Conditions Différence entre les utilisateurs IAM et les utilisateurs dans IAM Identity Center Fédération des utilisateurs à partir d’une source d’identité existante Différentes méthodes pour fournir un accès aux utilisateurs Prise en charge de l’accès programmatique des utilisateurs

Comparaison des identités et des informations d’identification IAM

Les identités gérées dans AWS Identity and Access Management sont les utilisateurs IAM, les rôles IAM et les groupes IAM. Ces identités s’ajoutent à celles de votre utilisateur racine qu’AWS a créé en même temps que votre Compte AWS.

Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Au lieu de cela, provisionnez des utilisateurs supplémentaires et accordez-leur les autorisations requises pour effectuer les tâches nécessaires. Vous pouvez ajouter des utilisateurs en ajoutant des personnes à votre répertoire IAM Identity Center, en fédérant un fournisseur d’identité externe avec IAM Identity Center ou IAM, ou en créant des utilisateurs IAM à moindre privilège.

Pour plus de sécurité, nous recommandons de centraliser l’accès racine pour vous aider à sécuriser de manière centralisée les informations d’identification de l’utilisateur racine de votre Comptes AWS géré en utilisant AWS Organizations. Gestion centralisée de l’accès root pour les comptes membres vous permet de supprimer de manière centralisée et d’empêcher la récupération des informations d’identification de l’utilisateur racine à long terme, empêchant ainsi l’accès racine involontaire à l’échelle. Après avoir activé l’accès racine centralisé, vous pouvez utiliser une session privilégiée pour effectuer des actions sur les comptes membres.

Après avoir configuré vos utilisateurs, vous pouvez donner accès à votre Compte AWS à des personnes spécifiques et leur accorder des autorisations d’accès aux ressources.

En tant que pratique exemplaire, AWS recommande d’exiger des utilisateurs humains qu’ils endossent un rôle IAM pour accéder à AWS, afin qu’ils utilisent des informations d’identification temporaires. Si vous gérez des identités dans le répertoire IAM Identity Center ou si vous utilisez la fédération avec un fournisseur d’identité, vous suivez les pratiques exemplaires.

Conditions

Ces termes sont couramment utilisés lors de l’utilisation d’identités IAM :

Ressource IAM

Le service IAM stocke ces ressources. Vous pouvez les ajouter, les modifier et les supprimer à partir de la console IAM.

Utilisateur IAM
Groupe IAM
Rôle IAM
Stratégie d'autorisation
objet fournisseur d’identité

Entité IAM

Ressources IAM qu'AWS utilise pour l'authentification. Spécifier l’entité en tant que principal dans une politique basée sur les ressources.

Utilisateur IAM
Rôle IAM

Identité IAM

La ressource IAM autorisée dans des politiques pour effectuer des actions et accéder aux ressources. Les identités incluent les utilisateurs IAM, les groupes IAM et les rôles IAM.

Principaux

Un Utilisateur racine d'un compte AWS, un utilisateur IAM ou un rôle IAM qui peut effectuer une demande pour une action ou une opération sur une ressource AWS. Les principaux incluent des utilisateurs humains, des charges de travail, des utilisateurs fédérés et des rôles endossés. Après l’authentification, IAM accorde au principal des informations d’identification permanentes ou temporaires pour effectuer des demandes à AWS, selon le type de principal.

Les utilisateurs humains sont également connus sous le nom d’identités humaines, telles que les personnes, les administrateurs, les développeurs, les opérateurs et les consommateurs de vos applications.

Les charges de travail sont un ensemble de ressources et de codes qui apportent une valeur ajoutée à l’entreprise, tels qu’une application, un processus, des outils opérationnels et d’autres composants.

Les utilisateurs fédérés sont des utilisateurs dont l’identité et les informations d’identification sont gérées par un autre fournisseur d’identité, tel qu’Active Directory, Okta ou Microsoft Entra.

Les rôles IAM sont une identité IAM que vous pouvez créer dans votre compte et qui dispose d’autorisations spécifiques déterminant ce que l’identité peut et ne peut pas faire. En revanche, au lieu d’être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin.

IAM accorde aux utilisateurs IAM et à l’utilisateur racine des informations d’identification à long terme et des informations d’identification temporaires aux rôles IAM. Les utilisateurs fédérés et utilisateurs dans IAM Identity Center peuvent assumer des rôles IAM lorsqu’ils se connectent à AWS, ce qui leur accorde des informations d’identification temporaires. En guise de bonne pratique, nous vous recommandons de demander aux utilisateurs humains et aux charges de travail d'accéder aux ressources AWS à l'aide d'informations d'identification temporaires.

Différence entre les utilisateurs IAM et les utilisateurs dans IAM Identity Center

Les utilisateurs IAM ne sont pas des comptes distincts, mais des utilisateurs individuels au sein de votre compte. Chaque utilisateur dispose de son propre mot de passe pour accéder à l’AWS Management Console. Vous pouvez également créer une clé d'accès individuelle pour chaque utilisateur afin de lui permettre d'effectuer des demandes par programmation en vue d'utiliser des ressources de votre compte.

Les utilisateurs IAM et leurs clés d’accès disposent d’informations d’identification à long terme pour accéder à vos ressources AWS. Les utilisateurs IAM servent principalement à donner aux charges de travail qui ne peuvent pas utiliser de rôles IAM la capacité d’effectuer des demandes par programmation aux services AWS à l’aide de l’API ou de l’interface de ligne de commande.

Note

Pour les scénarios dans lesquels vous avez besoin d'utilisateurs IAM disposant d'un accès programmatique et d'informations d'identification à long terme, nous vous recommandons de mettre à jour les clés d'accès. Pour en savoir plus, consultez Mise à jour des clés d’accès.

Les identités des travailleurs (personnes) sont des utilisateurs dans IAM Identity Center qui ont des besoins d’autorisation différents en fonction du rôle qu’ils jouent et qui peuvent travailler dans différents Comptes AWS au sein d’une organisation. Si vous avez des cas d’utilisation qui nécessitent des clés d’accès, vous pouvez les prendre en charge avec utilisateurs dans IAM Identity Center. Les personnes qui se connectent via le portail d’accès AWS peuvent obtenir des clés d’accès avec des informations d’identification à court terme pour accéder à vos ressources AWS. Pour une gestion centralisée des accès, nous vous recommandons d'utiliser AWS IAM Identity Center (IAM Identity Center) pour gérer l'accès à vos comptes et les autorisations au sein de ceux-ci. IAM Identity Center est automatiquement configuré avec un répertoire Identity Center comme source d’identité par défaut dans lequel vous pouvez ajouter des utilisateurs et des groupes, et attribuer un niveau d’accès correspondant à vos ressources AWS. Pour plus d’informations, consultez Présentation de AWS IAM Identity Center dans le Guide de l’utilisateur AWS IAM Identity Center.

La principale différence entre ces deux types d’utilisateurs est que les utilisateurs du centre d’identité IAM endossent automatiquement un rôle IAM lorsqu’ils se connectent à AWS avant d’accéder à la console de gestion ou aux ressources AWS. Les rôles IAM accordent des informations d’identification temporaires chaque fois que l’utilisateur se connecte à AWS. Pour que les utilisateurs IAM puissent se connecter en utilisant un rôle IAM, ils doivent avoir l’autorisation d’endosser et de changer de rôle et ils doivent choisir explicitement de passer au rôle qu’ils veulent endosser après avoir accédé au compte AWS.

Fédération des utilisateurs à partir d’une source d’identité existante

Si les utilisateurs de votre organisation sont déjà authentifiés lorsqu’ils se connectent à votre réseau d’entreprise, vous n’avez pas besoin de créer pour eux des utilisateurs IAM distincts ou des utilisateurs dans IAM Identity Center. Au lieu de cela, vous pouvez fédérer ces identités utilisateur dans AWS avec IAM ou AWS IAM Identity Center. Les utilisateurs fédérés assument un rôle IAM qui leur donne l’autorisation d’accéder à des ressources spécifiques. Pour plus d'informations sur les rôles , consultez Termes et concepts relatifs aux rôles.

Le diagramme explique comment un utilisateur fédéré peut obtenir des informations d’identification de sécurité AWS temporaires pour accéder aux ressources de votre Compte AWS.

La fédération est utile dans les cas suivants :

Vos utilisateurs existent déjà dans un annuaire d'entreprise.

Si votre annuaire d'entreprise est compatible avec Security Assertion Markup Language 2.0 (SAML 2.0), vous pouvez le configurer pour fournir un accès avec authentification unique (SSO) à l'AWS Management Console pour vos utilisateurs. Pour en savoir plus, consultez Scénarios courants d'informations d'identification temporaires.

Si votre répertoire d’entreprise n’est pas compatible avec SAML 2.0, vous pouvez créer une application de fournisseur d’identités pour fournir un accès avec authentification unique (SSO) à l’AWS Management Console pour vos utilisateurs. Pour en savoir plus, consultez Permettre à un courtier d'identité personnalisé d'accéder à la AWS console.

Si votre annuaire d'entreprise est Microsoft Active Directory, vous pouvez utiliser AWS IAM Identity Center pour connecter un annuaire auto-géré dans Active Directory ou un annuaire dans AWS Directory Service établir une relation d'approbation entre votre annuaire d'entreprise et votre Compte AWS.

Si vous utilisez un fournisseur d’identité (IdP) externe tel qu’Okta ou Microsoft Entra pour gérer les utilisateurs, vous pouvez utiliser AWS IAM Identity Center pour établir une relation d’approbation entre celui-ci et votre Compte AWS. Pour plus d'informations, consultez la section Se connecter à un fournisseur d'identité externe dans le Guide de l'utilisateur AWS IAM Identity Center.
Vos utilisateurs disposent déjà d'identités Internet.

Si vous créez une application mobile ou une application basée sur le web permettant aux utilisateurs de s'identifier à l'aide d'un fournisseur d'entité Internet comme Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC), l'application peut utiliser la fédération pour accéder à AWS. Pour en savoir plus, consultez Fédération OIDC.

Astuce
Pour utiliser la fédération d'identité avec des fournisseurs d'identité, nous vous recommandons d'utiliser Amazon Cognito.

Différentes méthodes pour fournir un accès aux utilisateurs

Voici comment fournir l’accès à vos ressources AWS.

Type d'accès utilisateur	Quand est-elle utilisée ?	Comment puis-je obtenir plus d’informations ?
Accès par authentification unique pour les personnes, tels que les utilisateurs de votre personnel, aux ressources AWS à l’aide d’IAM Identity Center	IAM Identity Center offre un emplacement central qui regroupe l'administration des utilisateurs et leur accès aux Comptes AWS et aux applications cloud. Vous pouvez configurer un magasin d'identités dans IAM Identity Center ou configurer une fédération avec un fournisseur d'identité (IdP) existant. Les pratiques exemplaires en matière de sécurité recommandent d’accorder à vos utilisateurs humains des droits d’accès limités aux ressources AWS. Les personnes bénéficient d’une expérience de connexion simplifiée et vous conservez le contrôle de leur accès aux ressources à partir d’un système unique. IAM Identity Center prend en charge l'authentification multifactorielle (MFA) pour renforcer la sécurité des comptes.	Pour plus d'informations sur la configuration d'IAM Identity Center, consultez Mise en route dans le Guide de l'utilisateur AWS IAM Identity Center. Pour plus d'informations sur l'utilisation de MFA dans IAM Identity Center, consultez Authentification multifactorielle dans le Guide de l'utilisateur AWS IAM Identity Center.
Accès fédéré pour les utilisateurs humains, tels que les utilisateurs de votre personnel, aux services AWS utilisant des fournisseurs d’identité (IdP) IAM	IAM prend en charge les IdP compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0). Après avoir créé un fournisseur d’identité IAM, vous créez un ou plusieurs rôles IAM qui peuvent être attribués de manière dynamique à un utilisateur fédéré.	Pour plus d'informations sur les fournisseurs d'identité IAM et la fédération, consultez Fournisseurs d'identité et fédération.
Accès intercompte entre Comptes AWS	Vous souhaitez partager l'accès à certaines ressources AWS avec des utilisateurs dans d'autres Comptes AWS. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Toutefois, certains services AWS prennent en charge les politiques basées sur les ressources, ce qui vous permet d’attacher une politique directement à une ressource (au lieu d’utiliser un rôle en tant que proxy).	Pour plus d'informations sur les rôles IAM, consultez Rôles IAM. Pour plus d’informations sur les rôles liés à un service, consultez Créer un rôle lié à un service. Pour connaître les services qui prennent en charge l'utilisation de rôles liés à un service, consultez AWS services qui fonctionnent avec IAM. Recherchez les services qui comportent un Oui dans la colonne Rôle lié à un service. Pour consulter la documentation relative au rôle lié à un service, sélectionnez le lien associé à Oui dans cette colonne.
Informations d'identification à long terme pour les utilisateurs IAM désignés dans votre Compte AWS	Vous pouvez avoir certains cas d'utilisation spécifiques qui nécessitent des informations d'identification à long terme avec les utilisateurs IAM dans AWS. Vous pouvez utiliser IAM pour créer ces utilisateurs IAM dans votre Compte AWS et utiliser IAM pour gérer leurs autorisations. Voici certaines des fonctionnalités les plus utilisées : Charges de travail qui ne peuvent pas utiliser des rôles IAM Clients AWS tiers nécessitant un accès programmatique via des clés d’accès Informations d’identification spécifiques au service pour AWS CodeCommit ou Amazon Keyspaces AWS IAM Identity Center n’est pas disponible pour votre compte et vous n’avez aucun autre fournisseur d’identité En guise de bonne pratique pour les scénarios dans lesquels vous avez besoin d'utilisateurs IAM disposant d'un accès programmatique et d'informations d'identification à long terme, nous vous recommandons d'effectuer une mise à jour des clés d'accès. Pour en savoir plus, consultez Mise à jour des clés d’accès.	Pour plus d'informations sur la configuration d'un utilisateur IAM, consultez Création d’un utilisateur IAM dans votre Compte AWS. Pour plus d’informations sur les clés d’accès des utilisateurs IAM, consultez Gestion des clés d’accès pour les utilisateurs IAM. Pour plus d’informations sur les informations d’identification spécifiques à un service pour AWS CodeCommit ou Amazon Keyspaces, consultez Informations d’identification IAM pour CodeCommit : informations d’identification Git, clés SSH et clés d’accès AWS et Utilisation d’IAM avec Amazon Keyspaces (pour Apache Cassandra).

Prise en charge de l’accès programmatique des utilisateurs

Les utilisateurs ont besoin d’un accès programmatique s’ils souhaitent interagir avec AWS en dehors de la AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui accède à AWS :

Si vous gérez les identités dans IAM Identity Center, les API AWS nécessitent un profil, et l'AWS Command Line Interface nécessite un profil ou une variable d'environnement.
Si vous avez des utilisateurs IAM, les API AWS et l'AWS Command Line Interface nécessitent des clés d'accès. Lorsque cela est possible, créez des informations d'identification temporaires composées d'un ID de clé d'accès, d'une clé d'accès secrète et d'un jeton de sécurité qui indique la date d'expiration des informations d'identification.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ?	Option	En savoir plus
Identités de la main-d’œuvre (Personnes et utilisateurs gérés dans IAM Identity Center)	Utilisez des informations d’identification à court terme pour signer les demandes programmatiques destinées aux API AWS CLI ou AWS (directement ou à l’aide des AWS SDK).	Pour AWS CLI, suivez les instructions fournies dans Getting IAM role credentials for CLI access (Obtenir les informations d'identification du rôle IAM pour l'accès à la CLI), dans le Guide de l'utilisateur AWS IAM Identity Center. Pour les API AWS, suivez les instructions de la section SSO credentials (Informations d'identification SSO) dans le Guide de référence des kits SDK et des outils AWS.
Utilisateurs IAM	Utilisez des informations d’identification à court terme pour signer les demandes programmatiques destinées aux API AWS CLI ou AWS (directement ou à l’aide des AWS SDK).	Suivez les instructions de la section Utilisation d’informations d’identification temporaires avec des ressources AWS.
Utilisateurs IAM	Utilisez des informations d'identification à long terme pour signer les demandes programmatiques destinées aux API AWS ou AWS CLI (directement ou à l'aide des kits SDK AWS). (Non recommandé)	Suivez les instructions de la section Gestion des clés d’accès pour les utilisateurs IAM.
Utilisateurs fédérés	Utilisez une opérations d’API STS AWS pour créer une nouvelle session avec des informations d’identification temporaires qui incluent une paire de clés d’accès et un jeton de sécurité.	Pour obtenir des explications sur les opérations d’API, consultez Demande d’identifiants de sécurité temporaires

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Fonctionnement de IAM

Comment les autorisations et les politiques assurent la gestion des accès