Ceci est le guide du développeur du AWS CDK v2. L'ancien CDK v1 est entré en maintenance le 1er juin 2022 et a pris fin le 1er juin 2023.
Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Kit de développement sur la sécurité pour le AWS Cloud (AWS CDK)
Chez Amazon Web Services (AWS), la sécurité dans le cloud est la priorité principale. En tant que AWS client, vous bénéficiez d'un centre de données et d'une architecture réseau conçus pour répondre aux exigences des entreprises les plus sensibles en matière de sécurité. La sécurité est une responsabilité partagée entre vous AWS et vous. Le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) décrit cela comme la sécurité du cloud et la sécurité dans le cloud.
**Sécurité du cloud** : AWS est chargée de protéger l'infrastructure qui exécute tous les services proposés dans le AWS cloud et de vous fournir des services que vous pouvez utiliser en toute sécurité. Notre responsabilité en matière de sécurité est notre priorité absolue AWS, et l'efficacité de notre sécurité est régulièrement testée et vérifiée par des auditeurs tiers dans le cadre des [programmes de AWS conformité](https://aws.amazon.com/compliance/programs/).
**Sécurité dans le cloud** — Votre responsabilité est déterminée par le AWS service que vous utilisez et par d'autres facteurs, notamment la sensibilité de vos données, les exigences de votre organisation et les lois et réglementations applicables.
Le AWS CDK suit le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) par le biais des services Amazon Web Services (AWS) spécifiques qu'il prend en charge. Pour obtenir des informations sur la sécurité des AWS services, consultez la [AWS page de documentation sur la sécuritéAWS](https://docs.aws.amazon.com/security/?id=docs_gateway#aws-security) [des services et les services concernés par les efforts de AWS conformité par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
# Gestion des identités et des accès pour le AWS Cloud Development Kit (AWS CDK)
AWS Identity and Access Management (IAM) est un AWS service qui permet à un administrateur de contrôler en toute sécurité l'accès aux ressources. AWS Les administrateurs IAM contrôlent qui peut être *authentifié* (connecté) et *autorisé (autorisé*) à utiliser AWS les ressources. IAM est un AWS service que vous pouvez utiliser sans frais supplémentaires.
## Public ciblé
La façon dont vous utilisez AWS Identity and Access Management (IAM) varie en fonction du travail que vous effectuez. AWS
**Utilisateur du service** : si vous utilisez les AWS services pour effectuer votre travail, votre administrateur vous fournit les informations d'identification et les autorisations dont vous avez besoin. Au fur et à mesure que vous utilisez de nouvelles AWS fonctionnalités pour effectuer votre travail, vous aurez peut-être besoin d'autorisations supplémentaires. Si vous comprenez bien la gestion des accès, vous saurez demander les autorisations appropriées à votre administrateur.
**Administrateur du service** — Si vous êtes responsable des AWS ressources de votre entreprise, vous avez probablement un accès complet aux AWS ressources. C'est à vous de déterminer les AWS services et les ressources auxquels les utilisateurs de vos services doivent accéder. Vous devez ensuite soumettre les demandes à votre administrateur IAM pour modifier les autorisations des utilisateurs de votre service. Consultez les informations sur cette page pour comprendre les concepts de base d’IAM.
**Administrateur IAM** : si vous êtes administrateur IAM, vous souhaiterez peut-être en savoir plus sur la manière dont vous pouvez rédiger des politiques pour gérer l'accès aux AWS services.
## Authentification par des identités
L'authentification est la façon dont vous vous connectez à AWS l'aide de vos informations d'identification. Vous devez être *authentifié* (connecté à AWS) en tant qu'utilisateur root du AWS compte, en tant qu'utilisateur IAM ou en assumant un rôle IAM.
Vous pouvez vous connecter en AWS tant qu'identité fédérée en utilisant les informations d'identification fournies par le biais d'une source d'identité. AWS Les utilisateurs de l'IAM Identity Center (IAM Identity Center), l'authentification unique de votre entreprise et vos informations d'identification Google ou Facebook sont des exemples d'identités fédérées. Lorsque vous vous connectez avec une identité fédérée, votre administrateur aura précédemment configuré une fédération d’identités avec des rôles IAM. Lorsque vous accédez à AWS l'aide de la fédération, vous assumez indirectement un rôle.
Selon le type d'utilisateur que vous êtes, vous pouvez vous connecter à la console AWS de gestion ou au portail AWS d'accès. Pour plus d'informations sur la connexion à AWS, consultez [Comment vous connecter à votre AWS compte dans](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) le *Guide de l'utilisateur de AWS connexion*.
Pour y accéder AWS par programmation, AWS fournit le AWS CDK, des kits de développement logiciel (SDKs) et une interface de ligne de commande (CLI) pour signer cryptographiquement vos demandes à l'aide de vos informations d'identification. Si vous n'utilisez pas d' AWS outils, vous devez signer vous-même les demandes. Pour plus d'informations sur l'utilisation de la méthode recommandée pour signer vous-même les demandes, consultez le [processus de signature de la version 4](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html) de Signature dans la *référence AWS générale*.
Quelle que soit la méthode d'authentification que vous utilisez, vous devrez peut-être fournir des informations de sécurité supplémentaires. Par exemple, il vous AWS recommande d'utiliser l'authentification multifactorielle (MFA) pour renforcer la sécurité de votre compte. *Pour en savoir plus, consultez [Authentification multifactorielle](https://docs.aws.amazon.com/singlesignon/latest/userguide/enable-mfa.html) dans le *guide de l'utilisateur d' AWS IAM Identity Center* et [Utilisation de l'authentification multifactorielle (MFA) AWS dans](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html) le guide de l'utilisateur IAM.*
### AWS utilisateur root du compte
Lorsque vous créez un AWS compte, vous commencez par utiliser une seule identité de connexion qui donne un accès complet à tous les AWS services et ressources du compte. Cette identité est appelée *utilisateur root* du AWS compte et est accessible en vous connectant avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur racine, consultez [Tâches nécessitant des informations d’identification d’utilisateur racine](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) dans le *Guide de l’utilisateur IAM*.
### Identité fédérée
La meilleure pratique consiste à obliger les utilisateurs humains, y compris ceux qui ont besoin d'un accès administrateur, à utiliser la fédération avec un fournisseur d'identité pour accéder aux AWS services à l'aide d'informations d'identification temporaires.
Une *identité fédérée* est un utilisateur de l'annuaire des utilisateurs de votre entreprise, un fournisseur d'identité Web, le AWS Directory Service, le répertoire Identity Center ou tout utilisateur qui accède AWS aux services à l'aide des informations d'identification fournies par le biais d'une source d'identité. Lorsque des identités fédérées accèdent à AWS des comptes, elles assument des rôles, qui fournissent des informations d'identification temporaires.
Pour une gestion centralisée des accès, nous vous recommandons d'utiliser AWS IAM Identity Center. Vous pouvez créer des utilisateurs et des groupes dans IAM Identity Center, ou vous pouvez vous connecter et synchroniser avec un ensemble d'utilisateurs et de groupes dans votre propre source d'identité afin de les utiliser sur tous vos AWS comptes et applications. Pour plus d'informations sur IAM Identity Center, voir [Qu'est-ce qu'IAM Identity](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) Center ? dans le *guide de l'utilisateur d' AWS IAM Identity Center*.
### Utilisateurs et groupes IAM
Un *[utilisateur IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* est une identité au sein de votre AWS compte qui possède des autorisations spécifiques pour une seule personne ou une seule application. Dans la mesure du possible, nous vous recommandons de vous appuyer sur des informations d’identification temporaires plutôt que de créer des utilisateurs IAM ayant des informations d’identification à long terme telles que des mots de passe et des clés d’accès. Toutefois, si certains cas d’utilisation spécifiques nécessitent des informations d’identification à long terme avec les utilisateurs IAM, nous vous recommandons d’effectuer une rotation des clés d’accès. Pour plus d’informations, consultez [Rotation régulière des clés d’accès pour les cas d’utilisation nécessitant des informations d’identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials) dans le *Guide de l’utilisateur IAM*.
Un [groupe IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) est une identité qui concerne un ensemble d’utilisateurs IAM. Vous ne pouvez pas vous connecter en tant que groupe. Vous pouvez utiliser les groupes pour spécifier des autorisations pour plusieurs utilisateurs à la fois. Les groupes permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Par exemple, vous pouvez nommer un groupe *IAMAdmins*et lui donner les autorisations nécessaires pour administrer les ressources IAM.
Les utilisateurs sont différents des rôles. Un utilisateur est associé de manière unique à une personne ou une application, alors qu’un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. Les utilisateurs disposent d’informations d’identification permanentes, mais les rôles fournissent des informations d’identification temporaires. Pour plus d’informations, consultez [Cas d’utilisation pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) dans le *Guide de l’utilisateur IAM*.
### Rôles IAM
Un *[rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* est une identité au sein de votre AWS compte dotée d'autorisations spécifiques. Il est similaire à un utilisateur IAM, mais il n'est pas associé à une personne en particulier. Vous pouvez assumer temporairement un rôle IAM dans la console de AWS gestion en [changeant de rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html). Vous pouvez assumer un rôle en appelant une opération d' AWS API ou de AWS CLI ou en utilisant une URL personnalisée. Pour plus d’informations sur les méthodes d’utilisation des rôles, consultez [Utilisation de rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) dans le *Guide de l’utilisateur IAM*.
Les rôles IAM avec des informations d’identification temporaires sont utiles dans les cas suivants :
+ **Accès utilisateur fédéré** : pour attribuer des autorisations à une identité fédérée, vous créez un rôle et définissez des autorisations pour le rôle. Quand une identité externe s’authentifie, l’identité est associée au rôle et reçoit les autorisations qui sont définies par celui-ci. Pour obtenir des informations sur les rôles pour la fédération, consultez [ Création d’un rôle pour un fournisseur d’identité tiers (fédération)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp.html) dans le *Guide de l’utilisateur IAM*. Si vous utilisez IAM Identity Center, vous configurez un jeu d’autorisations. IAM Identity Center met en corrélation le jeu d’autorisations avec un rôle dans IAM afin de contrôler à quoi vos identités peuvent accéder après leur authentification. Pour plus d'informations sur les ensembles d'autorisations, consultez la section [Ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *guide de l'utilisateur d' AWS IAM Identity Center*.
+ **Autorisations d’utilisateur IAM temporaires** : un rôle ou un utilisateur IAM peut endosser un rôle IAM pour profiter temporairement d’autorisations différentes pour une tâche spécifique.
+ **Accès intercompte** : vous pouvez utiliser un rôle IAM pour permettre à un utilisateur (principal de confiance) d’un compte différent d’accéder aux ressources de votre compte. Les rôles constituent le principal moyen d’accorder l’accès intercompte. Cependant, avec certains AWS services, vous pouvez associer une politique directement à une ressource (au lieu d'utiliser un rôle comme proxy). Pour en savoir plus sur la différence entre les rôles et les politiques basées sur les ressources pour l’accès intercompte, consultez [Différence entre les rôles IAM et les politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html) dans le *Guide de l’utilisateur IAM*.
+ **Accès interservices** — Certains AWS services utilisent des fonctionnalités d'autres AWS services. Par exemple, lorsque vous effectuez un appel dans un service, il est courant que ce service exécute des applications dans Amazon EC2 ou stocke des objets dans Amazon S3. Un service peut le faire en utilisant les autorisations d’appel du principal, une fonction du service ou un rôle lié au service.
+ **Rôle de service** : il s’agit d’un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) attribué à un service afin de réaliser des actions en votre nom. Un administrateur IAM peut créer, modifier et supprimer un rôle de service à partir d’IAM. Pour plus d'informations, consultez la section [Créer un rôle pour déléguer des autorisations à un AWS service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) dans le *Guide de l'utilisateur IAM*.
+ **Rôle lié à un service — Un rôle** lié à un service est un type de rôle lié à un service. AWS Le service peut endosser le rôle afin d’effectuer une action en votre nom. Les rôles liés au service apparaissent dans votre AWS compte et appartiennent au service. Un administrateur IAM peut consulter, mais ne peut pas modifier, les autorisations concernant les rôles liés à un service.
+ **Applications exécutées sur Amazon EC2** : vous pouvez utiliser un rôle IAM pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une instance EC2 et qui envoient des demandes d'API ou de AWS CLI. AWS Cette solution est préférable au stockage des clés d’accès au sein de l’instance EC2. Pour attribuer un AWS rôle à une instance EC2 et le mettre à la disposition de toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d’instance contient le rôle et permet aux programmes qui s’exécutent sur l’instance EC2 d’obtenir des informations d’identification temporaires. Pour plus d’informations, consultez [Utilisation d’un rôle IAM pour accorder des autorisations à des applications s’exécutant sur des instances Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) dans le *Guide de l’utilisateur IAM*.
Pour savoir dans quel cas utiliser des rôles ou des utilisateurs IAM, consultez [Quand créer un rôle IAM (au lieu d’un utilisateur)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html#id_which-to-choose_role) dans le *Guide de l’utilisateur IAM*.
# Validation de conformité pour le AWS Cloud Development Kit (AWS CDK)
Le AWS CDK suit le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) par le biais des services Amazon Web Services (AWS) spécifiques qu'il prend en charge. Pour obtenir des informations sur la sécurité des AWS services, consultez la [AWS page de documentation sur la sécuritéAWS](https://docs.aws.amazon.com/security/?id=docs_gateway#aws-security) [des services et les services concernés par les efforts de AWS conformité par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
La sécurité et la conformité des AWS services sont évaluées par des auditeurs tiers dans le cadre de multiples programmes de AWS conformité. Il s'agit notamment du SOC, du PCI, du FedRAMP, de l'HIPAA et d'autres. AWS fournit une liste fréquemment mise à jour des AWS services concernés par des programmes de conformité spécifiques sur la page [AWS Services in Scope by Compliance Program](https://aws.amazon.com/compliance/services-in-scope/).
Les rapports d'audit tiers peuvent être téléchargés à l'aide d' AWS Artifact. Pour plus d'informations, consultez la section [Téléchargement de rapports dans AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Pour plus d'informations sur les programmes de AWS conformité, consultez [AWS la section Programmes de conformité](https://aws.amazon.com/compliance/programs/).
Lorsque vous utilisez le AWS CDK pour accéder à un AWS service, votre responsabilité en matière de conformité dépend de la sensibilité de vos données, des objectifs de conformité de votre organisation et des lois et réglementations applicables. Si votre utilisation d'un AWS service est soumise au respect de normes telles que HIPAA, PCI ou FedRAMP, fournit des ressources pour vous aider à : AWS
+ Guides de [démarrage rapide sur la sécurité et la conformité : guides](https://aws.amazon.com/quickstart/?quickstart-all.sort-by=item.additionalFields.updateDate&quickstart-all.sort-order=desc&awsf.quickstart-homepage-filter=categories%23security-identity-compliance) de déploiement qui abordent les considérations architecturales et indiquent les étapes à suivre pour déployer des environnements de référence axés sur la sécurité et sur la conformité sur. AWS
+ [AWS Ressources de conformité](https://aws.amazon.com/compliance/resources/) : collection de classeurs et de guides susceptibles de s'appliquer à votre secteur d'activité et à votre région.
+ [AWS Config](https://aws.amazon.com/config/) : service qui évalue dans quelle mesure les configurations de vos ressources sont conformes aux pratiques internes, aux directives du secteur et aux réglementations.
+ [AWS Security Hub](https://aws.amazon.com/security-hub/) : une vue complète de votre état de sécurité AWS qui vous permet de vérifier votre conformité aux normes et aux meilleures pratiques du secteur de la sécurité.
# Kit de développement Resilience for the AWS Cloud (AWS CDK)
L'infrastructure mondiale d'Amazon Web Services (AWS) est construite autour des AWS régions et des zones de disponibilité.
AWS Les régions fournissent plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant.
Avec les zones de disponibilité, vous pouvez concevoir et exploiter des applications et des bases de données qui basculent automatiquement d’une zone de disponibilité à l’autre sans interruption. Les zones de disponibilité sont plus hautement disponibles, tolérantes aux pannes et évolutives que les infrastructures traditionnelles à un ou plusieurs centres de données.
Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section [Infrastructure AWS mondiale](https://aws.amazon.com/about-aws/global-infrastructure/).
Le AWS CDK suit le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) par le biais des services Amazon Web Services (AWS) spécifiques qu'il prend en charge. Pour obtenir des informations sur la sécurité des AWS services, consultez la [AWS page de documentation sur la sécuritéAWS](https://docs.aws.amazon.com/security/?id=docs_gateway#aws-security) [des services et les services concernés par les efforts de AWS conformité par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).
# Sécurité de l'infrastructure pour le AWS Cloud Development Kit (AWS CDK)
Le AWS CDK suit le [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/) par le biais des services Amazon Web Services (AWS) spécifiques qu'il prend en charge. Pour obtenir des informations sur la sécurité des AWS services, consultez la [AWS page de documentation sur la sécuritéAWS](https://docs.aws.amazon.com/security/?id=docs_gateway#aws-security) [des services et les services concernés par les efforts de AWS conformité par programme de conformité](https://aws.amazon.com/compliance/services-in-scope/).