IAM vous permet de :

Gérer les utilisateurs IAM et leur accès – Vous pouvez créer des utilisateurs dans IAM, attribuer aux utilisateurs des identifiants de sécurité individuels (c'est-à-dire, les clés d'accès, le mot de passe et les dispositifs Multi-Factor Authentication) ou demander des identifiants de sécurité temporaires pour leur fournir l'accès aux services et ressources AWS. Vous pouvez gérer les autorisations pour contrôler quelles opérations un utilisateur peut effectuer.

Gérer les rôles IAM et leurs autorisations – Vous pouvez créer des rôles dans IAM et gérer les autorisations permettant de contrôler les opérations pouvant être effectuées en fonction de l'entité, de l'utilisateur ou du service AWS qui endosse le rôle.

Gérer les accès pour les utilisateurs fédérés – Vous pouvez rendre possible la fédération des identités pour permettre aux identités existantes (par exemple les utilisateurs) au sein de votre entreprise d'accéder à AWS Management Console ainsi qu'aux API et aux ressources AWS en utilisant les fonctionnalités de contrôle d'accès granulaires d'IAM, sans avoir à créer un utilisateur IAM pour chaque identité.

Vous rendez possible la fédération des identités en demandant des identifiants de sécurité temporaires pouvant être utilisés pour signer des demandes à AWS. Les identifiants de sécurité temporaires sont composés de clés d'accès éphémères et de jetons de session associés aux clés. Les utilisateurs de votre entreprise utilisent les clés d'accès de la même manière qu'avant, aussi longtemps qu'ils font passer le jeton dans les appels qu'ils font aux API d'AWS. Les autorisations associées aux identifiants de sécurité temporaires sont au plus égales à celles de l'utilisateur IAM qui les a émises ; vous pouvez les restreindre davantage en spécifiant des autorisations explicites faisant partie de la demande pour les créer. Il n'y a aucune limite au nombre d'identifiants de sécurité temporaires pouvant être émis.

Une entreprise, par exemple, peut vouloir une application s'exécutant sur tous les ordinateurs portables des employés pour effectuer des sauvegardes quotidiennes vers un sous-dossier spécifique à un employé dans Amazon S3. L'entreprise peut exécuter une petite application qui servirait de "identité broker", demandant un identifiant de sécurité temporaire AWS pour chaque utilisateur après sa connexion à son réseau d'entreprise. Cet identifiant peut spécifier les autorisations exactes accordées (c'est-à-dire, écrire un accès à un compartiment/dossier S3 particulier) et la durée des autorisations (c'est-à-dire, 12 heures). L'identifiant doit être retourné à l'application de sauvegarde sur l'ordinateur portable de l'employé, fournissant un accès sécurisé et direct à Amazon S3. Pour mieux appréhender la configuration de la fédération des identités à partir de votre répertoire général, essayez notre exemple d'application.

IAM rend possible les cas d'utilisation suivants :

Contrôle d'accès fin à vos ressources AWS – IAM vous permet de contrôler l'accès aux API du service AWS et à des ressources spécifiques. IAM vous permet également d'ajouter des conditions spécifiques pour contrôler l'utilisation d'AWS par telle ou telle personne, notamment à quel moment de la journée, avec quelles adresses IP d'origine, si le protocole SSL est utilisé ou si l'authentification s'effectue à l'aide d'un dispositif MFA (Multi-Factor Authentication).

Fédération des identités entre votre entreprise et les services AWS – IAM peut être utilisé pour permettre à vos employés et applications d'accéder à AWS Management Console et aux API des services AWS en utilisant vos systèmes de gestion des identités existants.

Applications mobiles et basées sur un navigateur – Vous pouvez activer vos applications mobiles et basées sur un navigateur pour accéder de façon sécurisée aux ressources AWS en demandant des identifiants de sécurité temporaires qui n'accordent l'accès qu'aux ressources AWS spécifiques, pour une période de temps configurable.

Sécurité améliorée – IAM rend possible les bonnes pratiques en matière de sécurité en permettant d'accorder des identifiants de sécurité uniques à chaque utilisateur et d'indiquer à quelles API du service AWS et ressources ils peuvent accéder. IAM est sécurisé par défaut ; les utilisateurs n'ont pas accès aux ressources AWS tant que les autorisations ne sont pas explicitement accordées.

Contrôle – IAM procure la granularité pour contrôler l'accès d'un utilisateur à des services et des ressources AWS spécifiques, (par ex. résilier des instances EC2 ou supprimer des cases Amazon S3).

Intégration en continu avec les autres services AWS – IAM est intégré, à l'origine, dans la plupart des services AWS.

Fiable – IAM est bâti en utilisant l'infrastructure de technologie d'Amazon, de classe mondiale. Comme d'autres Amazon Web Services, le service est exécuté dans l'infrastructure et les centres de données du réseau mondial d'Amazon.

AWS Identity and Access Management est une fonction de votre compte AWS, offerte gratuitement. Vous ne serez facturé que pour l'utilisation des autres services AWS par vos Utilisateurs.

Utilisation d'AWS Identity and Access Management (IAM)

Vous pouvez gérer l'accès à AWS à l'aide d'AWS Management Console, qui permet d'utiliser une interface Web de type pointer-cliquer pour créer et gérer des utilisateurs IAM, des rôles IAM, des autorisations et des identifiants de sécurité. IAM fournit aussi un ensemble d'API et des Outils Ligne de commande pour un accès entièrement crypté pour les capacités ci-dessus. Pour une liste complète des API d'IAM disponibles, veuillez consulter le Guide de référence API d'AWS Identity and Access Management. Voici certaines des API couramment utilisées et leurs fonctionnalités :

Gérer les utilisateurs :

• CreateUser : crée un utilisateur IAM avec un nom d'utilisateur que vous spécifiez. Le nom d'utilisateur est une chaîne de caractères qui doit être unique dans le compte AWS auquel il appartient.
• CreateGroup : crée un groupe avec un nom de groupe que vous spécifiez.
• AddUserToGroup : ajoute un utilisateur au groupe spécifié.
• RemoveUserFromGroup : supprime un utilisateur IAM d'un groupe spécifié.

Gérer les rôles :

• CreateRole : crée un rôle IAM avec un nom que vous définissez. Le nom du rôle est une chaîne de caractères qui doit être unique dans le compte AWS auquel il appartient.

Gérer les autorisations :

• PutUserPolicy : ajoute (ou met à jour) un document de politique pour l'utilisateur IAM spécifié. Un document de politique contient un ensemble d'autorisations.
• PutRolePolicy : ajoute (ou met à jour) un document de politique pour le rôle IAM spécifié. Un document de politique contient un ensemble d'autorisations.
• PutGroupPolicy : ajoute (ou met à jour) un document de politique pour un groupe spécifié.

Gérer les identifiants

• CreateAccessKey : crée un ID de clé d'accès AWS unique et une clé d'accès secrète correspondante pour l'utilisateur spécifié. Ces clés d'accès permettent à l'utilisateur IAM de faire directement des appels API vers les services AWS.
• GetSessionToken : crée un ID de clé d'accès AWS unique, une clé d'accès secrète correspondante et un jeton pour une durée spécifiée pour l'utilisateur IAM appelant cette API.
• GetFederationToken : crée un ID de clé d'accès AWS unique, une clé d'accès secrète correspondante et un jeton pour une durée et des autorisations spécifiées pour un utilisateur fédéré ou des applications.

Démarrage

Le meilleur moyen de comprendre IAM est de lire le Guide de démarrage qui fait partie de notre Documentation technique. En quelques minutes, vous pourrez créer vos propres utilisateurs, rôles et groupes, et attribuer des autorisations.

Votre utilisation de ce service est soumise à un accord entre vous et nous ; cet accord régit votre utilisation d'AWS. Veuillez consulter l'Accord client Amazon Web Services pour plus d'informations.