nécessaire pour contrôler l'authentification et l'autorisation pour votre Compte AWS. 

Tout d'abord, un utilisateur humain ou une application utilise ses informations de connexion pour s'authentifier auprès d' AWS. IAM associe les informations d'identification de connexion à un principal (un utilisateur IAM, un utilisateur principal AWS STS fédéré, un rôle IAM ou une application) approuvé par le Compte AWS et authentifie l'autorisation d'accès. AWS

Ensuite, IAM effectue une requête pour accorder au principal l’accès aux ressources. IAM accorde ou refuse l’accès en réponse à une requête d’autorisation. Par exemple, lorsque vous vous connectez à la console pour la première fois et que vous vous trouvez sur sa page d’accueil, vous n’accédez à aucun service spécifique. Lorsque vous sélectionnez un service, vous envoyez une requête d’autorisation à IAM pour ce service. IAM vérifie que votre identité figure sur la liste des utilisateurs autorisés, détermine les politiques qui contrôlent le niveau d’accès accordé et évalue les autres politiques éventuellement en vigueur. Les personnes en Compte AWS qui vous avez confiance peuvent faire des demandes d'autorisation en votre sein Compte AWS ou en qui vous avez confiance.

Une fois autorisé, le principal peut effectuer des actions ou des opérations sur les ressources de votre Compte AWS. Par exemple, le principal peut lancer une nouvelle Amazon Elastic Compute Cloud instance, modifier l'appartenance à un groupe IAM ou supprimer des Amazon Simple Storage Service buckets. Le diagramme suivant illustre ce processus à travers l’infrastructure IAM :

![\[Ce diagramme montre comment un principal est authentifié et autorisé par le service IAM à effectuer des actions ou des opérations sur d'autres AWS services ou ressources.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/intro-diagram _policies_800.png)


## Composants d’une requête
<a name="intro-structure-request"></a>

Lorsqu'un principal essaie d'utiliser l' AWS Management Console AWS API, ou le AWS CLI, ce principal envoie une *demande* à AWS. La demande inclut les informations suivants :
+ **Actions ou opérations** : actions ou opérations que le principal souhaite effectuer, par exemple une action dans l' AWS Management Console API or ou une opération dans l' AWS CLI AWS API.
+ **Ressources** : objet de AWS ressource sur lequel le principal demande d'effectuer une action ou une opération.
+ **Principal** : personne ou application qui utilise une entité (utilisateur ou rôle) pour envoyer la demande. Les informations sur le principal incluent les politiques d’autorisation. 
+ **Données d’environnement** : informations sur l’adresse IP, l’agent utilisateur, le statut SSL ou l’horodatage.
+ **Données sur les ressources** : données associées à la ressource demandée, telles que le nom d’une table DynamoDB ou une balise sur une instance Amazon EC2.

AWS rassemble les informations de la demande dans un *contexte de demande*, qu'IAM évalue pour autoriser la demande.

## Comment les principaux sont authentifiés
<a name="intro-structure-authentication"></a>

Un principal se connecte à AWS l'aide de ses informations d'identification que IAM authentifie pour permettre au principal d'envoyer une demande. AWS Certains services, tels qu'Amazon S3 et Amazon AWS STS, autorisent des demandes spécifiques émanant d'utilisateurs anonymes. Cependant, ils sont l’exception à la règle. Chaque type d’utilisateur passe par une authentification.
+ **Utilisateur root** — Vos informations de connexion utilisées pour l'authentification sont l'adresse e-mail que vous avez utilisée pour créer le Compte AWS et le mot de passe que vous avez spécifié à ce moment-là. 
+ **Principal fédéré** : votre fournisseur d'identité vous authentifie et lui transmet vos informations d'identification AWS, vous n'avez pas à vous connecter directement à. AWS IAM Identity Center et IAM prennent tous deux en charge la fédération d’identité.
+ **Utilisateurs connectés Répertoire AWS IAM Identity Center** *(non fédérés)* : les utilisateurs créés directement dans le répertoire par défaut d'IAM Identity Center se connectent à l'aide du portail d' AWS accès et fournissent leur nom d'utilisateur et leur mot de passe. 
+ **Utilisateur IAM** : vous vous connectez en fournissant votre ID de compte ou alias, votre nom d’utilisateur et votre mot de passe. Pour authentifier les charges de travail à partir de l'API AWS CLI, vous pouvez utiliser des informations d'identification temporaires en assumant un rôle ou vous pouvez utiliser des informations d'identification à long terme en fournissant votre clé d'accès et votre clé secrète.

  Pour en savoir plus sur les entités IAM, consultez [Utilisateurs IAM](id_users.md) et [Rôles IAM](id_roles.md).

AWS recommande d'utiliser l'authentification multifactorielle (MFA) avec tous les utilisateurs afin de renforcer la sécurité de votre compte. Pour en savoir plus sur MFA, consultez [AWS Authentification multifactorielle dans IAM](id_credentials_mfa.md). 

## Principes de base des politiques d’autorisation
<a name="intro-structure-authorization"></a>

L’autorisation signifie que le principal dispose des autorisations requises pour traiter sa requête. Lors de l’autorisation, IAM identifie les politiques qui s’appliquent à la requête en utilisant les valeurs du contexte de la requête. Ensuite, il utilise les politiques pour déterminer s'il autorise ou refuse la demande. IAM stocke la plupart des politiques d’autorisation sous forme de [documents JSON](access_policies.md#access_policies-json) spécifiant les autorisations pour les entités du principal. 

Il existe [plusieurs types de politiques](access_policies.md) pouvant affecter une requête d’autorisation. Pour autoriser vos utilisateurs à accéder aux AWS ressources de votre compte, vous pouvez utiliser des politiques basées sur l'identité. Les politiques basées sur les ressources peuvent accorder un [accès intercomptes](access_permissions-required.md#UserPermissionsAcrossAccounts). Pour effectuer une requête dans un autre compte, une politique dans l’autre compte doit vous autoriser à accéder à la ressource *et* l’entité IAM que vous utilisez pour effectuer la demande doit avoir une politique basée sur une identité qui autorise la requête.

IAM recherche chaque politique qui s’applique au contexte de votre requête. L’évaluation de la politique IAM utilise un *refus explicite*, ce qui signifie que si une seule politique d’autorisation inclut une action refusée, IAM refuse l’ensemble de la requête et arrête l’évaluation. Les requêtes étant *refusées par défaut*, les politiques d’autorisation applicables doivent autoriser toutes les parties de votre requête pour qu’IAM l’autorise. La logique d’évaluation pour une requête au sein d’un même compte utilise les règles de base suivantes :
+ Par défaut, toutes les demandes sont refusées. (En général, les demandes effectuées à l'aide des informations d'identification du Utilisateur racine d'un compte AWS pour les ressources de ce compte sont toujours autorisées.) 
+ Une autorisation explicite dans une politique d'autorisations (basée sur l'identité ou les ressources) remplace cette valeur par défaut.
+ L'existence d'une politique de contrôle des AWS Organizations services (SCP) ou d'une politique de contrôle des ressources (RCP), d'une limite d'autorisations IAM ou d'une politique de session annule l'autorisation. S'il existe une ou plusieurs de ces sortes de politiques, elles doivent toutes autoriser la demande. Sinon, elle est refusée implicitement. Pour plus d'informations sur SCPs et RCPs, consultez les [politiques d'autorisation AWS Organizations dans](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_authorization_policies.html) le *guide de AWS Organizations l'utilisateur*.
+ Un refus explicite dans n’importe quelle politique remplace toutes les autorisations dans toutes les politiques.

Pour en savoir plus, veuillez consulter la section [Logique d'évaluation de politiques](reference_policies_evaluation-logic.md). <a name="intro-structure-actions"></a>

Une fois qu’IAM a authentifié et autorisé le principal, IAM approuve les actions ou les opérations figurant dans sa requête en évaluant la politique d’autorisation qui s’applique au principal. Chaque AWS service définit les actions (opérations) qu'il prend en charge et inclut les actions que vous pouvez effectuer sur une ressource, telles que l'affichage, la création, la modification et la suppression de cette ressource. La politique d’autorisation qui s’applique au principal doit inclure les actions nécessaires pour exécuter une opération. Pour en savoir sur l’évaluation des politiques d’autorisation par IAM, consultez [Logique d'évaluation de politiques](reference_policies_evaluation-logic.md).

Le service définit un ensemble d’actions qu’un principal peut effectuer sur chaque ressource. Lorsque vous créez des politiques d’autorisation, veillez à inclure les actions que vous souhaitez que l’utilisateur puisse effectuer. Par exemple, IAM prend en charge plus de 40 actions pour une ressource utilisateur, y compris les actions de base suivantes :
+ `CreateUser`
+ `DeleteUser`
+ `GetUser`
+ `UpdateUser`

En outre, vous pouvez spécifier des conditions dans votre politique d’autorisation qui permettent d’accéder aux ressources lorsque la requête remplit les conditions spécifiées. Par exemple, vous pouvez souhaiter qu’une déclaration de politique prenne effet après une date spécifique ou qu’elle contrôle l’accès lorsqu’une valeur spécifique apparaît dans une API. Pour spécifier des conditions, vous utilisez l’élément [`Condition`](reference_policies_elements_condition_operators.md) d’une déclaration de politique. 

Une fois que l’IAM a approuvé les opérations d’une requête, le principal peut travailler avec les ressources correspondantes de votre compte. Une ressource est une objet existant au sein d'un service. Il peut s'agir, par exemple, d'une instance Amazon EC2, d'un utilisateur IAM et d'un compartiment Amazon S3. Si le principal crée une requête pour effectuer une action sur une ressource qui n’est pas incluse dans la politique d’autorisation, le service refuse la requête. Par exemple, si vous êtes autorisé à supprimer un rôle IAM mais demandez la suppression d’un groupe IAM, la requête échoue si vous n’êtes pas autorisé à supprimer des groupes IAM. Pour en savoir plus sur les actions, les ressources et les clés de condition prises en charge par les différents AWS services, consultez [Actions, ressources et clés de condition pour les AWS services](reference_policies_actions-resources-contextkeys.html).

# Comparaison des identités et des informations d’identification IAM
<a name="introduction_identity-management"></a>

Les identités gérées dans Gestion des identités et des accès AWS sont les utilisateurs IAM, les rôles IAM et les groupes IAM. Ces identités s'ajoutent à celles de votre utilisateur root AWS créé en même temps que votre Compte AWS.

Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Au lieu de cela, provisionnez des utilisateurs supplémentaires et accordez-leur les autorisations requises pour effectuer les tâches nécessaires. Vous pouvez ajouter des utilisateurs en ajoutant des personnes à votre répertoire IAM Identity Center, en fédérant un fournisseur d’identité externe avec IAM Identity Center ou IAM, ou en créant des utilisateurs IAM à moindre privilège.

Pour plus de sécurité, nous vous recommandons de centraliser l'accès root afin de sécuriser de manière centralisée les informations d'identification de l'utilisateur root de votre utilisation Comptes AWS AWS Organizations gérée. [Gestion centralisée de l’accès root pour les comptes membres](id_root-user.md#id_root-user-access-management)vous permet de supprimer de manière centralisée et d'empêcher la restauration à long terme des informations d'identification de l'utilisateur root, empêchant ainsi tout accès root involontaire à grande échelle. Après avoir activé l’accès racine centralisé, vous pouvez utiliser une session privilégiée pour effectuer des actions sur les comptes membres.

Après avoir configuré vos utilisateurs, vous pouvez donner accès à vos utilisateurs Compte AWS à des personnes spécifiques et leur donner les autorisations d'accéder aux ressources.

[Il est AWS recommandé de demander aux utilisateurs humains d'assumer un rôle IAM pour y accéder AWS afin qu'ils utilisent des informations d'identification temporaires.](best-practices.md) Si vous gérez des identités dans le répertoire IAM Identity Center ou si vous utilisez la fédération avec un fournisseur d’identité, vous suivez les pratiques exemplaires.

## Conditions
<a name="intro-structure-terms"></a>

Ces termes sont couramment utilisés lors de l’utilisation d’identités IAM :

**Ressource IAM**  
Le service IAM stocke ces ressources. Vous pouvez les ajouter, les modifier et les supprimer à partir de la console.  
+ Utilisateur IAM
+ Groupe IAM
+ Rôle IAM
+ Stratégie d'autorisation
+ objet fournisseur d’identité

**Entité IAM**  
Ressources IAM AWS utilisées pour l'authentification. Spécifier l’entité en tant que principal dans une politique basée sur les ressources.   
+ Utilisateur IAM
+ Rôle IAM

**Identité IAM**  
La ressource IAM autorisée dans des politiques pour effectuer des actions et accéder aux ressources. Les identités incluent les utilisateurs IAM, les groupes IAM et les rôles IAM.   
  

![\[Ce diagramme montre que l’utilisateur IAM et le rôle IAM sont des principaux qui sont également des entités et des identités, mais que l’utilisateur racine est un principal qui n’est ni une entité ni une identité. Le diagramme indique également que les groupes IAM sont des identités. L’authentification IAM contrôle l’accès des identités à l’aide de politiques, mais l’utilisateur racine a un accès total aux ressources AWS et ne peut pas être limité par des politiques IAM basées sur les identités ou les ressources.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/iam-terms-2.png)


**Principaux**  
Utilisateur IAM ou rôle IAM qui peut demander une action ou une opération sur une AWS ressource. Utilisateur racine d'un compte AWS Les principaux incluent des utilisateurs humains, des charges de travail, des principaux fédérés et des rôles endossés. Après l'authentification, IAM accorde au principal des informations d'identification permanentes ou temporaires auxquelles il peut envoyer des demandes AWS, selon le type principal.   
Les *utilisateurs humains* sont également connus sous le nom d’*identités humaines*, telles que les personnes, les administrateurs, les développeurs, les opérateurs et les consommateurs de vos applications.  
Les *charges de travail* sont un ensemble de ressources et de codes qui apportent une valeur ajoutée à l’entreprise, tels qu’une application, un processus, des outils opérationnels et d’autres composants.  
Les *principaux fédérés* sont des utilisateurs dont l’identité et les informations d’identification sont gérées par un autre fournisseur d’identité, tel qu’Active Directory, Okta ou Microsoft Entra.  
Les *rôles IAM* sont une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques déterminant ce que l’identité peut et ne peut pas faire. En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin.  
IAM accorde aux utilisateurs IAM et à l'utilisateur root des informations d'identification à long terme et des informations d'identification temporaires aux rôles IAM. utilisateurs dans AWS IAM Identity Center, les principaux fédérés OIDC et SAML assument des rôles IAM lorsqu'ils se connectent AWS, ce qui leur octroie des informations d'identification temporaires. Il est recommandé [de](best-practices.md) demander aux utilisateurs humains et aux charges de travail d'accéder aux AWS ressources à l'aide d'informations d'identification temporaires.

## Différence entre les utilisateurs IAM et les utilisateurs dans IAM Identity Center
<a name="intro-identity-users"></a>

 Les **utilisateurs IAM** ne sont pas des comptes distincts, mais des utilisateurs individuels au sein de votre compte. Chaque utilisateur possède son propre mot de passe pour accéder au AWS Management Console. Vous pouvez également créer une clé d'accès individuelle pour chaque utilisateur afin de lui permettre d'effectuer des demandes par programmation en vue d'utiliser des ressources de votre compte.

Les utilisateurs IAM et leurs clés d'accès disposent d'informations d'identification à long terme pour vos AWS ressources. L'utilisation principale pour les utilisateurs IAM est de donner aux charges de travail qui ne peuvent pas utiliser les rôles IAM la possibilité d'envoyer des demandes programmatiques aux AWS services à l'aide de l'API ou de la CLI. 

**Note**  
Pour les scénarios dans lesquels vous avez besoin d'utilisateurs IAM disposant d'un accès programmatique et d'informations d'identification à long terme, nous vous recommandons de mettre à jour les clés d'accès. Pour de plus amples informations, veuillez consulter [Mise à jour des clés d’accès](id-credentials-access-keys-update.md).

Les identités des employés (personnes) **utilisateurs dans AWS IAM Identity Center**ont des besoins d'autorisation différents en fonction du rôle qu'ils jouent et peuvent travailler dans différents Comptes AWS domaines au sein d'une organisation. Si vous avez des cas d'utilisation qui nécessitent des clés d'accès, vous pouvez les soutenir avec utilisateurs dans AWS IAM Identity Center. Les personnes qui se connectent via le portail AWS d'accès peuvent obtenir des clés d'accès avec des informations d'identification à court terme pour accéder à vos AWS ressources. Pour une gestion centralisée des accès, nous vous recommandons d'utiliser [AWS IAM Identity Center (IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) pour gérer l'accès à vos comptes et les autorisations au sein de ceux-ci. IAM Identity Center est automatiquement configuré avec un répertoire Identity Center comme source d'identité par défaut, dans lequel vous pouvez ajouter des personnes et des groupes, et attribuer leur niveau d'accès à vos AWS ressources. Pour plus d’informations, consultez [Présentation de AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) dans le *Guide de l’utilisateur AWS IAM Identity Center *.

La principale différence entre ces deux types d'utilisateurs est que les utilisateurs d'IAM Identity Center assument automatiquement un rôle IAM lorsqu'ils se connectent AWS avant d'accéder à la console de gestion ou aux ressources. AWS Les rôles IAM accordent des informations d'identification temporaires chaque fois que l'utilisateur se connecte à. AWS Pour que les utilisateurs IAM puissent se connecter en utilisant un rôle IAM, ils doivent être autorisés à assumer et à changer de rôle et ils doivent explicitement choisir de passer au rôle qu'ils souhaitent assumer après avoir accédé au AWS compte.

## Fédération des utilisateurs à partir d’une source d’identité existante
<a name="intro-identity-federation"></a>

Si les utilisateurs de votre organisation sont déjà authentifiés lorsqu’ils se connectent à votre réseau d’entreprise, vous n’avez pas besoin de créer pour eux des utilisateurs IAM distincts ou des utilisateurs dans IAM Identity Center. Vous pouvez plutôt *fédérer* ces identités d'utilisateurs en AWS utilisant IAM ou. AWS IAM Identity Center Les principaux fédérés OIDC et SAML assument un rôle IAM qui leur donne l’autorisation d’accéder à des ressources spécifiques. Pour plus d'informations sur les rôles , consultez [Termes et concepts relatifs aux rôles](id_roles.md#id_roles_terms-and-concepts).

![\[Ce schéma montre comment un principal fédéré peut obtenir des informations d'identification AWS de sécurité temporaires pour accéder aux ressources de votre Compte AWS.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/iam-intro-federation.diagram.png)


La fédération est utile dans les cas suivants : 
+ **Vos utilisateurs existent déjà dans un annuaire d'entreprise.** 

  Si votre annuaire d'entreprise est compatible avec le langage SAML 2.0 (Security Assertion Markup Language 2.0), vous pouvez configurer votre annuaire d'entreprise pour fournir à vos utilisateurs un accès par authentification unique (SSO). AWS Management Console Pour de plus amples informations, veuillez consulter [Scénarios courants d'informations d'identification temporaires](id_credentials_temp.md#sts-introduction). 

  Si votre annuaire d'entreprise n'est pas compatible avec SAML 2.0, vous pouvez créer une application de courtier d'identité pour fournir à vos utilisateurs un accès par authentification unique (SSO). AWS Management Console Pour de plus amples informations, veuillez consulter [Permettre à un courtier d'identité personnalisé d'accéder à la AWS console](id_roles_providers_enable-console-custom-url.md). 

  Si votre annuaire d'entreprise est Microsoft Active Directory, vous pouvez l'utiliser AWS IAM Identity Center pour connecter un répertoire autogéré dans Active Directory ou un annuaire [AWS Directory Service](https://aws.amazon.com/directoryservice/)pour établir un lien de confiance entre votre annuaire d'entreprise et votre Compte AWS. 

  Si vous utilisez un fournisseur d'identité externe (IdP) tel qu'Okta ou Microsoft Entra pour gérer les utilisateurs, vous pouvez l'utiliser AWS IAM Identity Center pour établir un lien de confiance entre votre IdP et votre. Compte AWS Pour plus d'informations, consultez la section [Se connecter à un fournisseur d'identité externe](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) dans le *Guide de l'utilisateur AWS IAM Identity Center *.
+ **Vos utilisateurs disposent déjà d'identités Internet.**

  Si vous créez une application mobile ou une application basée sur le web permettant aux utilisateurs de s'identifier à l'aide d'un fournisseur d'entité Internet comme Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC), l'application peut utiliser la fédération pour accéder à AWS. Pour de plus amples informations, veuillez consulter [Fédération OIDC](id_roles_providers_oidc.md). 
**Astuce**  
Pour utiliser la fédération d'identité avec des fournisseurs d'identité, nous vous recommandons d'utiliser [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html).

## Différentes méthodes pour fournir un accès aux utilisateurs
<a name="AccessControlMethods"></a>

Voici comment vous pouvez donner accès à vos AWS ressources.


****  

| Type d'accès utilisateur | Quand est-elle utilisée ? | Comment puis-je obtenir plus d’informations ? | 
| --- | --- | --- | 
|  Accès par authentification unique pour les personnes, tels que les utilisateurs de votre personnel, aux ressources AWS à l’aide d’IAM Identity Center  |  L'IAM Identity Center fournit un espace central qui regroupe l'administration des utilisateurs et leur accès aux Comptes AWS applications cloud. Vous pouvez configurer un magasin d'identités dans IAM Identity Center ou configurer une fédération avec un fournisseur d'identité (IdP) existant. Les meilleures pratiques de sécurité recommandent d'accorder à vos utilisateurs humains des informations d'identification limitées aux AWS ressources.  Les personnes bénéficient d’une expérience de connexion simplifiée et vous conservez le contrôle de leur accès aux ressources à partir d’un système unique. IAM Identity Center prend en charge l'authentification multifactorielle (MFA) pour renforcer la sécurité des comptes.  |  Pour plus d'informations sur la configuration d'IAM Identity Center, consultez [Mise en route](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html) dans le *Guide de l'utilisateur AWS IAM Identity Center *. Pour plus d'informations sur l'utilisation de MFA dans IAM Identity Center, consultez [Authentification multifactorielle](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) dans le *Guide de l'utilisateur AWS IAM Identity Center *.  | 
| Accès fédéré pour les utilisateurs humains, tels que les utilisateurs de votre personnel, aux AWS services utilisant des fournisseurs d'identité IAM () IdPs | Les supports IAM sont IdPs compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0). Après avoir créé un fournisseur d’identité IAM, vous créez un ou plusieurs rôles IAM qui peuvent être attribués de manière dynamique à un principal fédéré. | Pour plus d'informations sur les fournisseurs d'identité IAM et la fédération, consultez [Fournisseurs d'identité et fédération au sein de AWS](id_roles_providers.md). | 
|  Accès multicompte entre Comptes AWS  |  Vous souhaitez partager l'accès à certaines AWS ressources avec des utilisateurs d'autres ressources Comptes AWS. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, certains services AWS prennent en charge les politiques basées sur les ressources, ce qui vous permet d’attacher une politique directement à une ressource (au lieu d’utiliser un rôle en tant que proxy).   | Pour plus d’informations sur les rôles IAM, consultez [Rôles IAM](id_roles.md). Pour plus d’informations sur les rôles liés à un service, consultez [Créer un rôle lié à un service](id_roles_create-service-linked-role.md). Pour connaître les services qui prennent en charge l'utilisation de rôles liés à un service, consultez [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md). Recherchez les services qui comportent un **Oui** dans la colonne **Rôle lié à un service**. Pour consulter la documentation relative au rôle lié à un service, sélectionnez le lien associé à **Oui** dans cette colonne.  | 
|  Informations d'identification à long terme pour les utilisateurs IAM désignés dans votre Compte AWS  |  Il se peut que vous ayez des cas d'utilisation spécifiques qui nécessitent des informations d'identification à long terme avec des utilisateurs IAM intégrés. AWS Vous pouvez utiliser IAM pour créer ces utilisateurs IAM dans votre Compte AWS et utiliser IAM pour gérer leurs autorisations. Voici certaines des fonctionnalités les plus utilisées : [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/introduction_identity-management.html) En guise de [bonne pratique](best-practices.md) pour les scénarios dans lesquels vous avez besoin d'utilisateurs IAM disposant d'un [accès programmatique et d'informations d'identification à long terme](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html), nous vous recommandons d'effectuer une mise à jour des clés d'accès. Pour de plus amples informations, veuillez consulter [Mise à jour des clés d’accès](id-credentials-access-keys-update.md).  | Pour plus d'informations sur la configuration d'un utilisateur IAM, consultez [Créez un utilisateur IAM dans votre Compte AWS](id_users_create.md). Pour plus d’informations sur les clés d’accès des utilisateurs IAM, consultez [Gestion des clés d’accès pour les utilisateurs IAM](id_credentials_access-keys.md). Pour plus d'informations sur les informations d'identification spécifiques à un service pour ou AWS CodeCommit Amazon Keyspaces, consultez et. [Informations d'identification IAM pour CodeCommit : informations d'identification Git, clés SSH et AWS clés d'accès](id_credentials_ssh-keys.md) [Utilisation d’IAM avec Amazon Keyspaces (pour Apache Cassandra)](id_credentials_keyspaces.md)   | 

## Prise en charge de l’accès programmatique des utilisateurs
<a name="gs-get-keys"></a>

Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur accédant AWS :
+ Si vous gérez les identités dans IAM Identity Center, elles AWS APIs nécessitent un profil, puis AWS Command Line Interface un profil ou une variable d'environnement.
+ Si vous avez des utilisateurs IAM, les AWS APIs et les clés AWS Command Line Interface d'accès requises. Lorsque cela est possible, créez des informations d’identification temporaires composées d’un ID de clé d’accès, d’une clé d’accès secrète et d’un jeton de sécurité qui indique la date d’expiration des informations d’identification.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.


| Quel utilisateur a besoin d’un accès programmatique ? | Option | En savoir plus | 
| --- | --- | --- | 
|  Identités de la main-d’œuvre  (Personnes et utilisateurs gérés dans IAM Identity Center)  | Utilisez des informations d'identification à court terme pour signer les demandes programmatiques adressées au AWS CLI ou AWS APIs (directement ou en utilisant le AWS SDKs). |  Pour ce faire AWS CLI, suivez les instructions de la section [Obtenir les informations d'identification du rôle IAM pour l'accès à la CLI](https://docs.aws.amazon.com//singlesignon/latest/userguide/howtogetcredentials.html) dans le *guide de AWS IAM Identity Center l'utilisateur*. Pour ce faire AWS APIs, suivez les instructions figurant dans les [informations d'identification SSO](https://docs.aws.amazon.com//sdkref/latest/guide/feature-sso-credentials.html) du *guide de référence AWS SDKs et des outils*.  | 
| Utilisateurs IAM | Utilisez des informations d'identification à court terme pour signer les demandes programmatiques adressées au AWS CLI ou AWS APIs (directement ou en utilisant le AWS SDKs). | Suivez les instructions de la section [Utilisation d'informations d'identification temporaires avec AWS des ressources](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp_use-resources.html). | 
| Utilisateurs IAM | Utilisez des informations d'identification à long terme pour signer les demandes programmatiques adressées au AWS CLI ou AWS APIs (directement ou en utilisant le AWS SDKs).(Non recommandé) | Suivez les instructions de la section [Gestion des clés d’accès pour les utilisateurs IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_access-keys.html). | 
| Principaux fédérés | Utilisez une opération d'API AWS STS pour créer une nouvelle session avec des informations de sécurité temporaires comprenant une paire de clés d'accès et un jeton de session. | Pour obtenir des explications sur les opérations d’API, consultez [Demande d’identifiants de sécurité temporaires](id_credentials_temp_request.md) | 

# Comment les autorisations et les politiques assurent la gestion des accès
<a name="introduction_access-management"></a>

La partie de gestion des accès de Gestion des identités et des accès AWS (IAM) vous aide à définir ce qu'une entité principale peut faire dans un compte. Une entité de principal est une personne ou une application qui est authentifiée à l’aide d’une entité IAM (utilisateur ou rôle IAM). La gestion des accès est souvent appelée *autorisation*. Vous gérez l'accès en AWS créant des politiques et en les associant à des identités ou à des ressources IAM (utilisateurs IAM, groupes IAM ou rôles IAM). AWS Une politique est un objet AWS qui, lorsqu'il est associé à une identité ou à une ressource, définit leurs autorisations. AWS évalue ces politiques lorsqu'un mandant utilise une entité IAM (utilisateur IAM ou rôle IAM) pour faire une demande. Les autorisations dans les politiques déterminent si la demande est autorisée ou refusée. La plupart des politiques sont stockées AWS sous forme de documents JSON. Pour plus d'informations sur les types de politiques et les utilisations, veuillez consulter [Politiques et autorisations dans Gestion des identités et des accès AWS](access_policies.md).

## Politiques et comptes
<a name="intro-access-accounts"></a>

Si vous gérez un seul compte dans AWS, vous définissez les autorisations au sein de ce compte à l'aide de politiques. Si vous gérez des autorisations sur plusieurs comptes, la gestion des autorisations pour vos utilisateurs IAM est plus compliquée. Vous pouvez utiliser des rôles IAM, des politiques basées sur les ressources ou des listes de contrôle d'accès (ACLs) pour les autorisations entre comptes. Toutefois, si vous possédez plusieurs comptes, nous vous recommandons plutôt d'utiliser le AWS Organizations service pour vous aider à gérer ces autorisations. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Organizations ?](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) dans le *guide de AWS Organizations l'utilisateur*.

## Politiques et utilisateurs
<a name="intro-access-users"></a>

Les utilisateurs IAM sont des identités dans Compte AWS. Lorsque vous créez un utilisateur IAM, il ne peut accéder à rien dans votre compte tant que vous ne lui en donnez pas l'autorisation. Vous accordez des autorisations à un utilisateur IAM en créant une politique basée sur l’identité, qui est attachée à l’utilisateur IAM ou à un groupe IAM auquel l’utilisateur IAM appartient. L’exemple suivant illustre une politique JSON qui autorise l’utilisateur IAM à exécuter toutes les actions Amazon DynamoDB (`dynamodb:*`) sur le tableau `Books` dans le compte `123456789012` de la région `us-east-2`.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Allow",
    "Action": "dynamodb:*",
    "Resource": "arn:aws:dynamodb:us-east-2:123456789012:table/Books"
  }
}
```

------

 Une fois cette politique attachée à votre utilisateur IAM, ce dernier est autorisé à exécuter toutes les actions du tableau `Books` de votre instance DynamoDB. La plupart des utilisateurs IAM ont plusieurs politiques qui se combinent pour représenter le total des autorisations qui leur ont été accordées.

Les actions ou ressources qui ne sont pas autorisées explicitement par une politique sont refusées par défaut. Par exemple, si la politique précédente est la seule politique attachée à un utilisateur, alors cet utilisateur peut effectuer des actions DynamoDB sur la table `Books`, mais ne peut pas effectuer d’actions sur d’autres tables. De même, l'utilisateur n'est pas autorisé à effectuer des actions dans Amazon EC2, Amazon S3 ou dans tout autre AWS service, car les autorisations d'utilisation de ces services ne sont pas incluses dans la politique. 

## Politiques et groupes IAM
<a name="intro-access-groups"></a>

Vous pouvez organiser les utilisateurs IAM en *groupes IAM* et attacher une politique à un groupe IAM. Dans ce cas, les utilisateurs IAM disposent toujours de leurs propres informations d’identification, mais tous les utilisateurs IAM d’un groupe IAM détiennent les autorisations attachées à ce groupe IAM. Utilisez des groupes IAM pour faciliter la gestion des autorisations. 

![\[Ce diagramme montre comment les utilisateurs IAM peuvent être organisés en groupes IAM afin de faciliter la gestion des autorisations, car chaque utilisateur IAM dispose des autorisations attribuées au groupe IAM.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/iam-intro-users-and-groups.diagram.png)


Plusieurs politiques accordant différentes autorisations peuvent être attachées à des utilisateurs IAM ou des groupes IAM. Dans ce cas, la combinaison des politiques détermine les autorisations effectives du principal. Si le principal n’a pas d’autorisation `Allow` explicite pour une action et une ressource, il ne dispose pas de ces autorisations. 

## sessions d’utilisateur fédéré et rôle
<a name="intro-access-roles"></a>

Les principaux fédérés n'ont pas d'identité permanente comme Compte AWS le font les utilisateurs IAM. Pour attribuer des autorisations à des principaux fédérés, vous pouvez créer une entité appelée *rôle* et définir des autorisations pour le rôle. Lorsqu'un principal fédéré SAMl ou OIDC se connecte à AWS, l'utilisateur est associé au rôle et reçoit les autorisations définies dans le rôle. Pour de plus amples informations, veuillez consulter [Créer un rôle pour un fournisseur d’identité tiers](id_roles_create_for-idp.md).

## Politiques basées sur les ressources et politiques basées sur l'identité
<a name="intro-access-resource-based-policies"></a>

Les politiques basées sur l'identité sont des politiques d'autorisations que vous pouvez attacher à une identité IAM, tel qu'un utilisateur, un groupe ou un rôle IAM. Les politiques basées sur les ressources sont des politiques d'autorisations que vous attachez à une ressource, telle qu'un compartiment Amazon S3 ou une politique d'approbation de rôle IAM.

***Les politiques basées sur l'identité*** contrôlent les actions que peut effectuer l'identité, sur quelles ressources et dans quelles conditions. Les politiques basées l'identité peuvent être classées comme suit :
+ **Politiques gérées : politiques** autonomes basées sur l'identité que vous pouvez associer à plusieurs utilisateurs, groupes et rôles au sein de votre. Compte AWS Vous pouvez utiliser deux types de politiques gérées : 
  + **AWS politiques gérées** : politiques gérées créées et gérées par AWS. Si vous utilisez des politiques pour la première fois, nous vous recommandons de commencer par utiliser des politiques AWS gérées.
  + **Politiques gérées par le client** : politiques gérées que vous créez et gérez dans votre Compte AWS. Les politiques gérées par le client fournissent un contrôle plus précis de vos politiques que les politiques AWS gérées. Vous pouvez créer, modifier et valider une politique IAM dans l'éditeur visuel ou en créant le document de politique JSON directement. Pour plus d’informations, consultez [Définition d’autorisations IAM personnalisées avec des politiques gérées par le client](access_policies_create.md) et [Modification de politiques IAM](access_policies_manage-edit.md).
+ **Politiques en ligne** : politiques que vous créez et gérez, et qui sont intégrées directement à un utilisateur, groupe ou rôle. Dans la plupart des cas, nous vous déconseillons d'utiliser des politiques en ligne.

***Les politiques basées sur les ressources*** contrôlent les actions qu'un principal spécifique peut effectuer sur cette ressource et dans quelles conditions. Les politiques basées sur les ressources sont des politiques en ligne et il n'y a pas de politiques basées sur des ressources gérées. Pour permettre un accès intercompte, vous pouvez spécifier un compte entier ou des entités IAM dans un autre compte en tant que principal dans une politique basée sur les ressources.****

Le service IAM prend en charge un type de politique basée sur les ressources, nommé *politique d’approbation* de rôle, que vous attachez à un rôle IAM. Étant donné qu’un rôle IAM est à la fois une identité et une ressource qui prend en charge les politiques basées sur les ressources, vous devez associer une politique d’approbation et une politique basée sur une identité à un rôle IAM. Les politiques de confiance définissent les entités principales (comptes, utilisateurs, rôles et utilisateurs principaux AWS STS fédérés) qui peuvent assumer le rôle. Pour en savoir plus sur la façon dont les rôles IAM sont différents d'autres politiques basées sur les ressources, veuillez consulter [Accès intercompte aux ressources dans IAM](access_policies-cross-account-resource-access.md).

Pour connaître les services qui prennent en charge les politiques basées sur les ressources, voir [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md). Pour en savoir plus sur politiques basées sur les ressources, voir [Politiques basées sur l'identité et Politiques basées sur une ressource](access_policies_identity-vs-resource.md).

# Définition des autorisations en fonction des attributs avec autorisation ABAC
<a name="introduction_attribute-based-access-control"></a>

Le contrôle d'accès basé sur les attributs (ABAC) est une stratégie d'autorisation qui définit les autorisations en fonction des attributs. AWS appelle ces *balises* d'attributs. Vous pouvez associer des balises aux ressources IAM, notamment aux entités IAM (utilisateurs IAM ou rôles IAM) et aux ressources. AWS Vous pouvez créer une seule politique ABAC ou un petit nombre de politiques pour vos principaux IAM. Vous pouvez concevoir des politiques ABAC qui autorisent les opérations lorsque la balise du principal correspond à la balise de la ressource. Le système d’attributs d’ABAC fournit à la fois un contexte utilisateur élevé et un contrôle d’accès granulaire. ABAC étant basé sur les attributs, il peut effectuer une autorisation dynamique pour les données ou les applications qui accorde ou révoque l’accès en temps réel. ABAC est utile dans les environnements évolutifs et dans les situations où la gestion des politiques d’identité ou de ressources est devenue complexe.

Par exemple, vous pouvez créer trois rôles IAM avec la clé de balise `access-project`. Définissez la valeur de la balise du premier rôle IAM sur `Heart`, celle du deuxième sur `Star`, et celle du troisième sur `Lightning`. Vous pouvez ensuite utiliser une politique unique qui autorise l'accès lorsque le rôle IAM et la AWS ressource ont la valeur `access-project` de balise. Un didacticiel détaillé expliquant comment utiliser l'ABAC dans AWS est disponible à la section [Tutoriel IAM : définir les autorisations d'accès aux AWS ressources en fonction des balises](tutorial_attribute-based-access-control.md). Pour en savoir plus sur les services qui prennent en charge ABAC, consultez [AWS services qui fonctionnent avec IAM](reference_aws-services-that-work-with-iam.md).

![\[Ce schéma montre que les balises appliquées à un principal doivent correspondre aux balises appliquées à une ressource pour que l’utilisateur obtienne des autorisations sur la ressource. Les balises doivent être appliquées aux groupes IAM, aux groupes de ressources, aux utilisateurs individuels et aux ressources individuelles.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/tutorial-abac-concept-23.png)


## Comparaison d’ABAC et du modèle RBAC traditionnel
<a name="introduction_attribute-based-access-control_compare-rbac"></a>

Le modèle d’autorisation traditionnel utilisé dans IAM est le contrôle d’accès basé sur les rôles (RBAC). RBAC définit les autorisations en fonction de la tâche ou du *rôle* d’une personne, ce qui est différent d’un rôle IAM. IAM inclut des [politiques gérées pour des fonctions de tâches](access_policies_job-functions.md), qui alignent les autorisations sur une fonction de tâche dans un modèle RBAC.

Dans IAM, vous implémentez le RBAC en créant différentes politiques pour différentes activités professionnelles. Vous attachez ensuite les politiques à des identités (utilisateurs, groupes ou rôles IAM). Les [bonnes pratiques](best-practices.md) consistent à n'octroyer que les autorisations minimales nécessaires pour la tâche à accomplir. Cela se traduit par un accès avec [le moindre privilège](best-practices.md#grant-least-privilege). Chaque politique de fonction de travail répertorie les ressources spécifiques auxquelles les identités assignées à cette politique peuvent accéder. L’inconvénient du modèle RBAC traditionnel est que lorsque vous ou vos utilisateurs ajoutez de nouvelles ressources à votre environnement, vous devez mettre à jour les politiques pour permettre l’accès à ces ressources. 

Par exemple, supposons que vous ayez trois projets, nommés `Heart`, `Star` et `Lightning`, sur lesquels travaillent vos employés. Vous créez un rôle IAM pour chaque projet. Vous attachez ensuite des politiques à chaque rôle IAM pour définir les ressources auxquelles toute personne autorisée à endosser le rôle IAM peut accéder. Si un employé change de poste au sein de votre entreprise, vous lui assignez un autre rôle IAM. Vous pouvez attribuer des personnes ou des programmes à plusieurs rôles IAM. Toutefois, le projet `Star` peut nécessiter des ressources supplémentaires, telles qu'un nouveau conteneur Amazon EC2. Dans ce cas, vous devez mettre à jour la politique attachée au rôle IAM `Star` pour spécifier la nouvelle ressource du conteneur. Sinon, les membres du projet `Star` ne seront pas autorisés à accéder au nouveau conteneur.

![\[Ce diagramme illustre le fait que le contrôle d’accès basé sur les rôles exige que chaque identité se voie attribuer une politique spécifique basée sur la fonction de la tâche pour accéder aux différentes ressources.\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/tutorial-abac-rbac-concept-23.png)


**L'ABAC offre les avantages suivants par rapport au modèle RBAC traditionnel**
+ **Les autorisations de l'ABAC sont évolutives.** L'administrateur n'a plus besoin de mettre à jour les politiques existantes pour autoriser l'accès aux nouvelles ressources. Par exemple, supposons que vous ayez conçu votre stratégie ABAC avec la balise `access-project` Un développeur utilise le rôle IAM avec la balise `access-project` = `Heart`. Lorsque des membres du projet `Heart` ont besoin de ressources Amazon EC2 supplémentaires, le développeur peut créer des instances Amazon EC2 avec la balise `Heart` = `access-project`. N'importe quel membre du projet `Heart` peut alors démarrer et arrêter ces instances, car leurs valeurs de balise correspondent.
+ **L'ABAC exige moins de politiques.** Comme vous n'avez pas besoin de créer une politique pour chaque activité professionnelle, vous créez moins de politiques. Leur gestion s'en trouve simplifiée.
+ **Grâce à l’ABAC, les équipes peuvent réagir de manière dynamique aux changements et à la croissance.** Comme les autorisations pour les nouvelles ressources sont automatiquement accordées en fonction des attributs, il n’est pas nécessaire d’attribuer manuellement des politiques aux identités. Par exemple, si votre entreprise prend déjà en charge les projets `Heart` et `Star` avec l'ABAC, il est facile d'ajouter un nouveau projet `Lightning`. Un administrateur IAM crée un rôle IAM avec la balise `access-project` = `Lightning`. Il n'est pas nécessaire de modifier la politique pour prendre en charge un nouveau projet. Toute personne autorisée à endosser le rôle IAM peut créer et afficher des instances balisées avec `access-project` = `Lightning`. Un autre scénario est celui où un membre de l’équipe passe du projet `Heart` au projet `Lightning`. Pour permettre aux membres de l’équipe d’accéder au projet `Lightning`, l’administrateur IAM leur attribue un rôle IAM différent. Il n'est pas nécessaire de modifier les politiques d'autorisations.
+ **Les autorisations détaillées sont possibles avec l'ABAC.** Lorsque vous créez des politiques, la bonne pratique consiste à [accorder un moindre privilège](best-practices.md#grant-least-privilege). Avec le modèle RBAC traditionnel, vous écrivez une politique qui autorise l’accès à des ressources spécifiques uniquement. Avec l’ABAC, vous pouvez autoriser des actions sur toutes les ressources si les balises de la ressource et du principal correspondent.
+ **Utilisez les attributs des employés figurant dans l'annuaire de votre entreprise avec l'ABAC.** Vous pouvez configurer votre fournisseur SAML ou OIDC pour qu’il transmette les balises de session à IAM. Lorsque vos employés se fédérent dans AWS, IAM applique leurs attributs au principal qui en résulte. Vous pouvez ensuite utiliser l'ABAC pour autoriser ou refuser des autorisations sur la base de ces attributs.

Pour un didacticiel détaillé expliquant comment utiliser ABAC dans AWS, voir[Tutoriel IAM : définir les autorisations d'accès aux AWS ressources en fonction des balises](tutorial_attribute-based-access-control.md).