

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Création et configuration des AWS informations d'identification pour Amazon Keyspaces
<a name="access.credentials"></a>

Pour accéder à Amazon Keyspaces par programmation à l'aide du AWS SDK ou à l' AWS CLI aide des pilotes clients Cassandra et du plugin SigV4, vous avez besoin d'un utilisateur IAM doté de clés d'accès. Lorsque vous utilisez Amazon Keyspaces par programmation, vous fournissez vos clés d' AWS accès afin de vérifier votre identité lors des AWS appels programmatiques. Vos clés d'accès se composent d'un identifiant de clé d'accès (par exemple, AKIAIOSFODNN7 EXEMPLE) et d'une clé d'accès secrète (par exemple,wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Cette rubrique décrit les étapes nécessaires à ce processus. 

Les meilleures pratiques en matière de sécurité recommandent de créer des utilisateurs IAM dotés d'autorisations limitées et d'associer les rôles IAM aux autorisations nécessaires pour effectuer des tâches spécifiques. Les utilisateurs IAM peuvent ensuite assumer temporairement des rôles IAM pour effectuer les tâches requises. Par exemple, les utilisateurs IAM de votre compte utilisant la console Amazon Keyspaces peuvent passer à un rôle afin d'utiliser temporairement les autorisations du rôle dans la console. Les utilisateurs abandonnent leurs autorisations d'origine et acceptent les autorisations attribuées au rôle. Lorsque les utilisateurs quittent le rôle, leurs autorisations d'origine sont restaurées. Les informations d'identification utilisées par les utilisateurs pour assumer le rôle sont temporaires. Au contraire, les utilisateurs IAM disposent d'informations d'identification à long terme, ce qui présente un risque de sécurité si, au lieu d'assumer des rôles, des autorisations leur sont directement attribuées. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces autorisations lorsqu’elles ne sont plus nécessaires. Pour plus d'informations sur les rôles, consultez la section [Scénarios courants pour les rôles : utilisateurs, applications et services](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios.html) dans le *guide de l'utilisateur IAM*.

**Topics**
+ [Informations d'identification requises par AWS CLI le AWS SDK ou le plugin Amazon Keyspaces SigV4 pour les pilotes clients Cassandra](SigV4_credentials.md)
+ [Créez des informations d'identification temporaires pour vous connecter à Amazon Keyspaces à l'aide d'un rôle IAM et du plugin SigV4](temporary.credentials.IAM.md)
+ [Créez un utilisateur IAM pour un accès programmatique à Amazon Keyspaces dans votre compte AWS](access.credentials.IAM.md)
+ [Création de nouvelles clés d'accès pour un utilisateur IAM](create.keypair.md)
+ [Stocker les clés d'accès pour un accès programmatique](aws.credentials.manage.md)

# Informations d'identification requises par AWS CLI le AWS SDK ou le plugin Amazon Keyspaces SigV4 pour les pilotes clients Cassandra
<a name="SigV4_credentials"></a>

Les informations d'identification suivantes sont requises pour authentifier l'utilisateur ou le rôle IAM :

`AWS_ACCESS_KEY_ID`  
Spécifie une clé AWS d'accès associée à un utilisateur ou à un rôle IAM.  
La clé d'accès `aws_access_key_id` est requise pour se connecter à Amazon Keyspaces par programmation.

`AWS_SECRET_ACCESS_KEY`  
Indique la clé secrète associée à la clé d’accès. Il s’agit du « mot de passe » de la clé d’accès.  
`aws_secret_access_key`Il est nécessaire pour se connecter à Amazon Keyspaces par programmation. 

`AWS_SESSION_TOKEN`— Facultatif  
Spécifie la valeur du jeton de session requise si vous utilisez des informations d’identification de sécurité temporaires que vous avez extraites directement des opérations AWS Security Token Service . Pour de plus amples informations, veuillez consulter [Créez des informations d'identification temporaires pour vous connecter à Amazon Keyspaces à l'aide d'un rôle IAM et du plugin SigV4](temporary.credentials.IAM.md).  
Si vous vous connectez avec un utilisateur IAM, ce n'`aws_session_token`est pas obligatoire.

# Créez des informations d'identification temporaires pour vous connecter à Amazon Keyspaces à l'aide d'un rôle IAM et du plugin SigV4
<a name="temporary.credentials.IAM"></a>

La méthode recommandée pour accéder à Amazon Keyspaces par programmation consiste à utiliser des informations d'[identification temporaires](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) pour s'authentifier auprès du plugin SigV4. Dans de nombreux cas, vous n'avez pas besoin d'une clé d'accès à long terme qui n'expire jamais (comme dans le cas d'un utilisateur IAM). Vous pouvez plutôt créer un rôle IAM et générer des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires consistent en un ID de clé d'accès et une clé d'accès secrète, mais elles comprennent également un jeton de sécurité qui indique la date d'expiration des informations d'identification. Pour en savoir plus sur l'utilisation des rôles IAM plutôt que des clés d'accès à long terme, consultez la section [Passer à un rôle IAM (AWS API)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-api.html).

Pour commencer à utiliser des informations d'identification temporaires, vous devez d'abord créer un rôle IAM.

**Créez un rôle IAM qui accorde un accès en lecture seule à Amazon Keyspaces**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le volet de navigation, choisissez **Rôles**, puis **Créer un rôle**.

1. Sur la page **Créer un rôle**, sous **Sélectionner le type d'entité de confiance**, sélectionnez **AWS service**. **Sous **Choisir un cas d'utilisation**, choisissez **Amazon EC2**, puis Next.**

1. **Sur la page **Ajouter des autorisations**, sous **Politiques d'autorisations**, choisissez **Amazon Keyspaces Read Only Access** dans la liste des politiques, puis choisissez Next.**

1. Sur la page **Nom, révision et création**, entrez le nom du rôle et consultez les sections **Sélectionner des entités fiables** et **Ajouter des autorisations**. Vous pouvez également ajouter des balises facultatives pour le rôle sur cette page. Lorsque vous avez terminé, sélectionnez **Créer un rôle**. N'oubliez pas ce nom car vous en aurez besoin lorsque vous lancerez votre instance Amazon EC2.

Pour utiliser des informations d'identification de sécurité temporaires dans le code, vous devez appeler par programmation une AWS Security Token Service API similaire `AssumeRole` et extraire les informations d'identification et le jeton de session qui en résultent de votre rôle IAM que vous avez créé à l'étape précédente. Vous utilisez ensuite ces valeurs comme informations d'identification pour les appels suivants à AWS. L'exemple suivant montre un pseudocode expliquant comment utiliser les informations d'identification de sécurité temporaires :

```
assumeRoleResult = AssumeRole(role-arn);
tempCredentials = new SessionAWSCredentials(
   assumeRoleResult.AccessKeyId, 
   assumeRoleResult.SecretAccessKey, 
   assumeRoleResult.SessionToken);
cassandraRequest = CreateAmazoncassandraClient(tempCredentials);
```

Pour un exemple qui implémente des informations d'identification temporaires à l'aide du pilote Python pour accéder à Amazon Keyspaces, consultez. [Connectez-vous à Amazon Keyspaces à l'aide du pilote DataStax Python pour Apache Cassandra et du plugin d'authentification SigV4](using_python_driver.md#python_SigV4)

Pour plus d'informations sur la façon d'appeler `AssumeRole`, `GetFederationToken` et d'autres opérations d'API, consultez la [Référence sur l'API AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/). Pour plus d'informations sur l'obtention des informations d'identification de sécurité temporaires et du jeton de session à partir des résultats, consultez la documentation du kit SDK que vous utilisez. Vous pouvez trouver la documentation de tous AWS SDKs sur la [page de AWS documentation](https://aws.amazon.com/documentation) principale, dans la section **SDKs et boîtes à outils**.

# Créez un utilisateur IAM pour un accès programmatique à Amazon Keyspaces dans votre compte AWS
<a name="access.credentials.IAM"></a>

Pour obtenir les informations d'identification nécessaires à l'accès programmatique à Amazon Keyspaces avec AWS CLI le plugin, AWS le SDK ou le plugin SigV4, vous devez d'abord créer un utilisateur ou un rôle IAM. Le processus de création d'un utilisateur IAM et de configuration de cet utilisateur IAM pour qu'il dispose d'un accès programmatique à Amazon Keyspaces est illustré dans les étapes suivantes :

1. Créez l'utilisateur dans AWS Management Console les AWS CLI outils pour Windows PowerShell ou à l'aide d'une opération d' AWS API. Si vous créez l'utilisateur dans le AWS Management Console, les informations d'identification sont créées automatiquement. 

1. Si vous créez l'utilisateur par programmation, vous devez créer une clé d'accès (ID de clé d'accès et clé d'accès secrète) pour cet utilisateur lors d'une étape supplémentaire.

1. Donnez à l'utilisateur l'autorisation d'accéder à Amazon Keyspaces. 

Pour plus d'informations sur les autorisations dont vous avez besoin pour créer un utilisateur IAM, consultez la section [Autorisations requises pour accéder aux ressources IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions-required.html). 

------
#### [ Console ]

**Création d'un utilisateur IAM avec accès par programmation (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, sélectionnez **Users** (Utilisateurs), puis **Add users** (Ajouter des utilisateurs).

1. Tapez le nom d'utilisateur du nouvel utilisateur. Il s'agit du nom de connexion pour AWS. 
**Note**  
Les noms d’utilisateur peuvent combiner jusqu’à 64 lettres, chiffres et caractères suivants : plus (\$1), égal (=), virgule (,), point (.), arobase (@), trait de soulignement (\$1) et tiret (-). Les noms doivent être uniques au sein d'un compte. Ils ne sont pas distingués au cas par cas. Par exemple, vous ne pouvez pas créer deux utilisateurs nommés *TESTUSER* et *testuser*.

1. Sélectionnez **Clé d'accès - Accès par programmation** pour créer une clé d'accès pour le nouvel utilisateur. Vous pouvez consulter ou télécharger la clé d'accès lorsque vous arrivez sur la page **finale**.

   Choisissez **Suivant : Autorisations**.

1. Sur la page **Définir les autorisations**, choisissez **Joindre directement les politiques existantes** pour attribuer des autorisations au nouvel utilisateur.

   Cette option affiche la liste des politiques AWS gérées et gérées par le client disponibles dans votre compte. Vous pouvez `keyspaces` entrer dans le champ de recherche pour afficher uniquement les politiques relatives à Amazon Keyspaces.

   Pour Amazon Keyspaces, les politiques gérées disponibles sont `AmazonKeyspacesFullAccess` et. `AmazonKeyspacesReadOnlyAccess` Pour plus d'informations sur chaque politique, consultez[AWS politiques gérées pour Amazon Keyspaces](security-iam-awsmanpol.md). 

   À des fins de test et pour suivre les didacticiels de connexion, sélectionnez la `AmazonKeyspacesReadOnlyAccess` politique pour le nouvel utilisateur IAM. **Remarque :** En tant que bonne pratique, nous vous recommandons de suivre le principe du moindre privilège et de créer des politiques personnalisées qui limitent l'accès à des ressources spécifiques et n'autorisent que les actions requises. Pour plus d'informations sur les politiques IAM et pour consulter des exemples de politiques pour Amazon Keyspaces, consultez. [Politiques basées sur l'identité d'Amazon Keyspaces](security_iam_service-with-iam.md#security_iam_service-with-iam-id-based-policies) Après avoir créé des politiques d'autorisation personnalisées, associez vos politiques aux rôles, puis laissez les utilisateurs assumer temporairement les rôles appropriés.

   Choisissez **Suivant : Balises**.

1. Sur la page **Ajouter des balises (facultatif)**, vous pouvez ajouter des balises pour l'utilisateur ou choisir **Suivant : Réviser**. 

1. Sur la page **Révision**, vous pouvez voir tous les choix que vous avez faits jusqu'à présent. Lorsque vous êtes prêt à continuer, choisissez **Create user**.

1. Pour afficher les clés d'accès de l'utilisateur (clé d'accès IDs et clés d'accès secrètes), choisissez **Afficher** à côté du mot de passe et de la clé d'accès. Pour enregistrer les clés d'accès, choisissez **télécharger .csv**, puis enregistrez le fichier dans un emplacement sûr sur votre ordinateur. 
**Important**  
Il s'agit de votre seule opportunité de visualiser ou de télécharger les clés d'accès secrètes, et vous avez besoin de ces informations pour qu'ils puissent utiliser le plugin SigV4. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.

------
#### [ CLI ]

**Création d'un utilisateur IAM avec accès par programmation ()AWS CLI**

1. Créez un utilisateur avec le AWS CLI code suivant.
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-user.html)

1. Donnez à l'utilisateur un accès programmatique. Cela nécessite des clés d'accès, qui peuvent être générées de différentes manières. 
   + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)
   + Outils pour Windows PowerShell : [https://docs.aws.amazon.com/powershell/latest/reference/items/New-IAMAccessKey.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-IAMAccessKey.html)
   + API IAM : [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)
**Important**  
Il s'agit de votre seule opportunité de visualiser ou de télécharger les clés d'accès secrètes, et vous avez besoin de ces informations pour qu'ils puissent utiliser le plugin SigV4. Enregistrez les nouveaux ID de clé d'accès et clé d'accès secrète de l'utilisateur dans un endroit sûr et sécurisé. Vous ne pourrez plus accéder aux clés d'accès secrètes après cette étape.

1. Attachez à l'utilisateur la `AmazonKeyspacesReadOnlyAccess` politique qui définit les autorisations de l'utilisateur. **Remarque :** il est recommandé de gérer les autorisations des utilisateurs en ajoutant l'utilisateur à un groupe et en attachant une politique au groupe au lieu de l'associer directement à un utilisateur.
   + AWS CLI: [https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-user-policy.html)

------

# Création de nouvelles clés d'accès pour un utilisateur IAM
<a name="create.keypair"></a>

Si vous avez déjà un utilisateur IAM, vous pouvez créer de nouvelles clés d'accès à tout moment. Pour plus d'informations sur la gestion des clés, par exemple comment mettre à jour les clés d'accès, consultez [la section Gestion des clés d'accès pour les utilisateurs IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html). 

**Pour créer des clés d'accès pour un utilisateur IAM (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Choisissez le nom de l'utilisateur dont vous souhaitez créer les clés d'accès.

1. Sur la page **Résumé** de l'utilisateur, choisissez l'onglet **Informations d'identification de sécurité**.

1. Dans la section **Clés d'accès**, sous **Meilleures pratiques et alternatives en matière de clés d'accès**, sélectionnez le cas **d'utilisation Autre**. Cliquez sur **Suivant**, entrez les informations facultatives nécessaires, puis choisissez **Créer une clé d'accès**.

   Pour afficher la nouvelle clé d'accès, choisissez **Show (Afficher)**. Vos informations d'identification s'afficheront comme suit :
   + ID de clé d'accès : AKIAIOSFODNN7 EXEMPLE
   + Clé d'accès secrète : wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
**Note**  
Vous ne pourrez pas accéder à la clé d’accès secrète à nouveau une fois que cette boîte de dialogue se sera fermée.

   Tenez compte des bonnes pratiques suivantes pour la paire de clés que vous avez créée.
   + Ne stockez jamais votre clé d'accès en texte brut, dans un référentiel de code ou dans du code.
   + Désactivez ou supprimez les clés d'accès lorsqu'elles ne sont plus nécessaires.
   + Activez les autorisations du moindre privilège.
   + Faites régulièrement pivoter les touches d'accès.

1. Pour télécharger la paire de clés, choisissez **Télécharger le fichier .csv**. Stockez les clés dans un emplacement sûr.

1. Après avoir téléchargé le fichier CSV, sélectionnez **Close (Fermer)**.

Lorsque vous créez une clé d'accès, la paire de clés est activée par défaut et vous pouvez utiliser la paire immédiatement.

# Stocker les clés d'accès pour un accès programmatique
<a name="aws.credentials.manage"></a>

Il est recommandé de ne pas intégrer les clés d'accès directement dans le code. Les outils de ligne de AWS commande AWS SDKs et les outils de ligne de commande vous permettent de placer les clés d'accès à des emplacements connus afin de ne pas avoir à les conserver dans le code. Placez les clés d'accès à l'un des emplacements suivants :
+ **Variables d'environnement** : sur un système mutualisé, choisissez les variables d'environnement utilisateur et non les variables d'environnement système.
+ **Fichier d'informations d'identification CLI** — Le `config` fichier `credentials` et est mis à jour lorsque vous exécutez la commande`aws configure`. Le `credentials` fichier se trouve sous `~/.aws/credentials` Linux, macOS ou Unix, ou `C:\Users\USERNAME\.aws\credentials` sous Windows. Ce fichier contient les informations d'identification du profil `default` et de tous les profils nommés.
+ **Fichier de configuration CLI** — Le `config` fichier `credentials` et est mis à jour lorsque vous exécutez la commande`aws configure`. Le `config` fichier se trouve sous `~/.aws/config` Linux, macOS ou Unix, ou `C:\Users\USERNAME\.aws\config` sous Windows. Ce fichier contient les paramètres de configuration du profil par défaut et des profils nommés.

Le stockage des clés d'accès en tant que variables d'environnement est une condition préalable à la[Step-by-step tutoriel pour se connecter à Amazon Keyspaces à l'aide du pilote DataStax Java 4.x pour Apache Cassandra et du plugin d'authentification SigV4](using_java_driver.md#java_tutorial.SigV4). Notez que cela inclut la valeur par défaut Région AWS. Le client recherche les informations d'identification à l'aide de la chaîne de fournisseurs d'informations d'identification par défaut, et les clés d'accès stockées sous forme de variables d'environnement ont priorité sur tous les autres emplacements, par exemple les fichiers de configuration. Pour plus d'informations, consultez [la section Paramètres de configuration et priorité.](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-quickstart.html#cli-configure-quickstart-precedence)

Les exemples suivants montrent comment vous pouvez configurer des variables d’environnement pour l’utilisateur par défaut.

------
#### [ Linux, macOS, or Unix ]

```
$ export AWS_ACCESS_KEY_ID=AKIAIOSFODNN7EXAMPLE
$ export AWS_SECRET_ACCESS_KEY=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
$ export AWS_SESSION_TOKEN=AQoDYXdzEJr...<remainder of security token>
$ export AWS_DEFAULT_REGION=us-east-1
```

La définition de la variable d’environnement permet de modifier la valeur utilisée jusqu’à la fin de votre session shell, ou jusqu’à ce que vous définissiez la variable sur une autre valeur. Vous pouvez rendre les variables persistantes dans de futures sessions en les définissant dans votre script de démarrage de shell.

------
#### [ Windows Command Prompt ]

```
C:\> setx AWS_ACCESS_KEY_ID AKIAIOSFODNN7EXAMPLE
C:\> setx AWS_SECRET_ACCESS_KEY wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
C:\> setx AWS_SESSION_TOKEN AQoDYXdzEJr...<remainder of security token>
C:\> setx AWS_DEFAULT_REGION us-east-1
```

L’utilisation de `[set](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/set_1)` pour définir une variable d’environnement modifie la valeur utilisée jusqu’à la fin de la session d’invite de commande en cours, ou jusqu’à ce que vous définissiez la variable sur une autre valeur. L’utilisation de [https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/setx](https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/setx) pour définir une variable d’environnement modifie la valeur utilisée dans la session d’invite de commande en cours et toutes les sessions d’invite de commande que vous créez après l’exécution de la commande. Cela ***n’affecte pas*** les autres shells de commande qui sont déjà en cours d’exécution lorsque vous exécutez la commande.

------
#### [ PowerShell ]

```
PS C:\> $Env:AWS_ACCESS_KEY_ID="AKIAIOSFODNN7EXAMPLE"
PS C:\> $Env:AWS_SECRET_ACCESS_KEY="wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY"
PS C:\> $Env:AWS_SESSION_TOKEN="AQoDYXdzEJr...<remainder of security token>"
PS C:\> $Env:AWS_DEFAULT_REGION="us-east-1"
```

Si vous définissez une variable d'environnement à l' PowerShell invite, comme indiqué dans les exemples précédents, elle enregistre la valeur uniquement pendant la durée de la session en cours. Pour que le paramètre de variable d'environnement soit persistant dans toutes les sessions PowerShell et dans les sessions d'invite de commande, stockez-le à l'aide de l'application **système** du **Panneau de configuration**. Vous pouvez également définir la variable pour toutes les PowerShell sessions futures en l'ajoutant à votre PowerShell profil. Consultez la [PowerShell documentation](https://docs.microsoft.com/powershell/module/microsoft.powershell.core/about/about_environment_variables) pour plus d'informations sur le stockage des variables d'environnement ou leur persistance d'une session à l'autre.

------