Découvrez gratuitement AWS

Créez un compte gratuit
ou connectez-vous à la console

Profitez pendant 12 mois du niveau d'utilisation gratuit d'AWS et bénéficiez du niveau de base d'AWS Support qui inclut un service client disponible 24h/24, 7j/7 et 365 jours par an, l'accès à des forums d'assistance et bien d'autres avantages.


Q : Qu'est-ce qu'AWS Identity and Access Management (IAM) ?
IAM vous permet de contrôler de façon sécurisée l'accès aux ressources AWS pour vos utilisateurs et groupes d'utilisateurs. Vous pouvez créer et gérer des identités d'utilisateurs (« utilisateurs IAM ») et leur accorder des autorisations d'accès à vos ressources. Vous pouvez également octroyer des autorisations à des utilisateurs hors d’AWS (« utilisateurs fédérés »).

Q : Comment démarrer avec IAM ?
Après vous être inscrit à AWS, vous pouvez créer des utilisateurs et des groupes, puis leur affecter des autorisations d'accès à vos ressources AWS. Vous pouvez utiliser la console IAM (pour un accès Web), la CLI IAM (pour un accès par ligne de commande), ou encore l'API ou les kits SDK (pour un accès par programmation). Pour accorder des autorisations, vous créez des documents de politiques que vous associez aux utilisateurs, groupes et autres entités. Consultez la vidéo « Getting Started with IAM ».

Q : Quels sont les problèmes résolus par IAM ?
IAM permet de fournir plus facilement à plusieurs utilisateurs un accès sécurisé à votre compte et vos ressources AWS. IAM vous permet de :

  • Gérer les utilisateurs IAM et leur accès – Vous pouvez créer des utilisateurs dans le système de gestion des identités, attribuer aux utilisateurs des identifiants de sécurité individuels (c’est-à-dire, les clés d’accès, le mot de passe, les dispositifs d’authentification multifactorielle) ou demander des identifiants de sécurité temporaires pour leur fournir l’accès aux services et ressources AWS. Vous pouvez gérer les autorisations pour contrôler quelles opérations un utilisateur peut effectuer.
  • Gérer l’accès aux utilisateurs fédérés – Vous pouvez demander des identifiants sécurisés avec des expirations configurables pour les utilisateurs que vous gérez dans votre répertoire général, ce qui vous permet de fournir à vos employés et à vos applications un accès sécurisé dans votre compte AWS, sans leur créer un utilisateur IAM. Vous indiquez les autorisations pour ces identifiants de sécurité pour contrôler quelles opérations un utilisateur peut effectuer.

Q : Qui peut utiliser IAM ?
N'importe quel client AWS peut utiliser IAM. Ce service est offert gratuitement. Vous ne serez facturé que pour l'utilisation des autres services AWS par vos utilisateurs.

Q : Qu'est-ce qu'un utilisateur ?
Un utilisateur est une identité unique reconnue par les services et les applications AWS. Semblable à un identifiant de connexion dans un système d'exploitation comme Windows ou UNIX, un utilisateur possède un nom unique et peut s'identifier à l'aide d'identifiants de sécurité courants, comme le mot de passe ou une clé d'accès. Un utilisateur peut être un individu, un système ou une application ayant besoin d'accéder aux services AWS. IAM prend en charge les utilisateurs gérés dans le système de gestion des identités d'AWS (appelés "utilisateurs IAM"), et vous permet aussi d'accorder l'accès aux ressources AWS aux utilisateurs gérés en dehors d'AWS dans votre répertoire général (appelés "utilisateurs fédérés").

Q : Que peut faire un utilisateur ?
Un utilisateur peut faire des demandes vers les services Web comme Amazon S3 et EC2. La capacité d'un utilisateur d'accéder aux API de service Web est sous le contrôle du et est de la responsabilité du compte AWS sous lequel il est défini – un utilisateur peut être autorisé à accéder à n'importe lequel ou à tous les services AWS qui ont été intégrés avec IAM et auquel le compte AWS est abonné. Si autorisé, un utilisateur a accès à toutes les ressources sous le compte AWS. De plus, si le compte AWS a accès aux ressources d'un autre compte AWS, ses utilisateurs pourront alors accéder aux données sous ces comptes AWS. Toute ressource AWS créée par un utilisateur est sous le contrôle et payée par son compte AWS. Un utilisateur ne peut pas indépendamment s'abonner aux services AWS ou contrôler des ressources.

Q : Comment les utilisateurs appelleront-ils les services AWS ?
Les utilisateurs peuvent faire des demandes aux services AWS à l'aide des identifiants de sécurité. La capacité d'un utilisateur à appeler des services AWS est régie par des autorisations explicites – par défaut, lorsqu'ils n'ont pas la capacité d'appeler des API de service au nom du compte.

Q : Comment démarrer avec IAM ?
Pour commencer à utiliser IAM, vous devez vous inscrire à au moins un des services AWS intégré à IAM. Ensuite, vous pouvez créer et gérer des utilisateurs, des groupes et des autorisations via les API d'IAM, les outils de ligne de commande, ou via la console IAM, qui vous donne accès à une interface Web de type pointer-cliquer. Vous pouvez aussi utiliser le Générateur de politique AWS pour créer des politiques.


Q : Comment sont gérés les utilisateurs IAM ?
IAM prend en charge plusieurs méthodes pour créer, supprimer et intégrer les utilisateurs IAM dans une liste, gérer l'adhésion de groupe, gérer les identifiants de sécurité d'utilisateurs et attribuer les autorisations. Ensuite, vous pouvez créer et gérer des utilisateurs, des groupes et des autorisations via les API d'IAM, les Outils de ligne de commande, ou via la console IAM, ce qui vous donne une interface Web pointer-cliquer. Vous pouvez également utiliser le Générateur de politique AWS et le Simulateur de politique AWS pour créer et tester des politiques.

Q : Qu'est-ce qu'un groupe ?
Un groupe est un ensemble d'utilisateurs. L'adhésion au groupe est gérée en tant que liste simple ; les utilisateurs peuvent être ajoutés ou enlevés d'un groupe. Un utilisateur peut appartenir à plusieurs groupes. Les groupes ne peuvent pas appartenir à d'autres groupes. Les groupes peuvent obtenir des autorisations utilisant les politiques de contrôle d'accès. Ceci facilite la gestion des autorisations pour un ensemble d'utilisateurs, plutôt que d'avoir à gérer les autorisations pour chaque utilisateur individuel. Les groupes n'ont pas d'identifiants de sécurité et ne peuvent pas accéder aux services Web directement ; ils existent uniquement pour faciliter la gestion des autorisations utilisateurs.  Pour en savoir plus, consultez la section Working with Groups and Users.

Q : Quels types d'identifiants de sécurité les utilisateurs IAM peuvent-ils avoir ?
Un utilisateur IAM peut avoir n'importe quelle combinaison d'identifiants qu'AWS prend en charge – la clé d'accès AWS, le certificat X.509, le mot de passe pour les connexions d'application Web, le dispositif d'authentification multifactorielle (MFA). Ceci permet aux utilisateurs d'interagir avec AWS de la manière la plus logique pour eux – un employé peut avoir une clé d'accès et un mot de passe AWS ; un système logiciel peut n'avoir qu'une clé d'accès AWS pour faire des appels par programme ; et un fournisseur extérieur peut n'avoir qu'un certificat X.509 pour utiliser l'interface de ligne de commande EC2. Pour en savoir plus, consultez la section Autorisations dans la documentation IAM.

Q : Quels sont les services AWS qui prennent en charge les utilisateurs IAM ?
Vous pouvez consulter la liste complète des services AWS qui prennent en charge les utilisateurs IAM dans la section Intégration à d'autres produits AWS de la documentation IAM. AWS prévoit d'ajouter la prise en charge d'autres services à l'avenir.

Q : L'accès utilisateur peut-il être activé/désactivé ?
Oui. Les clés d'accès d'un utilisateur IAM peuvent être activées et désactivées via les API d'IAM, les Outils de ligne de commande, ou via la console IAM. Désactiver les clés d'accès signifie que l'utilisateur ne pourra pas accéder aux services AWS via un programme.

Q : Qui peut gérer les utilisateurs pour un compte AWS ?
Le titulaire du compte AWS peut gérer les utilisateurs, groupes, identifiants de sécurité et autorisations. En outre, l'autorisation peut être accordée aux utilisateurs individuels pour faire des appels vers les API d'IAM afin de gérer les autres utilisateurs. Par exemple, un utilisateur administrateur peut être créé pour gérer les utilisateurs pour une entreprise – une pratique recommandée. Lorsqu'un utilisateur a reçu l'autorisation de gérer d'autres utilisateurs, il peut le faire via les API d'IAM, les Outils de ligne de commande, ou via la console IAM.

Q : Un ensemble d'utilisateurs peut-il être structuré de manière hiérarchique, comme dans LDAP ?
Oui. Les utilisateurs et les groupes peuvent être organisés sous des chemins, semblables à des chemins d'objet dans Amazon S3 – par exemple /mycompany/division/project/joe etc.

Q : Les utilisateurs peuvent-ils être définis selon des régions ?
Pas au départ. Les utilisateurs sont des entités mondiales, comme un compte AWS aujourd'hui. Il n'est pas nécessaire de spécifier une région lors de la définition des autorisations d'utilisateurs. les utilisateurs peuvent utiliser les services AWS dans une région géographique.

Q : Comment les dispositifs MFA sont-ils configurés pour les utilisateurs IAM ?
Le titulaire de compte AWS peut commander des dispositifs MFA multiples. Ces dispositifs peuvent alors être attribués à des utilisateurs IAM individuels via les API d'IAM, les Outils de ligne de commande, ou la console IAM.

Q : Quel type de rotation de clé est pris en charge pour les utilisateurs IAM ?
Les clés d'accès d'utilisateurs et les certificats X.509 peuvent être pivotés comme ils le sont pour les identifiants d'accès de compte racine AWS. Les clés d’accès d’utilisateurs et les certificats X.509 peuvent être gérés par programme via les API d’IAM, les Outils de ligne de commande, ou via la Console IAM.

Q : Les utilisateurs IAM peuvent-ils avoir des clés EC2 SSH individuelles ?
Pas dans la première version. IAM n'affecte pas les clés EC2 SSH ou les certificats Windows RDP. Ceci signifie que, alors que chaque utilisateur dispose d'identifiants individuels pour accéder aux API de service Web, ils doivent partager les clés SSH communes dans le compte AWS sous lequel l'utilisateur a été défini.

Q : Les noms d'utilisateurs IAM doivent-ils être des adresses e-mail ?
Non ils ne doivent pas, mais ils peuvent l'être. Les noms d'utilisateurs sont juste des chaînes ASCII uniques au sein d'un compte AWS donné. Le titulaire du compte AWS peut attribuer des noms en utilisant une convention de dénomination de son choix, y compris les adresses e-mail.

Q : Quels jeux de caractères puis-je utiliser pour les noms d'utilisateurs IAM ?
Les entités IAM prennent uniquement en charge les caractères ASCII.

Q : Les attributs d'utilisateurs autres que le nom d'utilisateur sont-ils pris en charge ?
Pas à l'heure actuelle.

Q : Comment sont définis les mots de passe des utilisateurs ?
Un mot de passe initial peut être défini pour un utilisateur IAM via la console IAM, les outils de ligne de commande ou les API d'IAM. Les mots de passe des utilisateurs n'apparaissent jamais en texte visible après leur mise en service initiale et ne sont jamais affichés ou renvoyés via un appel d'API. Les utilisateurs d'IAM peuvent gérer leurs mots de passe via la page My Password de la console IAM. Cette page est accessible en sélectionnant l'option Security Credentials dans le menu déroulant d'AWS Management Console (affiché dans l'angle supérieur droit).

Q : Est-il possible de définir une politique de gestion des mots de passe pour mes utilisateurs ?
Oui, vous pouvez imposer des mots de passe forts nécessitant, par exemple, un nombre minimum de caractères ou l'utilisation d'au moins un chiffre. Pour en savoir plus, consultez la section « Managing an IAM Password Policy ».

Q : Puis-je définir des quotas d'utilisation au niveau des utilisateurs IAM ?
Non. Toutes les limites concernent le compte AWS dans son ensemble. Ainsi, si votre compte AWS est limité à 20 instances Amazon EC2, tout utilisateur IAM disposant d'autorisations EC2 peut lancer des instances jusqu'à atteindre la limite du compte ; vous ne pouvez pas restreindre les actions d'un utilisateur particulier.


Q : Qu'est-ce qu'un rôle IAM ?
Un rôle est une entité AWS Identity and Access Management (IAM) qui définit un ensemble d’autorisations permettant de demander des services AWS. Les rôles IAM ne sont associés à aucun groupe ou utilisateur spécifique. Ces rôles sont « endossés » par des entités de confiance, telles que des utilisateurs IAM, des applications ou des services AWS comme EC2.

Q : Quels sont les problèmes résolus par les rôles IAM ?
Un rôle IAM vous permet de déléguer l'accès, avec des autorisations définies, à des entités de confiance sans avoir à partager les clés d'accès à long terme. Vous pouvez utiliser les rôles IAM pour déléguer l'accès aux utilisateurs IAM gérés au sein de votre compte, aux utilisateurs IAM gérés sous un autre compte AWS ou à un service AWS tel qu'EC2.

Q : Comment démarrer avec les rôles IAM ?
Vous créez un rôle comme vous créez un utilisateur : vous lui attribuez un nom et y associez une politique. Pour en savoir plus, consultez la section « Creating a Role ».

Q : Comment endosser un rôle IAM ?
Pour assumer un rôle IAM, vous devez appeler les API AssumeRole d'AWS Security Token Service (STS) (c'est-à-dire, AssumeRole, AssumeRoleWithWebIdentity, et AssumeRoleWithSAML). Ces API retournent un identifiant de sécurité temporaire que vous pouvez utiliser pour signer des demandes aux API du service AWS.

Q : Combien de rôles IAM est-il possible d'endosser ?
Il n'y pas de limite au nombre de rôles IAM que vous pouvez endosser. Néanmoins, lorsque vous envoyez une demande aux services AWS, vous ne pouvez utiliser qu'un seul rôle IAM à la fois.

Q : Qui peut utiliser les rôles IAM ?
Tous les clients AWS peuvent utiliser cette fonctionnalité.

Q : Combien coûtent les rôles IAM ?
Les rôles IAM sont gratuits. Vous continuerez à payer uniquement pour les ressources consommées par les rôles de votre compte AWS.

Q : Comment les rôles IAM sont-ils gérés ?
Vous pouvez créer et gérer des rôles IAM via les API IAM, les outils de ligne de commande ou la console IAM, laquelle vous permet de bénéficier d'une interface Web de type pointer-cliquer.

Q : Quelle est la différence entre un rôle IAM et un utilisateur IAM ?
Un utilisateur IAM dispose d'informations d'identification à long terme et peut interagir directement avec les services AWS. Un rôle IAM ne dispose pas d'informations d'identification et ne peut pas envoyer directement de requêtes aux services AWS. Les rôles IAM sont normalement « endossés » par des entités autorisées, telles que des utilisateurs IAM, des applications ou un service AWS comme EC2.

Q : Quelle est la différence entre un rôle IAM et un groupe IAM ?
Un groupe IAM est un ensemble d'utilisateurs IAM qui partagent les mêmes autorisations. Un groupe IAM est principalement un outil pratique permettant de gérer le même jeu d'autorisations pour un ensemble d'utilisateurs IAM. Un rôle IAM est une entité AWS Identity and Access Management (IAM) disposant d'autorisations permettant d'envoyer des requêtes aux services AWS. Les rôles IAM ne peuvent pas envoyer directement des requêtes aux services AWS. Ils sont normalement « endossés » par des entités autorisées telles que les utilisateurs IAM, les applications ou les services AWS comme EC2.

Q : Quand faire appel à un utilisateur IAM, un groupe IAM ou un rôle IAM ?
Un utilisateur IAM dispose d'informations d'identification permanentes et peut interagir directement avec les services AWS. Un groupe IAM est principalement un outil pratique permettant de gérer le même jeu d'autorisations pour un ensemble d'utilisateurs IAM. Un rôle IAM est une entité AWS Identity and Access Management (IAM) disposant d'autorisations permettant d'envoyer des requêtes aux services AWS. Les rôles IAM ne peuvent pas envoyer directement des requêtes aux services AWS. Ils sont normalement « endossés » par des entités autorisées telles que les utilisateurs IAM, les applications ou les services AWS comme EC2.  Les rôles IAM servent à déléguer l'accès au sein ou entre les comptes AWS.

Q : Est-il possible d'ajouter un rôle IAM à un groupe IAM ?
Pas à l'heure actuelle.

Q : Combien de politiques peut-on associer à un rôle IAM ?
Vous pouvez ajouter à un rôle autant politiques que nécessaire, tant que la taille totale de l'ensemble des politiques n'excède pas 10 Ko.

Q : Combien de rôles IAM peut-on créer ?
Votre compte AWS peut contenir au maximum 250 rôles IAM. Si vous avez besoin de davantage de rôles, remplissez le formulaire de demande d'augmentation de limite IAM et soumettez-le avec votre cas d'utilisation. L'augmentation de vos limites pour les rôles IAM sera alors étudiée.

Q : A quels services un rôle IAM peut-il faire appel ?
Votre application peut envoyer des requêtes à tous les services AWS prenant en charge les sessions de rôles.

Q : A quoi correspondent les rôles IAM pour les instances EC2 ?
Les rôles IAM pour les instances EC2 permettent à vos applications s'exécutant sur EC2 d'envoyer des requêtes à des services AWS, notamment Amazon S3, Amazon SQS et Amazon SNS, sans que vous n'ayez à copier les clés d'accès AWS sur chaque instance. Pour en savoir plus, consultez la section « Granting Applications that Run on Amazon EC2 Instances Access to AWS Resources ».

Q : Quelles sont les fonctionnalités offertes par les rôles IAM pour les instances EC2 ?

  • Les rôles IAM fournissent les fonctionnalités suivantes pour les instances EC2 :
  • Identifiants de sécurité temporaires pour envoyer des requêtes à partir des instances EC2 en exécution vers les services AWS
  • Rotation automatique des identifiants de sécurité temporaires
  • Autorisations d'accès aux services AWS octroyées à un niveau granulaire pour les applications s'exécutant sur les instances EC2

Q : Quels sont les problèmes résolus par les rôles IAM pour les instances EC2 ?
Les rôles IAM pour les instances EC2 simplifient la gestion et le déploiement des clés d'accès AWS vers les instances EC2. Cette fonctionnalité vous permet d'associer un rôle AWS IAM (Identity and Access Management) à une instance. Ensuite, votre instance EC2 fournit les identifiants de sécurité temporaires aux applications qui s’exécutent, afin que ces dernières puissent utiliser ces informations d’identification pour envoyer des requêtes aux ressources de service AWS définies dans la fonction, en toute sécurité.

Q : Comment puis-je commencer à utiliser les rôles IAM pour les instances EC2 ?
Pour commencer à utiliser les rôles IAM pour les instances EC2 :

  • Créez un rôle dans IAM.
  • Lancez vos instances EC2 avec le rôle comme paramètre d'entrée.
  • Utilisez dans votre application les clés d'accès AWS associées aux rôles et mises à disposition sur l'instance EC2 pour envoyer les requêtes aux services AWS.

Pour en savoir plus sur les rôles IAM, consultez la section Working with Roles du manuel d'utilisation d'IAM. Pour en savoir plus sur l'utilisation des rôles IAM avec EC2, consultez la section Using IAM roles with Amazon EC2 Instances du manuel Amazon EC2 User Guide.

Q : Puis-je utiliser un même rôle IAM sur plusieurs instances EC2 ?
Oui

Q : Puis-je modifier le rôle IAM utilisé sur une instance EC2 active ?
Non, il n'est pas encore possible de modifier un rôle IAM sur une instance EC2 active. En revanche, vous pouvez modifier les autorisations du rôle IAM associé à une instance active. Dans ce cas, les autorisations mises à jour prennent effet presque immédiatement.

Q : Puis-je associer un rôle IAM à une instance EC2 en cours d'exécution ?
Non. Vous ne pouvez associer qu'un seul rôle IAM par instance EC2.

Q : Puis-je utiliser un rôle IAM avec d'autres services qui lancent des instances EC2 ?
Oui. Auto Scaling et AWS CloudFormation prennent également en charge les rôles IAM. D'autres services viendront s'ajouter par la suite.

Q : Puis-je associer un rôle IAM à un groupe Auto Scaling ?
Oui. Vous pouvez ajouter un rôle IAM en tant que paramètre supplémentaire dans une configuration de lancement Auto Scaling, puis créer un groupe Auto Scaling avec cette configuration de lancement. Toutes les instances EC2 lancées dans un groupe Auto Scaling qui est associé à un rôle IAM seront lancées avec ce rôle comme paramètre d'entrée. Pour en savoir plus, consultez le manuel Auto Scaling Developer Guide.

Q : Peut-on associer plusieurs rôles IAM à une instance EC2 ?
Non. Pour le moment, vous ne pouvez associer qu'un seul rôle IAM à une instance EC2.

Q : Que se passe-t-il si je supprime un rôle IAM associé à une instance EC2 en cours d'exécution ?
Toute application s'exécutant sur l'instance qui utilisait ce rôle se verra immédiatement refuser l'accès.

Q : Peut-on déterminer les rôles IAM qu'un utilisateur IAM peut associer à une instance EC2 ?
Oui. Pour en savoir plus, consultez la section « Granting Applications that Run on Amazon EC2 Instances Access to AWS Resources ».

Q : Quelles sont les autorisations requises pour lancer des instances EC2 avec un rôle IAM ?
Un utilisateur IAM doit avoir reçu deux autorisations distinctes pour lancer sans erreur des instances EC2 avec des rôles IAM :

  • l'autorisation de lancer des instances EC2,
  • l'autorisation d'associer un rôle IAM à des instances EC2.

Q : Qui peut consulter les clés d'accès sur l'instance EC2 ?
Tout utilisateur local sur l'instance peut voir les clés d'accès associées au rôle IAM.

Q : Comment puis-je utiliser un rôle IAM avec mon application sur l'instance EC2 ?
Si vous développez votre application avec le kit de développement logiciel (SDK) AWS, vous n'avez aucune action à effectuer. Le kit SDK AWS utilise automatiquement les clés d'accès AWS qui ont été mises à disposition sur l'instance EC2. Si vous n'utilisez pas le kit SDK AWS, vous pouvez récupérer les clés d'accès à partir du service de métadonnées d'instance EC2. Pour en savoir plus, consultez la section « Granting Applications that Run on Amazon EC2 Instances Access to AWS Resources ».

Q : Comment faire pour configurer une rotation des identifiants de sécurité temporaires sur l'instance EC2 ?
Les identifiants de sécurité temporaires AWS associés à un rôle IAM font l'objet d'une rotation automatique plusieurs fois par jour. De nouveaux identifiants de sécurité temporaires sont générés au plus tard 5 minutes avant l'expiration des précédents.

Q : Puis-je utiliser des rôles IAM avec n'importe quel type d'instance Amazon EC2 ou d'AMI ?
Oui. Les rôles IAM utilisés sur les instances EC2 fonctionnent également dans Virtual Private Cloud, avec des instances ponctuelles et des instances réservées.


Q : En quoi consistent les identifiants de sécurité temporaires ?
Les identifiants de sécurité temporaires comprennent un ID de clé d'accès, une clé d'accès secrète et un jeton de sécurité. Ils sont valides pour une durée spécifiée et pour un ensemble d'autorisations spécifique. Les identifiants de sécurité temporaires sont parfois simplement appelés "jetons". Les jetons peuvent être demandés pour des utilisateurs IAM, ou pour des utilisateurs fédérés que vous gérez dans votre propre répertoire général. Pour en savoir plus, consultez la section « Scenarios for Granting Temporary Access ».

Q : Quels sont les avantages des identifiants de sécurité temporaires ?
Les identifiants de sécurité temporaires permettent :

  • Ils vous permettent d'étendre vos annuaires internes d'utilisateurs en autorisant la fédération pour AWS. Vos employés et applications peuvent ainsi accéder en toute sécurité aux API des services AWS, sans qu'il soit nécessaire de créer des identités AWS spécialement pour eux.
  • Vous pouvez demander des identifiants de sécurité temporaires pour un nombre illimité d'utilisateurs fédérés.
  • Vous configurez un délai d'expiration pour les identifiants de sécurité temporaires et renforcez ainsi la sécurité au niveau des accès aux API des services AWS via des périphériques mobiles, notamment dès lors qu'il existe un risque de perte.

Q : Comment puis-je demander des identifiants de sécurité temporaires pour des utilisateurs fédérés ?
Vous pouvez appeler les API STS GetFederationToken ou AssumeRole.

Q : Comment un utilisateur IAM peut-il demander des identifiants de sécurité temporaires pour sa propre utilisation ?
Les utilisateurs IAM peuvent demander des identifiants de sécurité temporaires pour leur propre utilisation en appelant l'API AWS STS GetSessionToken. Le délai d'expiration par défaut de ces informations d'identification temporaires est de 12 heures. Il peut être réduit à 1 heure ou augmenté à 36 heures.

Les informations d'identification temporaires peuvent également être utilisées avec l'accès aux API protégé par l'authentification multi-facteurs (MFA).

Q : Comment les identifiants de sécurité temporaires peuvent-ils être utilisés pour appeler les API des services AWS ?
Les identifiants de sécurité temporaires sont conçus pour requérir des modifications de codes minimales aux applications qui appellent les API du service AWS. Il n'y a aucune modification aux API du service AWS – simplement :

  • Utilisez les AccessKeyID et SecretAccessKey pour signer les demandes d'API du service AWS comme précédemment.
  • Passez le jeton comme un paramètre supplémentaire pour chaque demande faite aux API de service AWS. Pour Amazon S3 : via l'en-tête HTTP "x-amz- security-token". Pour les autres services AWS : via le paramètre "SecurityToken".

Q : Quels sont les services AWS qui acceptent les identifiants de sécurité temporaires ?
Pour connaître la liste complète de ces services, consultez la section « Using Temporary Security Credentials to Access AWS ».

Q : Les identifiants de sécurité temporaires sont-ils pris en charge dans toutes les régions ?
Actuellement, nos clients peuvent uniquement demander des jetons via le service de gestion des jetons de sécurité AWS (STS, Security Token Service) dans la région us-east-1. Cependant, ces informations d'identification peuvent être utilisées pour accéder aux services AWS qui prennent en charge l'authentification basée sur les jetons dans toutes les régions des centres de données AWS.

Q : Quelle est la taille maximum de la politique d’accès pouvant être spécifiée lors de la demande d’identifiants de sécurité temporaires GetFederationToken ou AssumeRole) ?
450 octets compressés.

Q : Un identifiant de sécurité temporaire peut-il être annulé avant son expiration ?
Non. Lorsque vous demandez des informations d'identification temporaires, nous vous recommandons de procéder comme suit :

  • Lors de la création des identifiants de sécurité temporaires, définissez le délai d'expiration approprié en fonction de votre application.
  • Puisque les autorisations du compte racine ne peuvent pas être restreintes, nous vous recommandons d'utiliser un utilisateur IAM et non pas un compte racine pour créer des identifiants de sécurité temporaires. Vous pouvez ensuite annuler les autorisations accordées à l'utilisateur IAM à l'origine de la demande initiale. Cette action annulera presque immédiatement les privilèges pour tous les identifiants de sécurité temporaires émis par cet utilisateur IAM

Q : Un identifiant de sécurité temporaire peut-il être réactivé ou son délai d'expiration prolongé ?
Non. Il est souhaitable de vérifier de manière proactive le délai d'expiration et de demander un nouvel identifiant de sécurité temporaire avant l'expiration de l'ancien. Ce processus de rotation est géré automatiquement lorsque les identifiants de sécurité temporaires sont utilisés dans le cadre de rôles pour les instances EC.

Q : Les identifiants de sécurité temporaires sont-ils pris en charge dans toutes les régions ?
Actuellement, les clients peuvent demander des jetons AWS Security Token Service dans les régions USA Est, AWS GovCloud (USA) et Chine (Pékin). Les identifiants de sécurité temporaires demandés depuis la région USA Est peuvent être utilisés dans toutes les régions, à l'exception d'AWS GovCloud et de la Chine. Les informations d'identifications provenant d'AWS GovCloud et de Chine peuvent uniquement être utilisées dans leur région d'origine.


 


Q : Qu'est-ce que la fédération des identités ?
La fédération des identités permet à des utilisateurs d'un répertoire existant d'accéder aux ressources présentes au sein de votre compte AWS, vous permettant ainsi de gérer plus facilement vos utilisateurs en conservant leurs identités dans un lieu unique. A l'aide d'IAM, vous pouvez demander des identifiants de sécurité temporaires pour les identités de votre entreprise, ce qui leur permet d'accéder à AWS Management Console et aux API du service AWS, sans que vous ayez besoin de créer des utilisateurs IAM pour chacune d'elles.

Q : Que sont les utilisateurs fédérés ?
Les utilisateurs fédérés sont des utilisateurs gérés en dehors d'AWS dans votre répertoire général, mais qui disposent d'un accès à votre compte AWS à l'aide d'identifiants de sécurité temporaires. Ils diffèrent des utilisateurs IAM qui sont créés et maintenus à jour dans votre compte AWS.

Q : Proposez-vous la prise en charge de SAML ?
Oui, AWS prend en charge le standard Security Assertion Markup Language (SAML) 2.0.

Q : Quels sont les profils SAML pris en charge par AWS ?
Le point de terminaison d'authentification unique (SSO) d'AWS prend en charge le profil SAML WebSSO basé sur le binding HTTP-POST initié par le fournisseur d'identités. Cela permet à un utilisateur fédéré de se connecter à AWS Management Console à l'aide d'une assertion SAML. Une assertion SAML peut également être utilisée pour demander des identifiants de sécurité temporaires à l'aide de l'API AssumeRoleWithSAML. Pour plus d'informations, consultez la section Creating Temporary Security Credentials for SAML Federation.

Q : Les utilisateurs fédérés peuvent-ils accéder aux API d'AWS ?
Oui. Vous pouvez demander par programme des identifiants de sécurité temporaires pour fournir à vos utilisateurs fédérés un accès direct et sécurisé aux API d'AWS. Nous fournissons un exemple d'application qui montre comment procéder pour mettre en œuvre la fédération des identités, et ainsi permettre aux utilisateurs gérés dans Microsoft Active Directory d'accéder aux API de services AWS. Pour plus d'informations, consultez la section Using Temporary Security Credentials.

Q : Les utilisateurs fédérés peuvent-ils accéder à AWS Management Console ?
Oui. Attribuer un accès fédéré à la console requiert des identifiants de sécurité temporaires, comme cela est décrit dans la section Giving Federated Users Direct Access to the AWS Management Console du manuel Using Temporary Security Credentials. Il existe plusieurs manières de procéder.

La première consiste à demander des identifiants de sécurité temporaires par programmation (par ex., GetFederationToken ou AssumeRole) pour vos utilisateurs fédérés, et à inclure ces identifiants dans la requête de connexion à AWS Management Console. Une fois que vous avez authentifié un utilisateur et que vous lui avez attribué des identifiants de sécurité temporaires, vous générez un jeton de connexion utilisé par le point de terminaison d'authentification unique AWS. Les actions de l'utilisateur dans la console sont limitées par la politique de contrôle d'accès associée aux identifiants de sécurité temporaires.

Vous pouvez également soumettre une assertion SAML directement pour la connexion à AWS (https://signin.aws.amazon.com/saml). Les actions de l'utilisateur dans la console seront limitées par la politique de contrôle d'accès associée au rôle IAM endossé à l'aide de l'assertion SAML. Pour plus de détails, consultez Giving Console Access Using SAML.

Utiliser l'une ou l'autre de ces méthodes permettra à un utilisateur fédéré d'accéder à la console sans avoir à se connecter en fournissant un nom d'utilisateur et un mot de passe. Nous fournissons un exemple d'application qui montre comment procéder pour mettre en œuvre la fédération des identités et ainsi permettre aux utilisateurs gérés dans Microsoft Active Directory d'accéder à AWS Management Console. Pour plus d'informations, consultez également la section Giving Federated Users Direct Access to the AWS Management Console du manuel Using Temporary Security Credentials.

Q : Quels sont les services AWS qui acceptent les utilisateurs fédérés ?
La plupart des services AWS sont désormais accessibles par les utilisateurs fédérés. Pour la liste complète des services concernés, consultez le guide Utilisation d'identifiants de sécurité temporaires. D'autres services AWS se verront ajouter la prise en charge des utilisateurs fédérés à l'avenir.

Q : Comment puis-je déterminer les actions qu'un utilisateur fédéré est autorisé à effectuer lorsqu'il est connecté à la console ?
Lorsque vous demandez des identifiants de sécurité temporaires pour votre utilisateur fédéré à l'aide d'une API AssumeRole, vous pouvez, de manière optionnelle, spécifier une politique d'accès lors de la demande. Les privilèges de l'utilisateur fédéré se trouvent à l'intersection des permissions données par la politique d'accès spécifiée lors de la demande, et de la politique d'accès rattachée au rôle IAM qui a été endossé. La politique d'accès spécifiée lors de la demande ne peut pas augmenter le niveau de privilèges associé au rôle IAM endossé. Lorsque vous demandez des identifiants de sécurité temporaires pour votre utilisateur fédéré à l'aide d'une API GetFederationToken, vous devez spécifier une politique de contrôle d'accès lors de la demande. Les privilèges de l'utilisateur fédéré se trouvent à l'intersection des permissions données par la politique d'accès spécifiée lors de la demande, et de la politique d'accès rattachée au rôle IAM qui a été utilisé pour effectuer la demande. La politique d'accès spécifiée lors de la demande ne peut pas augmenter le niveau de privilèges associé au rôle IAM utilisé pour effectuer la demande. Ces permissions d'utilisateur fédéré s'appliquent tant à l'accès aux API qu'aux actions entreprises au sein d'AWS Management Console.

Q : De quelles autorisations un utilisateur fédéré a-t-il besoin pour utiliser la console ?
L'utilisateur a besoin des permissions requises pour accéder aux API des services AWS appelés par AWS Management Console. Les permissions généralement nécessaires pour accéder aux services AWS sont documentées dans le guide Utilisation d'identifiants de sécurité temporaires.

Q : Comment puis-je contrôler la durée pendant laquelle un utilisateur fédéré a accès à la console ?
En fonction de l'API utilisée pour créer les identifiants de sécurité temporaires, vous pouvez spécifier une durée limite de session de15 minutes à 36 heures (pour GetFederationToken et GetSessionToken) et de 15 à 60 minutes (pour les API AssumeRole) pendant laquelle l'utilisateur fédéré peut accéder à la console. Lorsque la session expire, l'utilisateur doit en demander une nouvelle en retournant dans votre page Web, dans laquelle vous pouvez lui attribuer un nouvel accès.

Q : Que se passe-t-il lorsque la session de la console de fédération des identités expire ?
L'utilisateur voit s'afficher un message indiquant que la session de console a expiré et qu'il doit en demander une nouvelle. Vous pouvez spécifier une URL pour rediriger l'utilisateur vers la page Web de votre intranet local sur laquelle il peut demander une nouvelle session. Vous ajoutez cette URL lorsque vous spécifiez un paramètre d'émetteur dans le cadre de votre requête de connexion. Pour plus d'informations, consultez Donner aux utilisateurs fédérés un accès direct à AWS Management Console.

Q : A combien d'utilisateurs fédérés puis-je accorder l'accès à AWS Management Console ?
Il n'y a pas de limite au nombre d'utilisateurs fédérés qui peuvent accéder à la console.

Q : Qu'est-ce que la fédération des identités Web ?
La fédération des identités Web vous permet de créer des applications mobiles reposant sur le cloud et utilisant des fournisseurs d'identités publics tels que Login with Amazon, Facebook ou Google à des fins d'authentification. La fédération des identités facilite l'intégration avec les comptes Amazon.com, Facebook ou Google pour la connexion à vos applications, sans que vous n'ayez à écrire du code côté serveur ou à communiquer des informations d'identification de sécurité AWS à long terme.

Pour en savoir plus sur la fédération des identités Web et vous lancer, consultez la section Creating Temporary Security Credentials for Mobile Apps Using Public Identity Providers du manuel AWS STS.

Q : Quels sont les fournisseurs d'identités pris en charge par la fédération des identités Web ?
La fédération des identités Web prend en charge Login with Amazon, Facebook et Google. Nous envisagerons la prise en charge d'autres fournisseurs d'identités pour une version ultérieure..

Q : Comment activer la fédération des identités avec des comptes Amazon.com, Facebook ou Google ?
Voici les étapes élémentaires à effectuer pour activer la fédération des identités à l'aide d'un des fournisseurs d'identités Web pris en charge :

  1. Vous vous inscrivez en tant que développeur auprès du fournisseur d'identités.
  2. Dans AWS, vous créez un ou plusieurs rôles IAM.
  3. Au sein de votre application, vous authentifiez vos utilisateurs à l'aide de Login with Amazon, Facebook ou Google.
  4. Vous faites également en sorte que tout appel non signé vers l'API AssumeRoleWithWebidentity entraîne la demande d'identifiants de sécurité temporaires pour votre application.
  5. Avec ces identifiants de sécurité temporaires renvoyés par l'API AssumeRoleWithWebidentity, votre application peut envoyer des requêtes signées vers les API AWS.
  6. Votre application met en cache ces identifiants de sécurité temporaires afin que vous n'ayez pas à en redemander à chaque fois que l'application doit envoyer une requête à AWS.

Pour en savoir plus sur ces différentes étapes, consultez la section Process for Using Web Identity Federation for Mobile Apps du manuel AWS STS.


Q : La facturation AWS indique-t-elle l’utilisation cumulée et une ventilation des coûts par utilisateur ?
Non, ces fonctionnalités ne sont actuellement pas prises en charge.

Q : Le service IAM est-il payant ?
Non, il s'agit d'une fonction de votre compte AWS fournie gratuitement.

Q : Qui paie les frais d'utilisation générés par les utilisateurs dans le cadre d'un compte AWS ?
Le propriétaire du compte AWS est tenu responsable de toutes les utilisations, données et ressources exploitées dans le cadre de son compte AWS. Il doit en assurer le contrôle.

Q : Les activités facturables des utilisateurs sont-elles consignées dans les données d’utilisation AWS ?
Pas à l'heure actuelle. Ceci est prévu pour une version ultérieure.

Q : Quelle est la différence entre IAM et la facturation consolidée ?
IAM et la facturation consolidée sont des fonctions complémentaires. La facturation consolidée vous permet de consolider le paiement pour des comptes Amazon Web Services (AWS) multiples au sein de votre société en désignant un seul compte payant. La portée de IAM n'est pas en rapport avec la facturation consolidée. Un utilisateur existe dans les limites d'un compte AWS et ne dispose pas des autorisations parmi les comptes associés. Pour plus de détails, référez-vous au Guide de facturation consolidée AWS.

Q : Un utilisateur peut-il accéder aux informations de facturation des comptes AWS ?
Oui, mais uniquement si vous l'y avez autorisé.  Pour que des utilisateurs IAM puissent consulter les informations de facturation, vous devez d'abord leur octroyer l'accès à la page d'activité de votre compte et/ou aux rapports d'utilisation. Consultez la section « Controlling User Access to your AWS Accounts billing information ».


Q : Comment les autorisations d’utilisateurs fonctionnent-elles ?
Les utilisateurs comme les groupes peuvent se voir accorder des autorisations par le biais d'une politique. Par défaut, les groupes n'ont pas d'autorisations ; un utilisateur disposant des autorisations appropriées (utilisateur IAM ou racine) doit octroyer explicitement des autorisations à un autre utilisateur IAM.

Q : Comment les autorisations basées sur un groupe fonctionnent-elles ?
Vous pouvez inclure certains types d'actions et de ressources EC2 et RDS dans les politiques que vous définissez pour les utilisateurs et rôles IAM. Ces autorisations de niveau ressource vous permettent de contrôler des éléments tels que les utilisateurs autorisés à lancer/arrêter une instance de base de données ou EC2 spécifique. Pour en savoir plus sur quelles ressources et quels types d'action peuvent être inclus dans les politiques IAM, consultez la documentation relative à EC2 et à RDS.

Q : Comment les autorisations d'utilisateurs et de rôles fonctionnent-elles avec les politiques basées sur les ressources d'Amazon SQS et d'Amazon SNS ?
Les autorisations de rôles et d'utilisateurs IAM sont évaluées parallèlement aux politiques basées sur les ressources d'Amazon SQS.  Si un type de politique accorde l'accès (sans le refuser explicitement), l'action est autorisée.

Q : Puis-je autoriser des utilisateurs IAM à accéder ou à modifier les informations de niveau compte (par exemple, moyen de paiement, coordonnées ou historique de facturation) ?
La seule fonction d'administration du compte que vous pouvez déléguer aux utilisateurs IAM est la consultation des données de facturation AWS.

Q : Qui est autorisé à consulter ou à modifier les identifiants de clé d'accès du compte AWS ?
Seul le propriétaire du compte peut consulter les clés d'accès du compte. Le propriétaire du compte AWS et les utilisateurs IAM auxquels l'autorisation appropriée a été explicitement octroyée peuvent gérer les clés d'accès des utilisateurs IAM dans le cadre du compte.

Q : Les utilisateurs IAM peuvent-ils accéder aux ressources à partir d'autres comptes AWS ?
Oui, si des accès inter-comptes aux API ont été activés via des rôles IAM. Pour en savoir plus, consultez la section « Roles ».


Q : Qu'est-ce que le simulateur de politique IAM ?
Le simulateur de politique IAM est un outil vous permettant de tester les effets des politiques de contrôle d'accès IAM avant de les appliquer dans l'environnement de production.

Q : Quels sont les problèmes réglés par le simulateur de politique ?
Le simulateur de politique facilite la vérification et le dépannage des permissions. Auparavant, il était nécessaire de rédiger les politiques et de les envoyer dans l'environnement de production avant de pouvoir tester leurs effets.

Q : Qui peut utiliser le simulateur de politique ?
Le simulateur de politique est disponible pour tous les clients AWS.

Q : Quel est le coût du simulateur de politique ?
Le simulateur de politique est disponible gratuitement.

Q : Comment bénéficier du service ?
Rendez-vous sur https://policysim.aws.amazon.com ou cliquez sur le lien de la console IAM sous « More to Explore ». Sélectionnez ou indiquez la politique que vous souhaitez évaluer, choisissez des actions dans la liste des services AWS, et cliquez sur le bouton pour effectuer une simulation et découvrir si la politique autorisera ou non les utilisateurs à effectuer les actions sélectionnées. Pour en savoir plus sur le simulateur de politique IAM, regardez notre vidéo de mise en route ou plongez directement au cœur de la documentation.

Q : Quels sont les types de politiques pris en charge par le simulateur de politique ?
Le simulateur de politique prend en charge les politiques récemment créées, ainsi que les politiques existantes attachées aux utilisateurs, aux groupes ou aux rôles. Vous pouvez également effectuer une simulation pour vérifier si des politiques au niveau des ressources autorisent l'accès à une ressource en particulier. Le simulateur de politique ne prend pas en charge les politiques basées sur les ressources, c'est-à-dire celles directement associées à des compartiments S3, des files d'attente SQS et des rubriques SNS.

Q : Si je modifie une politique dans le simulateur de politique, ces modifications sont-elles répercutées dans l'environnement de production ?
Non. Pour appliquer les changements à l'environnement de production, copiez la politique que vous avez modifiée dans le simulateur de politique et attachez-la à l'utilisateur, au groupe ou au rôle IAM désiré.

Q : Le simulateur de politique sera-t-il intégré dans la console ?
Oui, cela est prévu pour une version ultérieure.


Q : Comment les utilisateurs se connectent-ils ?
Un utilisateur doit s'identifier à l'URL de connexion du compte en utilisant son nom d'utilisateur et son mot de passe IAM. L'URL de connexion figure dans le tableau de bord de la console IAM et doit être transmise par l'administrateur système du compte AWS à l'utilisateur IAM.

Q : Qu'est-ce qu'un alias de compte AWS ?
L'alias de compte est un nom que vous définissez pour faciliter l'identification de votre compte. Vous pouvez créer un alias en utilisant les API d'IAM, les Outils de ligne de commande, ou via la console IAM. Vous pouvez avoir un alias par compte AWS.

Q : L'utilisateur doit-il toujours utiliser le lien direct ?
La première fois qu'un utilisateur se connecte, il doit utiliser l'URL spécifique du compte. Après cela, l'URL spécifique du compte sera stockée sous forme de cookie dans le navigateur de l'utilisateur. Ceci permet à un utilisateur de retourner sur http://aws.amazon.com et de cliquer sur le lien de connexion à AWS Management Console pour se connecter. Si l'utilisateur efface les cookies de son navigateur ou utilise un autre navigateur, alors il doit de nouveau indiquer l'URL spécifique du compte.

Q : A quels sites AWS mes utilisateurs peuvent-ils accéder ?
Les utilisateurs peuvent se connecter aux sites AWS suivants :

  • AWS Management Console
  • Forums AWS
  • AWS Support
  • Les sections relatives à l’activité du compte et aux rapports d’utilisation au sein des pages concernant votre compte sur le portail AWS. Toutes les autres sections concernant votre compte sont uniquement accessibles par le compte AWS racine.

Q : Les utilisateurs peuvent-ils se connecter aux sites marchands d'Amazon ?
Non. Les utilisateurs créés avec IAM sont uniquement reconnus par les services et applications AWS.

Q : Une API d'authentification permet-elle de vérifier les connexions des utilisateurs ?
Non. Il n'y a pas de moyen via un programme pour vérifier les connexions d'utilisateurs.

Q : Les utilisateurs SSH d'instances EC2 peuvent-ils se connecter en utilisant leur nom d'utilisateur et mot de passe AWS ?
Non. Les informations d'identification de sécurité créées avec IAM ne prennent pas en charge l'authentification directe des utilisateurs sur les instances EC2 du client. Il incombe au client de gérer les informations d'identification SSH EC2 au sein de la console EC2.


Q : Que se passe-t-il si un utilisateur essaie d'accéder à un service qui n'a pas encore été intégré à IAM ?
Le service renvoie une erreur de type « access denied » (accès refusé).

Q : Les actions AWS Identity and Access Management sont-elles consignées à des fins d'audit ?
Oui. Vous pouvez en apprendre plus sur la consignation AWS via le tout nouveau service AWS CloudTrail.

Q : Y a-t-il une distinction entre les personnes et les agents logiciels en tant qu'entités AWS ?
Non, ces deux entités sont traitées comme des utilisateurs dotés d'informations d'identification de sécurité et d'autorisations. Cependant, seules les personnes utilisent un mot de passe dans AWS Management Console.

Q : Les utilisateurs font-ils appel aux services AWS Support et Trusted Advisor ?
Oui, les utilisateurs IAM ont la possibilité de créer et de modifier des cas de support. Ils peuvent également exploiter les fonctions Trusted Advisor.

Q : Des quotas sont-ils associés par défaut à IAM ?
Oui, par défaut, votre compte AWS dispose de quotas fixés au départ pour toutes les entités IAM. Pour en savoir plus, consultez la section « Limitations on IAM Entities ».

Ces quotas sont susceptibles d'être modifiés. Si vous avez besoin que ces quotas soient revus à la hausse, vous pouvez renseigner le formulaire Augmentation des limites de service en vous rendant sur la page Contactez-nous et en sélectionnant « Groupes et utilisateurs IAM ».

Q : Qu'est-ce qu'AWS MFA ?
AWS Multi-Factor Authentication (AWS MFA) fournit un niveau de sécurité supplémentaire que vous pouvez appliquer à votre environnement AWS. Vous pouvez activer AWS MFA pour votre compte AWS et pour les utilisateurs individuels d'AWS Identity and Access Management (IAM) que vous avez créés dans le cadre de votre compte.

Q : Comment fonctionne AWS MFA ?
AWS MFA utilise un dispositif d'authentification qui génère au hasard et en continu des codes d'authentification de six chiffres à utilisation unique. Pour s'authentifier à l'aide d'un dispositif AWS MFA, il existe deux méthodes principales :

Pour ceux qui utilisent AWS Management Console : Quand AWS MFA est activé, lorsque l'utilisateur se connecte à un site AWS, il est invité à saisir son nom d'utilisateur et son mot de passe (le premier facteur – ce qu'il sait), ainsi qu'un code d'authentification pour son dispositif AWS MFA (le second facteur – ce qu'il a). Tous les sites Web AWS qui nécessitent une identification, comme AWS Management Console, sont intégrés à AWS MFA. Vous pouvez également utiliser AWS MFA avec l'option de suppression sécurisée Amazon S3 pour une protection supplémentaire de vos versions stockées sur Amazon S3.

Pour ceux qui utilisent les API AWS : Vous pouvez appliquer l'authentification MFA en ajoutant des restrictions MFA aux politiques IAM. Pour accéder aux API et ressources ainsi protégées, les développeurs peuvent utiliser des identifiants de sécurité temporaires et transmettre les paramètres MFA facultatifs dans leurs requêtes à l'API AWS STS (Security Token Service, service qui octroie des identifiants de sécurité temporaires). Les identifiants de sécurité temporaires validés par MFA servent à appeler les API et ressources protégées par MFA.

Q : Comment bénéficier du service AWS MFA ?
Pour cela, il vous suffit d'effectuer les deux étapes suivantes :

Obtenir un dispositif d'authentification. Vous avez deux options:

– Vous pouvez acheter un dispositif matériel qui est compatible avec le service AWS MFA auprès de Gemalto, un fournisseur tiers.
– Vous pouvez installer une application compatible AWS MFA sur un appareil tel que votre smartphone.

Consultez la page MFA pour savoir comment acheter un dispositif MFA matériel ou virtuel.

Une fois équipé d'un dispositif d'authentification, vous devez l'activer. Vous activez un dispositif AWS MFA pour votre compte AWS ou vos utilisateurs IAM dans la console IAM. Vous pouvez aussi utiliser la CLI IAM pour l'activer pour un utilisateur IAM.

Q : Y-a-t-il des frais associés à l'utilisation d'AWS MFA ?
AWS ne facture pas de frais supplémentaires pour l'utilisation d'AWS MFA avec votre compte AWS. Cependant, si vous voulez utiliser un dispositif d'authentification physique, alors il faudra acheter un dispositif d'authentification qui est compatible avec AWS MFA provenant de Gemalto, un fournisseur tiers. Pour plus de détails, veuillez vous rendre sur le site Web de Gemalto.

Q : Puis-je utiliser plusieurs dispositifs d'authentification actifs pour mon compte AWS ?
Oui. Avec l'introduction de AWS Identity and Access Management (IAM), chaque utilisateur IAM peut avoir son propre dispositif d'authentification.

Q : Puis-je utiliser mon dispositif d'authentification pour différents comptes AWS ?
Non. Le dispositif d'authentification identifie spécifiquement un seul utilisateur qui est le propriétaire du dispositif d'authentification. Chaque utilisateur IAM peut avoir son propre dispositif d'authentification mais les utilisateurs sont limités à un compte AWS individuel. Si vous disposez d'une application compatible TOTP installée sur votre smartphone, alors vous pouvez créer de multiples dispositifs MFA virtuels. Chaque dispositif MFA virtuel peut être utilisé avec un compte AWS individuel ou un utilisateur IAM.

Q : Je possède déjà un dispositif d'authentification sur mon lieu de travail ou pour un autre service que j'utilise, puis-je réutiliser ce dispositif avec AWS MFA ?
Non. AWS MFA compte sur le fait de connaître un secret unique associé avec votre dispositif d'authentification afin de prendre en charge son utilisation. En raison des contraintes de sécurité qui obligent que ces secrets ne soient jamais partagés entre des parties multiples, AWS MFA ne peut pas prendre en charge l'utilisation de votre dispositif d'authentification existant. Seul un dispositif d'authentification compatible acheté auprès de Gemalto peut être utilisé avec AWS MFA.

Q : Je rencontre des problèmes pour passer la commande d'un dispositif d'authentification à partir du site Web du fournisseur tiers Gemalto. Où puis-je trouver de l'aide ?
Le service client de Gemalto vous aidera avec plaisir.

Q : J'ai reçu un dispositif d'authentification défectueux ou endommagé du fournisseur tiers Gemalto. Où puis-je trouver de l'aide ?
Le service client de Gemalto vous aidera avec plaisir.

Q : Je viens de recevoir un dispositif d'authentification du fournisseur tiers Gemalto. Que dois-je faire ?
Il vous suffit simplement d'activer le dispositif afin d'activer AWS MFA pour votre compte AWS. Cliquez ici pour utiliser la console IAM pour réaliser cette tache.

Q : Qu'est ce qu'un dispositif MFA virtuel ?
Un dispositif MFA virtuel est une entrée créée dans une application logiciel compatible TOTP qui peut générer des codes d'authentification à six chiffres. L'application logiciel peut être exécutée sur n'importe quel dispositif matériel, tel qu'un smartphone.

Q : Quelles sont les différences entre un dispositif MFA virtuel et les dispositifs MFA physiques ?
Les dispositifs MFA virtuels utilisent les mêmes protocoles que les dispositifs MFA physiques. Les dispositifs MFA virtuels sont basés sur un logiciel, et peuvent être exécutés sur vos appareils existants tel qu'un smartphone. La plupart des applications MFA virtuelles vous permettent aussi d'activer plus d'un dispositif MFA virtuel ce qui les rend plus pratiques que les dispositifs MFA physiques.

Q : Quelles sont les applications MFA virtuelles prises en charge avec AWS MFA¬?
Les applications qui génèrent des codes d'authentification conformes à la norme TOTP, telles que l'application AWS Virtual MFA, peuvent être utilisées avec AWS MFA. Nous prenons en charge la mise en service des dispositifs MFA virtuels soit en scannant automatiquement un code QR avec l'appareil photo du dispositif, soit par le biais d'une entrée source manuelle dans l'application MFA virtuelle.

Consultez la page MFA pour connaître la liste des applications MFA virtuelles prises en charge.

Q : Qu'est-ce qu'un code QR ?
Un code QR est une abréviation pour code Quick Response et est un code barre bidimensionnel qui est lisible par les lecteurs de code barre dédiés et la majorité des appareil photo de téléphones. Le code consiste en modules noirs arrangés en forme de carré sur un fond blanc. Le code QR contient les informations de configuration de sécurité requises pour acquérir un dispositif MFA virtuel dans votre application MFA virtuelle.

Q : Comment mettre en service un nouveau dispositif MFA virtuel ?
Un nouveau dispositif MFA virtuel peut être configuré dans la console IAM pour vos utilisateurs IAM ainsi que pour votre compte AWS. Vous pouvez aussi utiliser la commande iam-virtualmfadevicecreate dans la CLI IAM ou l'API CreateVirtualMFADevice pour mettre en service de nouveaux dispositifs MFA virtuels dans le cadre de votre compte. L'API iam-virtualmfadevicecreate et CreateVirtualMFADevice renvoie les informations de configuration requises, nommées une source, pour amorcer le dispositif MFA virtuel dans votre application compatible AWS MFA. Vous pouvez soit autoriser à vos utilisateurs IAM les permissions pour appeler cet API directement ou effectuer l'acquisition initiale en leur nom.

Q : Comment dois-je gérer et distribuer le matériel source pour les dispositifs MFA virtuels ?
Vous devez traiter le matériel source comme tout autre élément confidentiel (par exemple, les clés secrètes et mots de passe AWS).

Q : Comment puis-je activer un utilisateur IAM pour gérer mes dispositifs MFA virtuels dans le cadre de mon compte ?
Donner à l’utilisateur IAM la permission d’appeler l’API CreateVirtualMFADevice. Cet API peut être utilisé pour acquérir de nouveaux dispositifs MFA virtuels.

Q : Où puis-je activer AWS MFA ?
Vous activez AWS MFA pour votre compte AWS et vos utilisateurs IAM dans la console IAM, la CLI IAM ou via des appels directs d'API.

Q : De quelles informations aurai-je besoin pour activer mon dispositif d'authentification ?
Si vous activez le dispositif MFA avec la console IAM alors vous n'aurez besoin que du dispositif. Si vous utilisez le CLI IAM ou l'API IAM alors vous aurez besoin de la chose suivante :

1. Le numéro de série du dispositif d'authentification. Le numéro de série est différent selon qu'il s'agit d'un dispositif matériel ou virtuel :

– Dispositif MFA matériel : Le numéro de série figure sur l'étiquette code-barres au dos du dispositif.
– Dispositif MFA virtuel : Le numéro de série est la valeur renvoyée lors de l'exécution de la commande iam-virtualmfadevicecreate dans la CLI IAM. ou en appelant l'API CreateVirtualMFADevice.

2. Les deux codes d'authentification consécutifs affichés sur le dispositif d'authentification.

Q : Mon dispositif d'authentification semble fonctionner normalement, mais je ne peux pas l'activer. Que dois-je faire ?
Veuillez nous contacter pour obtenir de l'aide.

Q : Si j'active AWS MFA pour mon compte AWS ou mes utilisateurs IAM, ces derniers doivent-ils toujours saisir un code d'authentification pour se connecter à toutes les fonctionnalités AWS ?
Oui. AWS prend en charge SSO (inscription seule) ce qui signifie que lorsque vous vous connectez sur n'importe quel site AWS, vous vous connectez sur tous les sites AWS. Ceci signifie que votre compte AWS ou n'importe quel utilisateur IAM a un dispositif MFA qui lui est attribué, ensuite il aura besoin d'utiliser ce dispositif d'authentification chaque fois qu'il se connecte.

Q : Si j'active AWS MFA pour mon compte AWS ou mes utilisateurs IAM, ces derniers auront-ils toujours besoin d'un code d'authentification pour se connecter au portail AWS ou à AWS Management Console ?
Oui. Le compte AWS et vos utilisateurs IAM devront avoir leur dispositif MFA avec eux quand ils voudront se connecter à n'importe quel site AWS.

Si le dispositif d'authentification associé au compte AWS est endommagé, perdu, volé ou cesse de fonctionner, vous devrez nous contacter afin que nous vous aidions à désactiver la fonction AWS MFA pour votre compte. Ceci vous permettra de vous connecter temporairement à AWS en n'utilisant que votre nom d'utilisateur et votre mot de passe pour le compte AWS.

Si vos utilisateurs IAM perdent ou abîment le dispositif d'authentification, s'il est volé ou s'il cesse de fonctionner, vous pouvez désactiver la fonction AWS MFA vous-même en utilisant la console IAM ou la CLI IAM.

Q : Si j'active AWS MFA pour mon compte AWS ou mes utilisateurs IAM, ces derniers doivent-ils toujours saisir un code MFA pour appeler directement des API AWS ?
Non, ce n'est pas nécessaire. Toutefois, ils devront saisir un code MFA s'ils envisagent d'appeler des API sécurisées dont l'accès est protégé par MFA.

Si vous appelez des API AWS à partir de votre compte racine ou avec les clés d'accès d'un utilisateur IAM, vous n'avez pas besoin de saisir de code MFA. Pour des raisons de sécurité, AWS recommande de supprimer les clés d'accès de votre compte racine et d'appeler plutôt les API AWS avec des identifiants IAM.

Q : Comment me connecter au portail AWS et à AWS Management Console en utilisant mon dispositif d'authentification ?
Effectuez ces deux étapes :

Si vous vous connectez sous un compte AWS, connectez-vous comme d'habitude avec votre nom d'utilisateur et votre mot de passe quand vous y êtes invité. Pour vous connecter en tant qu'utilisateur IAM, utilisez l'URL spécifique au compte et fournissez votre nom d'utilisateur et votre mot de passe quand vous y êtes invité.

Sur la page suivante, saisissez le code d'identification à six chiffres qui apparaît actuellement sur votre dispositif d'authentification.

Q : La fonction AWS MFA a-t-elle un effet sur la manière dont j'accède aux API des services AWS ?
AWS MFA modifie la façon dont les utilisateurs IAM accèdent aux API de service AWS uniquement si le ou les administrateurs du compte décident d'activer l'accès aux API protégé par MFA. Les administrateurs peuvent activer cette fonction afin d'ajouter une couche de sécurité supplémentaire pour l'accès aux API sensibles en exigeant que les appelants s'authentifient à l'aide d'un dispositif AWS MFA. Pour en savoir plus, étudiez de manière plus approfondie la documentation sur l'accès aux API protégé par MFA.

Parmi les autres exceptions figurent les API S3 de suppression d'objets (DELETE) et de gestion de versions des compartiments (PUT et GET), lesquelles vous permettent de demander que la suppression ou la modification de l'état du contrôle de version de votre compartiment requière un code d'authentification supplémentaire. Pour en savoir plus, lisez attentivement la documentation S3 concernant la configuration d'un compartiment avec l'option de suppression MFA.

Dans tous les autres cas, AWS MFA ne change actuellement pas la manière dont vous accédez aux API de service AWS.

Q : Puis-je utiliser un code d'authentification plus d'une fois¬?
Non. Pour des raisons de sécurité, chaque code d'authentification ne peut être utilisé qu'une fois.

Q : Il m'a récemment été demandé de resynchroniser mon dispositif d'authentification parce que mes codes d'authentification ont été rejetés. Dois-je m'en préoccuper ?
Non, ceci peut se produire de façon occasionnelle. AWS MFA s'appuie sur l'horloge dans votre dispositif d'authentification qui doit être synchronisée à l'horloge dans nos serveurs. Parfois, en raison de facteurs environnementaux, tels que la température, l'humidité et la pression, ces horloges peuvent différer. Si ceci a lieu, lorsque vous utilisez le dispositif pour vous connecter et accéder à des pages sécurisées sur le site Web AWS ou l'AWS Management Console, nous essaierons automatiquement de resynchroniser le dispositif en demandant que vous fournissiez deux codes d'authentification consécutifs (comme vous l'aviez fait pendant l'activation).

Q : Mon dispositif d'authentification semble fonctionner normalement, mais je ne peux pas l'utiliser pour me connecter au portail AWS ou à AWS Management Console. Que dois-je faire ?
Nous vous conseillons d'essayer de resynchroniser le dispositif d'authentification. Pour ce faire, utilisez ce lien si votre dispositif MFA protège vos informations d'identification racine (identification requise), ou ce lien s'il s'agit de vos informations d'identification d'utilisateur IAM. Si vous déjà essayé de le resynchroniser et que vous rencontrez toujours des problèmes de connexion, veuillez nous contacter pour obtenir de l'aide.

Q : Mon dispositif d'authentification est perdu, endommagé ou a été volé, et je ne peux plus me connecter au portail AWS ou à AWS Management Console. Que dois-je faire ?
Si le dispositif d'authentification est associé à un compte AWS, effectuez les étapes suivantes :

Contactez-nous pour obtenir de l'aide par rapport à la désactivation d'AWS MFA afin de pouvoir accéder temporairement aux pages sécurisées sur le site Web AWS et sur AWS Management Console en n'utilisant que votre nom d'utilisateur et votre mot de passe.

Modifiez votre mot de passe Amazon au cas où un pirate ait volé votre dispositif d'authentification et détienne également votre mot de passe actuel.

Achetez un nouveau dispositif d'authentification auprès du fournisseur tiers Gemalto en vous rendant sur son site Web ou achetez un nouveau dispositif MFA virtuel dans le cadre de votre compte en utilisant la console IAM.

Une fois que vous avez terminé les étapes ci-dessus, utilisez la console IAM pour activer le dispositif d'authentification pour ré activer la MFA AWS pour votre compte AWS.

Si le dispositif d'authentification est associé avec un utilisateur IAM, vous pouvez utiliser la console IAM, le CLI IAM ou l'API IAM pour supprimer le dispositif MFA pour l'utilisateur IAM.

Q : Mon dispositif d'authentification ne fonctionne plus et je ne peux plus me connecter au portail AWS ou à AWS Management Console. Que dois-je faire ?
Si le dispositif d'authentification physique est associé à un compte AWS, effectuez les étapes suivantes :

Contactez-nous pour obtenir de l'aide par rapport à la désactivation d'AWS MFA afin de pouvoir accéder temporairement aux pages sécurisées sur le site Web AWS et sur AWS Management Console en n'utilisant que votre nom d'utilisateur et votre mot de passe.

Contactez le fournisseur tiers Gemalto pour obtenir une aide supplémentaire concernant le dispositif d'authentification.

Une fois que vous avez un autre dispositif d'authentification, revenez sur le site Web AWS et activez le dispositif pour réactiver AWS MFA pour votre compte AWS, comme précédemment.

Si le dispositif d'authentification est associé à un utilisateur IAM, vous devriez contacter la personne qui vous a donné le nom d'utilisateur et le mot de passe pour l'utilisateur IAM.

Q : Comment puis-je désactiver AWS MFA ?
Pour désactiver AWS MFA sur votre compte AWS, vous devez désactiver votre dispositif d'authentification à partir de la page relative aux identifiants de sécurité. Pour désactiver AWS MFA pour vos utilisateurs IAM, vous devez utiliser la console IAM ou la CLI IAM. Actuellement, les utilisateurs IAM ne peuvent pas désactiver AWS MFA eux-mêmes.

Q : Puis-je utiliser AWS MFA dans GovCloud ?
Oui, vous pouvez utiliser un dispositif AWS MFA virtuel dans GovCloud. AWS ne prend actuellement pas en charge les dispositifs MFA matériels dans GovCloud.

Q : En quoi consiste l'accès aux API protégé par MFA ?
L'accès aux API protégé par MFA est une fonction proposée en option qui permet aux administrateurs du compte d'exiger un niveau d'authentification supplémentaire pour certaines API définies par le client ; les utilisateurs doivent alors prouver qu'ils possèdent physiquement un dispositif MFA. En particulier, les administrateurs peuvent spécifier des conditions au sein de leurs politiques IAM afin d'exiger une authentification MFA pour certaines API. Les utilisateurs appelant ces API doivent donc avoir saisi au préalable le code MFA valide affiché sur leur dispositif.

Q : Quel est l'intérêt de l'accès aux API protégé par MFA ?
Auparavant, les clients pouvaient demander une authentification MFA pour accéder à AWS Management Console, mais ils ne pouvaient pas appliquer ces restrictions MFA aux développeurs et applications interagissant directement avec les API de service AWS. L'accès aux API protégé par MFA garantit l'application systématique des politiques IAM, quel que soit le chemin d'accès emprunté. Ainsi, vous pouvez désormais développer votre propre application reposant sur AWS, qui exige de l'utilisateur une authentification MFA avant d'appeler les API principales ou d'accéder à des ressources sensibles.

Q : Comment activer l'accès aux API protégé par MFA ?
Vous n'avez que deux étapes simples à réaliser :

  1. Vous affectez un dispositif MFA à vos utilisateurs IAM. Vous pouvez acheter une clé d'accès matérielle ou télécharger une application TOTP gratuite sur votre smartphone, tablette ou ordinateur. Consultez la page de présentation de la fonction MFA pour en savoir plus les dispositifs AWS MFA.
  2. Activez l'accès aux API protégé par MFA en créant des politiques d'accès pour les utilisateurs et groupes IAM auxquels vous voulez imposer une authentification MFA. Pour ce faire, utilisez la console IAM, l'interface de ligne de commande IAM ou encore l'API IAM. Pour en savoir plus sur la syntaxe de langage des stratégies d'accès, consultez la documentation sur le langage des stratégies d'accès.

Q : Comment les développeurs et utilisateurs accèdent-ils aux API et ressources sécurisées via l'accès aux API protégé par MFA ?
Les développeurs et utilisateurs utilisent l'accès aux API protégé par MFA à la fois dans AWS Management Console et dans les API.

Dans AWS Management Console, tout utilisateur IAM auquel les restrictions MFA s'appliquent doit s'authentifier avec son propre dispositif afin de pouvoir se connecter. Les utilisateurs non concernés par l'authentification MFA n'auront pas accès aux API et ressources protégées par la fonction MFA.

Au niveau des API, les développeurs peuvent intégrer AWS MFA à leurs applications afin d'inviter les utilisateurs à s'authentifier avec leurs dispositifs MFA respectifs, avant d'appeler les API principales ou d'accéder à des ressources sensibles. Les développeurs activent cette fonctionnalité en ajoutant des paramètres MFA facultatifs (numéro de série et code MFA) aux requêtes en vue d'obtenir des identifiants de sécurité temporaires (ces requêtes sont appelées « requêtes de session »). Si les paramètres sont valides, les identifiants de sécurité temporaires du statut MFA sont renvoyés. Consultez la documentation relative aux identifiants de sécurité temporaires pour en savoir plus.

Q : Qui peut utiliser l'accès aux API protégé par MFA ?
Tous les clients AWS peuvent utiliser l'accès aux API protégé par MFA gratuitement.

Q : Quels services fonctionnent avec l'accès aux API protégé par MFA ?
L'accès aux API protégé par MFA est pris en charge par l'ensemble des services AWS qui acceptent les identifiants de sécurité temporaires. Pour connaître la liste des services pris en charge, reportez-vous à la documentation sur les identifiants de sécurité temporaires.

Q : Que se passe-t-il si un utilisateur transmet des informations erronées concernant le dispositif MFA alors qu'il demande des identifiants de sécurité temporaires ?
La demande échoue et l'utilisateur ne reçoit pas d'identifiants de sécurité temporaires. Lorsqu'un utilisateur IAM demande des identifiants de sécurité temporaires en spécifiant des paramètres MFA, il doit fournir le numéro de série de son dispositif, ainsi qu'un code MFA valide.

Q : L'accès aux API protégé par MFA s'applique-t-il aux comptes racine ?
Non, l'accès aux API protégé par MFA contrôle uniquement l'accès des utilisateurs IAM. Les comptes racine ne sont liés à aucune politique IAM ; c'est pourquoi, AWS vous recommande de créer des utilisateurs IAM pour interagir avec les API de service AWS et non d'utiliser les identifiants de connexion au compte racine.

Q : Est-il impératif qu'un utilisateur se voie attribuer un dispositif MFA afin d'utiliser l'accès aux API protégé par MFA ?
Oui, tout utilisateur doit d'abord être affecté à un dispositif MFA matériel ou virtuel unique.

Q : L'accès aux API protégé par MFA est-il compatible avec les objets S3, les files d'attente SQS et les sujets SNS ?
Oui.

Q : Comment l'accès aux API protégé par MFA s'applique-t-il aux cas d'utilisation existants de la fonction MFA, tels que l'option de suppression MFA S3 ?
L'accès aux API protégé par MFA et l'option de suppression MFA S3 sont totalement indépendants. L'option de suppression MFA S3 ne prend actuellement pas en charge les identifiants de sécurité temporaires. Les appels à l'API de suppression S3 MFA doivent donc utiliser des clés d'accès durables.

Q : Est-ce que l'accès aux API protégé par MFA fonctionne dans GovCloud ?
Oui.

Q : Est-ce que l'accès aux API protégé par MFA fonctionne pour les utilisateurs fédérés ?
Les clients ne peuvent pas utiliser l'accès aux API protégé par MFA pour contrôler les accès des utilisateurs fédérés. En effet, l'API GetFederatedSession n'accepte pas les paramètres MFA. Etant donné que les utilisateurs fédérés ne peuvent pas s'authentifier à l'aide de dispositifs AWS MFA, ils ne peuvent pas accéder aux ressources sécurisées par la protection MFA de l'accès aux API.