Découvrez gratuitement AWS

Créez un compte gratuit
ou connectez-vous à la console

Profitez pendant 12 mois du niveau d'utilisation gratuit d'AWS et bénéficiez du niveau de base d'AWS Support qui inclut un service client disponible 24h/24, 7j/7 et 365 jours par an, l'accès à des forums d'assistance et bien d'autres avantages.



Q : Qu'est-ce qu'AWS Identity and Access Management (IAM) ?
IAM vous permet de contrôler de façon sécurisée l'accès aux ressources AWS pour vos utilisateurs et groupes d'utilisateurs. Vous pouvez créer et gérer des identités d'utilisateurs (« utilisateurs IAM ») et leur accorder des autorisations d'accès à vos ressources. Vous pouvez également octroyer des autorisations à des utilisateurs hors d’AWS (« utilisateurs fédérés »).

Q : Comment démarrer avec IAM ?
Après vous être inscrit à AWS, vous pouvez créer des utilisateurs et des groupes, puis leur affecter des autorisations d'accès à vos ressources AWS. Vous pouvez utiliser la console IAM (pour un accès Web), l'interface de ligne de commande d'IAM (pour un accès par ligne de commande), ou encore l'API ou les kits SDK (pour un accès par programmation). Pour accorder des autorisations, vous créez des documents de politiques que vous associez aux utilisateurs, groupes et autres entités. Regardez la vidéo « Getting Started with IAM ».

Q : Quels sont les problèmes résolus par IAM ?
IAM permet de fournir plus facilement à plusieurs utilisateurs un accès sécurisé à votre compte et vos ressources AWS. IAM vous permet de :

  • Gérer les utilisateurs IAM et leur accès – Vous pouvez créer des utilisateurs dans le système de gestion des identités, attribuer aux utilisateurs des informations d'identification de sécurité individuelles (c'est-à-dire, les clés d'accès, le mot de passe, les dispositifs d'authentification multi-facteurs) ou demander des informations d'identification de sécurité temporaires pour leur fournir l'accès aux services et ressources AWS. Vous pouvez spécifier les autorisations pour contrôler quelles opérations un utilisateur peut effectuer.
  • Gérer les accès pour les utilisateurs fédérés – Vous pouvez demander des informations d'identification de sécurité avec des expirations configurables pour les utilisateurs que vous gérez dans votre répertoire général, ce qui vous permet de fournir à vos employés et à vos applications un accès sécurisé dans votre compte AWS, sans leur créer un compte utilisateur IAM. Vous indiquez les autorisations pour ces informations d'identification de sécurité pour contrôler quelles opérations un utilisateur peut effectuer.

Q : Qui peut utiliser IAM ?
N'importe quel client AWS peut utiliser IAM. Ce service est offert gratuitement. Vous ne serez facturé que pour l'utilisation des autres services AWS par vos utilisateurs.

Q : Qu'est-ce qu'un utilisateur ?
Un utilisateur est une identité unique reconnue par les services et les applications AWS. Semblable à un identifiant de connexion dans un système d'exploitation comme Windows ou UNIX, un utilisateur possède un nom unique et peut s'identifier à l'aide d'informations d'identification de sécurité courantes, comme le mot de passe ou une clé d'accès. Un utilisateur peut être un individu, un système ou une application ayant besoin d'accéder aux services AWS. IAM prend en charge les utilisateurs gérés dans le système de gestion des identités d'AWS (appelés « utilisateurs IAM »), et vous permet aussi d'accorder l'accès aux ressources AWS aux utilisateurs gérés en dehors d'AWS dans votre répertoire général (appelés « utilisateurs fédérés »).

Q : Que peut faire un utilisateur ?
Un utilisateur peut soumettre des demandes aux services Web comme Amazon S3 et EC2. La capacité d'un utilisateur à accéder aux API du service Web est sous le contrôle du et relève de la responsabilité du compte AWS sous lequel il est défini. Un utilisateur peut être autorisé à accéder à n'importe lequel ou à tous les services AWS qui ont été intégrés avec IAM et auquel le compte AWS est abonné. Si autorisé, un utilisateur a accès à toutes les ressources sous le compte AWS. Par ailleurs, si le compte AWS a accès aux ressources d'un autre compte AWS, ses utilisateurs pourront accéder aux données sous ces comptes AWS. Toute ressource AWS créée par un utilisateur est sous le contrôle et payée par son compte AWS. Un utilisateur ne peut pas indépendamment s'abonner aux services AWS ou contrôler des ressources.

Q : Comment les utilisateurs appelleront-ils les services AWS ?
Les utilisateurs peuvent faire des demandes aux services AWS à l'aide des informations d'identification de sécurité. La capacité d'un utilisateur à appeler des services AWS est régie par des autorisations explicites. Par défaut, ils n'ont pas la capacité d'appeler des API de service au nom du compte.

Q : Comment démarrer avec IAM ?
Pour commencer à utiliser IAM, vous devez vous inscrire à au moins un des services AWS intégré à IAM. Ensuite, vous pouvez créer et gérer des utilisateurs, des groupes et des autorisations via les API d'IAM, l'interface de ligne de commande AWS, ou via la console IAM, ce qui vous donne une interface Web pointer-cliquer. Vous pouvez aussi utiliser le Générateur de politique AWS pour créer des politiques.


Q : Comment sont gérés les utilisateurs IAM ?
IAM prend en charge plusieurs méthodes pour :

  • créer, supprimer et intégrer les utilisateurs IAM dans une liste ;
  • gérer l'adhésion de groupe ;
  • gérer les informations d'identification de sécurité d'utilisateurs ;
  • attribuer les autorisations.

Vous pouvez créer et gérer des utilisateurs, des groupes et des autorisations via les API d'IAM, l'interface de ligne de commande AWS, ou via la console IAM, ce qui vous donne une interface Web pointer-cliquer. Vous pouvez également utiliser le Générateur de politique AWS et le Simulateur de politique AWS pour créer et tester des politiques.

Q : Qu'est-ce qu'un groupe ?
Un groupe est un ensemble d'utilisateurs. L'adhésion au groupe est gérée en tant que liste simple :

  • les utilisateurs peuvent être ajoutés ou enlevés d'un groupe.
  • Un utilisateur peut appartenir à plusieurs groupes.
  • Les groupes ne peuvent pas appartenir à d'autres groupes.
  • Les groupes peuvent obtenir des autorisations utilisant les politiques de contrôle d'accès. Ceci facilite la gestion des autorisations pour un ensemble d'utilisateurs, plutôt que d'avoir à gérer les autorisations pour chaque utilisateur individuel.
  • Les groupes n'ont pas d'informations d'identification de sécurité et ne peuvent pas accéder aux services Web directement ; ils existent uniquement pour faciliter la gestion des autorisations utilisateurs. Pour en savoir plus, consultez la section Working with Groups and Users.

Q : Quels types d'informations d'identification de sécurité les utilisateurs IAM peuvent-ils avoir ?
Les utilisateurs IAM peuvent avoir n'importe quelle combinaison d'informations d'identification qu'AWS prend en charge, tels qu'une clé d'accès AWS, un certificat X.509, un mot de passe pour les connexions d'application Web ou un dispositif MFA. Ceci permet aux utilisateurs d'interagir avec AWS de la manière la plus logique pour eux. Un employé peut avoir une clé d'accès et un mot de passe AWS ; un système logiciel peut n'avoir qu'une clé d'accès AWS pour faire des appels par programme ; et un fournisseur extérieur peut n'avoir qu'un certificat X.509 pour utiliser l'interface de ligne de commande EC2. Pour en savoir plus, consultez la section Autorisations dans la documentation IAM.

Q : Quels sont les services AWS qui prennent en charge les utilisateurs IAM ?
Vous pouvez consulter la liste complète des services AWS qui prennent en charge les utilisateurs IAM dans la section Services AWS prenant en charge IAM de la documentation IAM. AWS prévoit d'ajouter la prise en charge d'autres services à l'avenir.

Q : L'accès utilisateur peut-il être activé/désactivé ?
Oui. Les clés d'accès d'un utilisateur IAM peuvent être activées et désactivées via les API d'IAM, l'interface de ligne de commande AWS, ou via la console IAM. Désactiver les clés d'accès signifie que l'utilisateur ne pourra pas accéder aux services AWS via un programme.

Q : Qui peut gérer les utilisateurs pour un compte AWS ?
Le titulaire du compte AWS peut gérer les utilisateurs, groupes, informations d'identification de sécurité et autorisations. En outre, les autorisations peuvent être accordées aux utilisateurs individuels pour effectuer des appels vers les API d'IAM afin de gérer les autres utilisateurs. Par exemple, un utilisateur administrateur peut être créé pour gérer les utilisateurs pour une entreprise – une pratique recommandée. Lorsqu'un utilisateur a reçu l'autorisation de gérer d'autres utilisateurs, il peut le faire via les API d'IAM, l'interface de ligne de commande AWS, ou via la console IAM.

Q : Un ensemble d'utilisateurs peut-il être structuré de manière hiérarchique, comme dans LDAP ?
Oui. Les utilisateurs et les groupes peuvent être organisés sous des chemins, semblables à des chemins d'objet dans Amazon S3 – par exemple /mycompany/division/project/joe.

Q : Les utilisateurs peuvent-ils être définis selon des régions ?
Pas au départ. Les utilisateurs sont des entités mondiales, comme l'est un compte AWS aujourd'hui. Il n'est pas nécessaire de spécifier une région lors de la définition des autorisations d'utilisateurs. Les utilisateurs peuvent utiliser les services AWS dans une région géographique.

Q : Comment les dispositifs MFA sont-ils configurés pour les utilisateurs IAM ?
Le titulaire de compte AWS peut commander des dispositifs MFA multiples. Ces dispositifs peuvent alors être attribués à des utilisateurs IAM individuels via les API d'IAM, l'interface de ligne de commande AWS ou la console IAM.

Q : Quel type de rotation de clé est pris en charge pour les utilisateurs IAM ?
Les clés d'accès d'utilisateurs et les certificats X.509 peuvent être pivotés comme ils le sont pour les identifiants d'accès de compte racine AWS. Les clés d'accès d'utilisateurs et les certificats X 509 peuvent être gérés et pivotés par programme via les API d'IAM, l'interface de ligne de commande AWS, ou via la Console IAM.

Q : Les utilisateurs IAM peuvent-ils avoir des clés EC2 SSH individuelles ?
Pas dans la première version. IAM n'affecte pas les clés EC2 SSH ou les certificats Windows RDP. Ceci signifie que, alors que chaque utilisateur dispose d'informations d'identification individuelles pour accéder aux API de service Web, ils doivent partager les clés SSH communes dans le compte AWS sous lequel l'utilisateur a été défini.

Q : Les noms d'utilisateurs IAM doivent-ils être des adresses e-mail ?
Non ils ne doivent pas, mais ils peuvent l'être. Les noms d'utilisateurs sont juste des chaînes ASCII uniques au sein d'un compte AWS donné. Le titulaire du compte AWS peut attribuer des noms en utilisant une convention de dénomination de son choix, y compris les adresses e-mail.

Q : Quels jeux de caractères puis-je utiliser pour les noms d'utilisateurs IAM ?
Les entités IAM prennent uniquement en charge les caractères ASCII.

Q : Les attributs d'utilisateurs autres que le nom d'utilisateur sont-ils pris en charge ?
Pas à l'heure actuelle.

Q : Comment sont définis les mots de passe des utilisateurs ?
Un mot de passe initial peut être défini pour un utilisateur IAM via la console IAM, l'interface de ligne de commande AWS ou les API d'IAM. Les mots de passe des utilisateurs n'apparaissent jamais en texte visible après leur mise en service initiale et ne sont jamais affichés ou renvoyés via un appel d'API. Les utilisateurs d'IAM peuvent gérer leurs mots de passe via la page My Password de la console IAM. Cette page est accessible en sélectionnant l'option Security Credentials (Informations de sécurité) dans la liste déroulante d'AWS Management Console (affiché dans l'angle supérieur droit).

Q : Est-il possible de définir une politique de gestion des mots de passe pour mes utilisateurs ?
Oui, vous pouvez imposer des mots de passe forts nécessitant, par exemple, un nombre minimum de caractères ou l'utilisation d'au moins un chiffre. Vous pouvez également appliquer l'expiration automatique du mot de passe, éviter la réutilisation d'anciens mots de passe ou exiger la réinitialisation du mot de passe lors de la prochaine identification à AWS. Pour en savoir plus, consultez la section Configurer une politique de gestion des mots de passe de compte pour les utilisateurs d'IAM.

Q : Puis-je définir des quotas d'utilisation au niveau des utilisateurs IAM ?
Non. Toutes les limites concernent le compte AWS dans son ensemble. Ainsi, si votre compte AWS est limité à 20 instances Amazon EC2, tout utilisateur IAM disposant d'autorisations EC2 peut lancer des instances jusqu'à atteindre la limite du compte ; vous ne pouvez pas restreindre les actions d'un utilisateur particulier.


Q : Qu'est-ce qu'un rôle IAM ?
Un rôle est une entité AWS Identity and Access Management (IAM) qui définit un ensemble d’autorisations permettant de demander des services AWS. Les rôles IAM ne sont associés à aucun groupe ou utilisateur spécifique. Ces rôles sont « endossés » par des entités de confiance, telles que des utilisateurs IAM, des applications ou des services AWS comme EC2.

Q : Quels problèmes les rôles IAM résolvent-ils ?
Les rôles IAM vous permettent de déléguer l'accès, avec des autorisations définies, à des entités de confiance sans avoir à partager les clés d'accès à long terme. Vous pouvez utiliser les rôles IAM pour déléguer l'accès aux utilisateurs IAM gérés au sein de votre compte, aux utilisateurs IAM gérés sous un autre compte AWS ou à un service AWS tel qu'EC2.

Q : Comment démarrer avec les rôles IAM ?
Vous créez un rôle comme vous créez un utilisateur : vous lui attribuez un nom et y associez une politique. Pour en savoir plus, consultez la section Creating IAM Roles.

Q : Comment endosser un rôle IAM ?
Pour assumer un rôle IAM, vous devez appeler les API AssumeRole d'AWS Security Token Service (STS) (c'est-à-dire, AssumeRole, AssumeRoleWithWebIdentity et AssumeRoleWithSAML). Ces API retournent un ensemble d'informations d'identification de sécurité temporaires que vous pouvez utiliser pour signer des demandes aux API du service AWS.

Q : Combien de rôles IAM est-il possible d'endosser ?
Il n'y pas de limite au nombre de rôles IAM que vous pouvez endosser. Néanmoins, lorsque vous envoyez une demande aux services AWS, vous ne pouvez utiliser qu'un seul rôle IAM à la fois.

Q : Qui peut utiliser les rôles IAM ?
Tous les clients AWS peuvent utiliser cette fonctionnalité.

Q : Combien coûtent les rôles IAM ?
Les rôles IAM sont gratuits. Vous continuerez à payer uniquement pour les ressources consommées par les rôles de votre compte AWS.

Q : Comment les rôles IAM sont-ils gérés ?
Vous pouvez créer et gérer des rôles IAM les API IAM, l'interface de ligne de commande AWS ou la console IAM, laquelle vous permet de bénéficier d'une interface Web de type pointer-cliquer.

Q : Quelle est la différence entre un rôle IAM et un utilisateur IAM ?
Un utilisateur IAM dispose d'informations d'identification à long terme et peut interagir directement avec les services AWS. Un rôle IAM ne dispose pas d'informations d'identification et ne peut pas envoyer directement de requêtes aux services AWS. Les rôles IAM sont normalement « endossés » par des entités autorisées, telles que des utilisateurs IAM, des applications ou un service AWS comme EC2.

Q : Quelle est la différence entre un rôle IAM et un groupe IAM ?
Un groupe IAM est un ensemble d'utilisateurs IAM qui partagent les mêmes autorisations. Un groupe IAM est principalement un outil pratique permettant de gérer le même jeu d'autorisations pour un ensemble d'utilisateurs IAM. Un rôle IAM est une entité IAM disposant d'autorisations permettant d'envoyer des requêtes aux services AWS. Les rôles IAM ne peuvent pas envoyer directement des requêtes aux services AWS. Ils sont normalement « endossés » par des entités autorisées telles que les utilisateurs IAM, les applications ou les services AWS comme EC2.

Q : Quand faire appel à un utilisateur IAM, un groupe IAM ou un rôle IAM ?
Un utilisateur IAM dispose d'informations d'identification permanentes et peut interagir directement avec les services AWS. Un groupe IAM est principalement un outil pratique permettant de gérer le même jeu d'autorisations pour un ensemble d'utilisateurs IAM. Un rôle IAM est une entité AWS Identity and Access Management (IAM) disposant d'autorisations permettant d'envoyer des requêtes aux services AWS. Les rôles IAM ne peuvent pas envoyer directement des requêtes aux services AWS. Ils sont normalement « endossés » par des entités autorisées telles que les utilisateurs IAM, les applications ou les services AWS comme EC2. Les rôles IAM servent à déléguer l'accès au sein ou entre les comptes AWS.

Q : Est-il possible d'ajouter un rôle IAM à un groupe IAM ?
Pas à l'heure actuelle.

Q : Combien de politiques peut-on associer à un rôle IAM ?
Vous pouvez ajouter à un rôle IAM autant de politiques que nécessaire, tant que la taille totale de l'ensemble des politiques n'excède pas 10 Ko.

Q : Combien de rôles IAM peut-on créer ?
Votre compte AWS peut contenir au maximum 250 rôles IAM. Si vous avez besoin de davantage de rôles, remplissez le formulaire de demande d'augmentation de limite IAM et soumettez-le avec votre cas d'utilisation. L'augmentation de vos limites pour les rôles IAM sera alors étudiée.

Q : À quels services un rôle IAM peut-il faire appel ?
Votre application peut envoyer des requêtes à tous les services AWS prenant en charge les sessions de rôles.

Q : À quoi correspondent les rôles IAM pour les instances EC2 ?
Les rôles IAM pour les instances EC2 permettent à vos applications s'exécutant sur EC2 d'envoyer des requêtes à des services AWS, notamment Amazon S3, Amazon SQS et Amazon SNS, sans que vous n'ayez à copier les clés d'accès AWS sur chaque instance. Pour en savoir plus, consultez la section Using IAM Roles to Delegate Permissions to Applications that Run on Amazon EC2.

Q : Quelles sont les fonctionnalités offertes par les rôles IAM pour les instances EC2 ?

Les rôles IAM fournissent les fonctionnalités suivantes pour les instances EC2 :

  • Identifiants de sécurité temporaires pour envoyer des requêtes à partir des instances EC2 en exécution vers les services AWS
  • Rotation automatique des identifiants de sécurité temporaires
  • Autorisations d'accès aux services AWS octroyées à un niveau granulaire pour les applications s'exécutant sur les instances EC2

Q : Quels sont les problèmes résolus par les rôles IAM pour les instances EC2 ?
Les rôles IAM pour les instances EC2 simplifient la gestion et le déploiement des clés d'accès AWS vers les instances EC2. En utilisant cette fonctionnalité, vous associez un rôle IAM avec une instance. Ensuite, votre instance EC2 fournit les identifiants de sécurité temporaires aux applications qui s’exécutent, afin que ces dernières puissent utiliser ces informations d’identification pour envoyer des requêtes aux ressources de service AWS définies dans la fonction, en toute sécurité.

Q : Comment puis-je commencer à utiliser les rôles IAM pour les instances EC2 ?
Pour commencer à utiliser les rôles IAM pour les instances EC2 :

  1. Créez un rôle dans IAM.
  2. Lancez vos instances EC2 avec le rôle comme paramètre d'entrée.
  3. Utilisez dans votre application les clés d'accès AWS associées aux rôles et mises à disposition sur l'instance EC2 pour envoyer les requêtes aux services AWS.

Pour en savoir plus sur les rôles IAM, consultez la section Using Roles to Delegate Permissions and Federate Identities du manuel Using IAM. Pour en savoir plus sur l'utilisation des rôles IAM avec EC2, consultez la section IAM roles with Amazon EC2 du manuel Amazon EC2 User Guide.

Q : Puis-je utiliser un même rôle IAM sur plusieurs instances EC2 ?
Oui.

Q : Puis-je modifier le rôle IAM utilisé sur une instance EC2 active ?
Non, il n'est pas encore possible de modifier un rôle IAM sur une instance EC2 active. En revanche, vous pouvez modifier les autorisations du rôle IAM associé à une instance active. Dans ce cas, les autorisations mises à jour prennent effet presque immédiatement.

Q : Puis-je associer un rôle IAM à une instance EC2 en cours d'exécution ?
Non. Vous ne pouvez associer qu'un seul rôle IAM par instance EC2.

Q : Puis-je utiliser un rôle IAM avec d'autres services qui lancent des instances EC2 ?
Oui. Auto Scaling et AWS CloudFormation prennent également en charge les rôles IAM. D'autres services viendront s'ajouter par la suite.

Q : Puis-je associer un rôle IAM à un groupe Auto Scaling ?
Oui. Vous pouvez ajouter un rôle IAM en tant que paramètre supplémentaire dans une configuration de lancement Auto Scaling, puis créer un groupe Auto Scaling avec cette configuration de lancement. Toutes les instances EC2 lancées dans un groupe Auto Scaling qui est associé à un rôle IAM seront lancées avec ce rôle comme paramètre d'entrée. Pour en savoir plus, consultez la section What Is Auto Scaling? du manuel Auto Scaling Developer Guide.

Q : Puis-je associer plusieurs rôles IAM à une instance EC2 ?
Non. Pour le moment, vous ne pouvez associer qu'un seul rôle IAM à une instance EC2.

Q : Que se passe-t-il si je supprime un rôle IAM associé à une instance EC2 en cours d'exécution ?
Toute application s'exécutant sur l'instance qui utilisait ce rôle se verra immédiatement refuser l'accès.

Q : Peut-on déterminer les rôles IAM qu'un utilisateur IAM peut associer à une instance EC2 ?
Oui. Pour en savoir plus, consultez la section Using IAM Roles to Delegate Permissions to Applications that Run on Amazon EC2.

Q : Quelles sont les autorisations requises pour lancer des instances EC2 avec un rôle IAM ?
Un utilisateur IAM doit avoir reçu deux autorisations distinctes pour lancer sans erreur des instances EC2 avec des rôles IAM :

  • l'autorisation de lancer des instances EC2,
  • l'autorisation d'associer un rôle IAM à des instances EC2.

Q : Qui peut consulter les clés d'accès sur l'instance EC2 ?
Tout utilisateur local sur l'instance peut voir les clés d'accès associées au rôle IAM.

Q : Comment puis-je utiliser un rôle IAM avec mon application sur l'instance EC2 ?
Si vous développez votre application avec le kit SDK AWS, le kit SDK AWS utilise automatiquement les clés d'accès AWS qui ont été mises à disposition sur l'instance EC2. Si vous n'utilisez pas le kit SDK AWS, vous pouvez récupérer les clés d'accès à partir du service de métadonnées d'instance EC2. Pour en savoir plus, consultez la section Using IAM Roles to Delegate Permissions to Applications that Run on Amazon EC2.

Q : Comment faire pour configurer une rotation des identifiants de sécurité temporaires sur l'instance EC2 ?
Les identifiants de sécurité temporaires AWS associés à un rôle IAM font l'objet d'une rotation automatique plusieurs fois par jour. De nouvelles informations d'identification de sécurité temporaires sont générées au plus tard cinq minutes avant l'expiration des précédents.

Q : Puis-je utiliser des rôles IAM avec n'importe quel type d'instance Amazon EC2 ou d'AMI ?
Oui. Les rôles IAM utilisés sur les instances EC2 fonctionnent également dans Amazon Virtual Private Cloud (VPC), avec des instances ponctuelles et des instances réservées.


Q : En quoi consistent les identifiants de sécurité temporaires ?
Les informations d'identification de sécurité temporaires comprennent un ID de clé d'accès AWS, une clé d'accès secrète et un jeton de sécurité. Les informations d'identification de sécurité temporaires sont valides pour une durée spécifiée et pour un ensemble d'autorisations spécifique. Les informations d'identification de sécurité temporaires sont parfois simplement appelées « jetons ». Les jetons peuvent être demandés pour des utilisateurs IAM, ou pour des utilisateurs fédérés que vous gérez dans votre propre répertoire général. Pour en savoir plus, consultez la section Scenarios for Granting Temporary Access.

Q : Quels sont les avantages des identifiants de sécurité temporaires ?
Les informations d'identification de sécurité temporaires vous permettent de :

  • Ils vous permettent d'étendre vos annuaires internes d'utilisateurs en autorisant la fédération pour AWS. Vos employés et applications peuvent ainsi accéder en toute sécurité aux API des services AWS, sans qu'il soit nécessaire de créer des identités AWS spécialement pour eux.
  • Vous pouvez demander des identifiants de sécurité temporaires pour un nombre illimité d'utilisateurs fédérés.
  • Vous configurez un délai d'expiration pour les identifiants de sécurité temporaires et renforcez ainsi la sécurité au niveau des accès aux API des services AWS via des périphériques mobiles, notamment dès lors qu'il existe un risque de perte.

Q : Comment puis-je demander des identifiants de sécurité temporaires pour des utilisateurs fédérés ?
Vous pouvez appeler les API STS GetFederationToken ou AssumeRole.

Q : Comment les utilisateurs IAM peuvent-ils demander des informations d'identification de sécurité temporaires pour leur propre utilisation ?
Les utilisateurs IAM peuvent demander des identifiants de sécurité temporaires pour leur propre utilisation en appelant l'API AWS STS GetSessionToken. Le délai d'expiration par défaut de ces informations d'identification temporaires est de 12 heures. Il peut être réduit à 1 heure ou augmenté à 36 heures.

Les informations d'identification temporaires peuvent également être utilisées avec l'accès aux API protégé par l'authentification multi-facteurs (MFA).

Q : Comment les identifiants de sécurité temporaires peuvent-ils être utilisés pour appeler les API des services AWS ?
Les informations d'identification de sécurité temporaires sont conçues de manière à réduire au minimum les modifications à apporter au code des applications qui appellent les API des services AWS. Aucune modification n'est requise aux API de service AWS :

  • Utilisez les AccessKeyID et SecretAccessKey pour signer les demandes d'API du service AWS comme précédemment.
  • Passez le jeton comme un paramètre supplémentaire pour chaque demande faite aux API de service AWS. Pour Amazon S3 : via l'en-tête HTTP "x-amz- security-token". Pour les autres services AWS : via le paramètre « SecurityToken ».

Q : Quels sont les services AWS qui acceptent les informations d'identification de sécurité temporaires ?
Pour connaître la liste des services pris en charge, consultez la section AWS Services that Support AWS Security Token Service (STS).

Q : Quelle est la taille maximum de la politique d’accès pouvant être spécifiée lors de la demande d’identifiants de sécurité temporaires GetFederationToken ou AssumeRole) ?
450 octets compressés.

Q : Un identifiant de sécurité temporaire peut-il être annulé avant son expiration ?
Non. Lorsque vous demandez des informations d'identification temporaires, nous vous recommandons de procéder comme suit :

  • Lors de la création des identifiants de sécurité temporaires, définissez le délai d'expiration approprié en fonction de votre application.
  • Puisque les autorisations du compte racine ne peuvent pas être restreintes, utilisez un utilisateur IAM et non pas un compte racine pour créer des informations d'identification de sécurité temporaires. Vous pouvez ensuite annuler les autorisations accordées à l'utilisateur IAM à l'origine de la demande initiale. Cette action annulera presque immédiatement les privilèges pour tous les identifiants de sécurité temporaires émis par cet utilisateur IAM

Q : Un identifiant de sécurité temporaire peut-il être réactivé ou son délai d'expiration prolongé ?
Non. Il est souhaitable de vérifier de manière proactive le délai d'expiration et de demander un nouvel identifiant de sécurité temporaire avant l'expiration de l'ancien. Ce processus de rotation est géré automatiquement lorsque les identifiants de sécurité temporaires sont utilisés dans le cadre de rôles pour les instances EC2.

Q : Les informations d'identification de sécurité temporaires sont-elles prises en charge dans toutes les régions ?
Les clients peuvent demander des jetons via les points de terminaison AWS STS dans toutes les régions, y compris les régions AWS GovCloud (USA) et Chine (Pékin). Les informations d'identification temporaires provenant d'AWS GovCloud (USA) et de Chine (Pékin) peuvent uniquement être utilisées dans leur région d'origine. Les informations d'identification temporaires demandées à partir d'une autre région telle que la région USA Est ou EU (Irlande) peuvent être utilisées dans toutes les régions, à l'exception des régions AWS GovCloud (USA) et Chine (Pékin).

Q : Puis-je limiter l'utilisation des informations d'identification de sécurité temporaires à une région ou un sous-ensemble de régions ?

Non. Vous ne pouvez pas limiter l'utilisation des informations d'identification temporaires à une région ou un sous-ensemble de région spécifique, à l'exception des informations d'identification de sécurité temporaires provenant des régions AWS GovCloud (USA) et Chine (Pékin) qui peuvent être uniquement utilisées dans les régions d'origine respectives.

Q : Que dois-je faire avant de pouvoir utiliser un point de terminaison AWS STS ?

Les points de terminaison AWS STS dans les régions USA Est, AWS GovCloud (USA) et Chine (Pékin) sont toujours actifs. Vous pouvez donc commencer à les utiliser sans avoir à effectuer d'autres actions. Pour les autres points de terminaison AWS STS dans les régions USA Ouest (Oregon) ou UE (Irlande), par exemple, un administrateur de compte doit d'abord activer la région AWS STS pour le compte AWS dans la page Account Settings de la console IAM.

Q : Que se passe-t-il si je tente d'utiliser un point de terminaison AWS STS régional qui n'a pas été activé pour mon compte AWS ?

Si vous tentez d'utiliser un point de terminaison AWS STS régional qui n'a pas encore été activé pour votre compte AWS, AWS STS génère une exception AccessDenied avec le message suivant : « AWS STS is not activated in this region for account: accountId. Your account administrator can activate AWS STS in this region using the IAM console. »

Q : Quelles autorisations sont nécessaires pour activer ou désactiver des régions AWS STS à partir de la page Account Settings ?

Seuls les utilisateurs disposant au moins des autorisations iam:* peuvent activer ou désactiver des régions AWS STS à partir de la page Account Settings de la console IAM. Notez que les points de terminaison AWS STS dans les régions USA Est, AWS GovCloud (USA) et Chine (Pékin) sont toujours actifs et ne peuvent pas être désactivés.

Q : Puis-je utiliser l'API ou la ligne de commande pour activer ou désactiver les régions AWS STS ?

Non. Aucune API ou ligne de commande n'est actuellement prise en charge pour activer ou désactiver des régions AWS STS. Nous envisageons de fournir cette prise en charge dans une prochaine version.


Q : Qu'est-ce que la fédération des identités ?
La fédération des identités Web vous permet de créer des applications mobiles optimisées par AWS et utilisant des fournisseurs d'identités publics tels que Amazon Cognito, Login with Amazon, Facebook, Google ou tout fournisseur compatible avec OpenID Connect, à des fins d'authentification. La fédération des identités Web facilite l'intégration avec les fournisseurs d'identités publics pour la connexion à vos applications, sans que vous n'ayez à écrire du code côté serveur ou à communiquer des informations d'identification de sécurité AWS à long terme.

Pour en savoir plus sur la fédération des identités Web et vous lancer, consultez la section Creating Temporary Security Credentials for Mobile Apps Using Public Identity Providers du manuel AWS STS.

Q : Que sont les utilisateurs fédérés ?
Les utilisateurs fédérés sont des utilisateurs gérés en dehors d'AWS dans votre répertoire général, mais qui disposent d'un accès à votre compte AWS à l'aide d'identifiants de sécurité temporaires. Ils diffèrent des utilisateurs IAM qui sont créés et maintenus à jour dans votre compte AWS.

Q : Proposez-vous la prise en charge de SAML ?
Oui, AWS prend en charge le standard Security Assertion Markup Language (SAML) 2.0.

Q : Quels sont les profils SAML pris en charge par AWS ?
Le point de terminaison d'authentification unique (SSO) d'AWS prend en charge le profil SAML WebSSO basé sur le binding HTTP-POST initié par le fournisseur d'identités. Cela permet à un utilisateur fédéré de se connecter à AWS Management Console à l'aide d'une assertion SAML. Une assertion SAML peut également être utilisée pour demander des identifiants de sécurité temporaires à l'aide de l'API AssumeRoleWithSAML. Pour plus d'informations, consultez la section Creating Temporary Security Credentials for SAML Federation.

Q : Les utilisateurs fédérés peuvent-ils accéder aux API d'AWS ?
Oui. Vous pouvez demander par programme des identifiants de sécurité temporaires pour fournir à vos utilisateurs fédérés un accès direct et sécurisé aux API d'AWS. Nous fournissons un exemple d'application qui montre comment procéder pour mettre en œuvre la fédération des identités, et ainsi permettre aux utilisateurs gérés dans Microsoft Active Directory d'accéder aux API de services AWS. Pour plus d'informations, consultez la section Using Temporary Security Credentials.

Q : Les utilisateurs fédérés peuvent-ils accéder à AWS Management Console ?
Oui. Attribuer un accès fédéré à la console requiert des identifiants de sécurité temporaires, comme cela est décrit dans la section Giving Federated Users Direct Access to the AWS Management Console du manuel Using Temporary Security Credentials. Il existe plusieurs manières de procéder.

La première consiste à demander des identifiants de sécurité temporaires par programmation (par ex., GetFederationToken ou AssumeRole) pour vos utilisateurs fédérés, et à inclure ces identifiants dans la requête de connexion à AWS Management Console. Une fois que vous avez authentifié un utilisateur et que vous lui avez attribué des identifiants de sécurité temporaires, vous générez un jeton de connexion utilisé par le point de terminaison d'authentification unique AWS. Les actions de l'utilisateur dans la console sont limitées par la politique de contrôle d'accès associée aux identifiants de sécurité temporaires.

Vous pouvez également soumettre une assertion SAML directement pour la connexion à AWS (https://signin.aws.amazon.com/saml). Les actions de l'utilisateur dans la console seront limitées par la politique de contrôle d'accès associée au rôle IAM endossé à l'aide de l'assertion SAML. Pour plus de détails, consultez Giving Console Access Using SAML.

Utiliser l'une ou l'autre de ces méthodes permettra à un utilisateur fédéré d'accéder à la console sans avoir à se connecter en fournissant un nom d'utilisateur et un mot de passe. Nous fournissons un exemple d'application qui montre comment procéder pour mettre en œuvre la fédération des identités et ainsi permettre aux utilisateurs gérés dans Microsoft Active Directory d'accéder à AWS Management Console. Pour plus d'informations, consultez également la section Giving Federated Users Direct Access to the AWS Management Console du manuel Using Temporary Security Credentials.

Q : Quels sont les services AWS qui acceptent les utilisateurs fédérés ?
La plupart des services AWS sont désormais accessibles par les utilisateurs fédérés. Pour la liste complète des services concernés, consultez le guide Utilisation d'identifiants de sécurité temporaires. D'autres services AWS se verront ajouter la prise en charge des utilisateurs fédérés à l'avenir.

Q : Comment puis-je déterminer les actions qu'un utilisateur fédéré est autorisé à effectuer lorsqu'il est connecté à la console ?
Lorsque vous demandez des identifiants de sécurité temporaires pour votre utilisateur fédéré à l'aide d'une API AssumeRole, vous pouvez, de manière optionnelle, spécifier une politique d'accès lors de la demande. Les privilèges de l'utilisateur fédéré se trouvent à l'intersection des permissions données par la politique d'accès spécifiée lors de la demande, et de la politique d'accès rattachée au rôle IAM qui a été endossé. La politique d'accès spécifiée lors de la demande ne peut pas augmenter le niveau de privilèges associé au rôle IAM endossé. Lorsque vous demandez des identifiants de sécurité temporaires pour votre utilisateur fédéré à l'aide d'une API GetFederationToken, vous devez spécifier une politique de contrôle d'accès lors de la demande. Les privilèges de l'utilisateur fédéré se trouvent à l'intersection des permissions données par la politique d'accès spécifiée lors de la demande, et de la politique d'accès rattachée au rôle IAM qui a été utilisé pour effectuer la demande. La politique d'accès spécifiée lors de la demande ne peut pas augmenter le niveau de privilèges associé au rôle IAM utilisé pour effectuer la demande. Ces permissions d'utilisateur fédéré s'appliquent tant à l'accès aux API qu'aux actions entreprises au sein d'AWS Management Console.

Q : De quelles autorisations un utilisateur fédéré a-t-il besoin pour utiliser la console ?
L'utilisateur a besoin des permissions requises pour accéder aux API des services AWS appelés par AWS Management Console. Les permissions généralement nécessaires pour accéder aux services AWS sont documentées dans le guide Utilisation d'identifiants de sécurité temporaires.

Q : Comment puis-je contrôler la durée pendant laquelle un utilisateur fédéré a accès à la console ?
En fonction de l'API utilisée pour créer les identifiants de sécurité temporaires, vous pouvez spécifier une durée limite de session de15 minutes à 36 heures (pour GetFederationToken et GetSessionToken) et de 15 à 60 minutes (pour les API AssumeRole) pendant laquelle l'utilisateur fédéré peut accéder à la console. Lorsque la session expire, l'utilisateur doit en demander une nouvelle en retournant dans votre page Web, dans laquelle vous pouvez lui attribuer un nouvel accès.

Q : Que se passe-t-il lorsque la session de la console de fédération des identités expire ?
L'utilisateur voit s'afficher un message indiquant que la session de console a expiré et qu'il doit en demander une nouvelle. Vous pouvez spécifier une URL pour rediriger l'utilisateur vers la page Web de votre intranet local sur laquelle il peut demander une nouvelle session. Vous ajoutez cette URL lorsque vous spécifiez un paramètre d'émetteur dans le cadre de votre requête de connexion. Pour plus d'informations, consultez Donner aux utilisateurs fédérés un accès direct à AWS Management Console.

Q : A combien d'utilisateurs fédérés puis-je accorder l'accès à AWS Management Console ?
Il n'y a pas de limite au nombre d'utilisateurs fédérés qui peuvent accéder à la console.

Q : Qu'est-ce que la fédération des identités Web ?
La fédération des identités Web vous permet de créer des applications mobiles reposant sur le cloud et utilisant des fournisseurs d'identités publics tels que Amazon Cognito, Login with Amazon, Facebook ou Google à des fins d'authentification. La fédération des identités facilite l'intégration avec les comptes Amazon.com, Facebook ou Google pour la connexion à vos applications, sans que vous n'ayez à écrire du code côté serveur ou à communiquer des informations d'identification de sécurité AWS à long terme.

Pour en savoir plus sur la fédération des identités Web et vous lancer, consultez la section Creating Temporary Security Credentials for Mobile Apps Using Public Identity Providers du manuel AWS STS.

Q : Quels sont les fournisseurs d'identités pris en charge par la fédération des identités Web ?
La fédération des identités Web prend en charge Amazon Cognito, Login with Amazon, Facebook, Google et tout fournisseur compatible avec OpenID Connect.

Q : Prenez-vous OpenID Connect en charge ?
Oui, AWS prend OpenID Connect en charge.

Q : Comment activer la fédération des identités avec des fournisseurs d'identités publics ?
Voici les étapes élémentaires à effectuer pour activer la fédération des identités à l'aide d'un des fournisseurs d'identités Web pris en charge :

  1. Vous vous inscrivez en tant que développeur auprès du fournisseur d'identités.
  2. Dans AWS, vous créez un ou plusieurs rôles IAM. Pour les fournisseurs compatibles avec OpenID Connect, vous devez également créer un fournisseur d'identités dans IAM.
  3. Dans votre application, vous authentifiez vos utilisateurs en recourant au fournisseur d'identités public.
  4. Vous faites également en sorte que tout appel non signé vers l'API AssumeRoleWithWebidentity entraîne la demande d'identifiants de sécurité temporaires pour votre application.
  5. Avec ces identifiants de sécurité temporaires renvoyés par l'API AssumeRoleWithWebidentity, votre application peut envoyer des requêtes signées vers les API AWS.
  6. Votre application met en cache ces identifiants de sécurité temporaires afin que vous n'ayez pas à en redemander à chaque fois que l'application doit envoyer une requête à AWS.

Pour en savoir plus sur ces différentes étapes, consultez la section Process for Using Web Identity Federation for Mobile Apps du manuel AWS STS.

Q : Quelle est la différence entre la fédération d'identité utilisant le AWS Directory Service et celle utilisant une solution de gestion des identités tierce ?

Si vous souhaitez que seuls vos utilisateurs fédérés puissent accéder à AWS Management Console, l'utilisation du AWS Directory Service offre des capacités similaires à celles de l'utilisation d'une solution de gestion des identités tierce. Les utilisateurs finaux peuvent se connecter en utilisant leurs informations d'identification d'entreprise et accéder à AWS Management Console. Puisqu'AWS Directory Service est un service géré, les clients n'ont pas besoin de configurer ou gérer l'infrastructure de fédération et doivent simplement créer un répertoire du connecteur AD à intégrer avec leur répertoire sur site. Si vous souhaitez fournir à vos utilisateurs fédérés un accès aux API d'AWS, par exemple en utilisant l'interface de ligne de commande AWS, vous devez utiliser une offre tierce ou déployer votre propre serveur proxy.


Q : La facturation AWS indique-t-elle l’utilisation cumulée et une ventilation des coûts par utilisateur ?
Non, ces fonctionnalités ne sont actuellement pas prises en charge.

Q : Le service IAM est-il payant ?
Non, il s'agit d'une fonction de votre compte AWS fournie gratuitement.

Q : Qui paie les frais d'utilisation générés par les utilisateurs dans le cadre d'un compte AWS ?
Le propriétaire du compte AWS est tenu responsable de toutes les utilisations, données et ressources exploitées dans le cadre de son compte AWS. Il doit en assurer le contrôle.

Q : Les activités facturables des utilisateurs sont-elles consignées dans les données d’utilisation AWS ?
Pas à l'heure actuelle. Ceci est prévu pour une version ultérieure.

Q : Quelle est la différence entre IAM et la facturation consolidée ?
IAM et la facturation consolidée sont des fonctions complémentaires. La facturation consolidée vous permet de consolider le paiement pour des comptes Amazon Web Services (AWS) multiples au sein de votre société en désignant un seul compte payant. La portée de IAM n'est pas en rapport avec la facturation consolidée. Un utilisateur existe dans les limites d'un compte AWS et ne dispose pas des autorisations parmi les comptes associés. Pour plus de détails, référez-vous au Guide de facturation consolidée AWS.

Q : Un utilisateur peut-il accéder aux informations de facturation des comptes AWS ?
Oui, mais uniquement si vous l'y avez autorisé. Pour que des utilisateurs IAM puissent consulter les informations de facturation, vous devez d'abord leur octroyer l'accès à la page d'activité de votre compte et/ou aux rapports d'utilisation. Consultez la section « Controlling User Access to your AWS Accounts billing information ».


Q : Comment les autorisations fonctionnent-elles ?

Utilisez des politiques pour attribuer des autorisations aux utilisateurs, groupes et rôles IAM. Par défaut, les utilisateurs, groupes et rôles IAM ne disposent d'aucune autorisation. Le propriétaire du compte ou un utilisateur IAM disposant des autorisations suffisantes doivent utiliser une politique pour attribuer des autorisations à un utilisateur, groupe ou rôle IAM.

Q : Comment puis-je attribuer des autorisations à l'aide d'une politique ?

Vous pouvez attribuer des autorisations à l'aide d'AWS Management Console, de l'API IAM ou de la ligne de commande AWS. Le propriétaire du compte et les utilisateurs IAM auxquels ont été octroyées les autorisations nécessaires peuvent créer des politiques et les attribuer aux utilisateurs, groupes et rôles IAM. Il existe deux types de politique : les politiques incluses et les politiques gérées. Vous pouvez utiliser les deux types pour attribuer des autorisations aux utilisateurs, groupes et rôles IAM. Pour plus d'informations sur les politiques gérées et incluses, consultez la section Managed Policies and Inline Policies.

Q : Que sont les stratégies incluses ?

Les politiques incluses sont des politiques que vous créez avec un utilisateur, groupe ou rôle IAM. Pour modifier une politique incluse, vous devez modifier tous les utilisateurs, groupes et rôles IAM dans lesquels elle est incorporée. Pour plus d'informations sur les politiques incluses, y compris les cas d'utilisation, consultez la section Managed Policies and Inline Policies.

Q : Que sont les politiques gérées ?

Les politiques gérées sont des politiques autonomes que vous pouvez créer, modifier et gérer séparément des utilisateurs, groupes et rôles IAM auxquels elles sont associées. Après avoir associé une politique gérée à plusieurs utilisateurs, groupes ou rôles IAM, vous pouvez la modifier à un endroit pour que les autorisations s'appliquent à toutes les entités associées. Les politiques gérées sont gérées par les clients (politiques gérées par les clients) ou par AWS (politiques gérées AWS). Pour plus d'informations, consultez la section Managed Policies and Inline Policies.

Q : Comment puis-je facilement définir des autorisations fréquemment utilisées ?

AWS fournit un ensemble d'autorisations fréquemment utilisées que vous pouvez associer aux utilisateurs, groupes et rôles IAM de votre compte. Ces autorisations sont appelées politiques gérées AWS. L'accès en lecture seule à Amazon S3 est un exemple de politique gérée. Lorsqu'AWS met ces politiques à jour, les autorisations sont automatiquement appliquées aux utilisateurs, groupes et rôles auxquels les politiques sont associées. Les politiques gérées AWS apparaissent automatiquement dans la section Policies de la console IAM. Lorsque vous attribuez des autorisations, vous pouvez utiliser une politique gérée AWS ou en créer une basée sur une politique gérée AWS existante. Cette fonctionnalité est uniquement disponible pour les politiques gérées et remplace la fonctionnalité de modèle de politique. Lorsque vous créez une politique incluse, vous pouvez utiliser le générateur de politiques ou la créer manuellement.

Q : Comment les autorisations basées sur un groupe fonctionnent-elles ?

Vous pouvez utiliser les groupes IAM pour attribuer un même ensemble d'autorisations à plusieurs utilisateurs IAM.

Q : Quelle est la différence entre l'attribution d'autorisations à l'aide de groupes IAM et l'attribution d'autorisations à l'aide de politiques gérées ?

Vous pouvez utiliser des groupes IAM pour regrouper des utilisateurs IAM et définir des autorisations communes pour ces derniers. Vous pouvez utiliser des politiques gérées pour partager des autorisations avec des utilisateurs, groupes et rôles IAM. Par exemple, si vous souhaitez qu'un groupe d'utilisateurs soient en mesure de lancer une instance Amazon EC2 et si vous voulez que le rôle sur cette instance dispose des mêmes autorisations que les utilisateurs du groupe, vous pouvez créer une politique gérée et l'attribuer au groupe d'utilisateurs et au rôle sur l'instance Amazon EC2.

Q : Comment les politiques IAM sont-elles évaluées conjointement avec les politiques basées sur les ressources Amazon S3, Amazon SQS, Amazon SNS et AWS KMS ?

Les politiques IAM sont évaluées avec les politiques basées sur les ressources des services. Lorsqu'une politique de tout type accorde l'accès (sans le refuser explicitement), l'action est autorisée. Pour plus d'informations sur la logique d'évaluation des politiques, consultez la section IAM Policy Evaluation Logic

Q : Puis-je utiliser des politiques gérées en tant que politiques basées sur les ressources ?

Les politiques gérées ne peuvent être associées qu'aux utilisateurs, groupes ou rôles IAM et ne peuvent pas être utilisées en tant que politiques basées sur les ressources.

Q : Puis-je autoriser des utilisateurs IAM à accéder ou à modifier les informations de niveau compte (par exemple, moyen de paiement, adresse e-mail de contact ou historique de facturation) ?

Oui, vous pouvez déléguer à un utilisateur IAM ou fédéré la consultation des données de facturation AWS et la modification des informations de compte AWS. Pour plus d'informations sur le contrôle de l'accès à vos informations de facturation, consultez la section Controlling Access to Your Billing Information

Q : Qui peut créer les clés d'accès et les gérer dans un compte AWS ?

Seul le propriétaire du compte AWS peut gérer les clés d'accès pour le compte racine. Le propriétaire du compte et les rôles ou utilisateurs IAM auxquels ont été octroyés les autorisations nécessaires peuvent gérer les clés des utilisateurs IAM.

Q : Les utilisateurs d'un compte AWS peuvent-ils accéder aux ressources détenues par un autre compte AWS ?
Oui. A l'aide des rôles IAM, les utilisateurs IAM et fédérés peuvent accéder aux ressources d'un autre compte AWS par le biais d'AWS Management Console, de la ligne de commande AWS ou des API. Pour plus d'informations, consultez la page Manage IAM Roles.


Q : Qu'est-ce que le simulateur de politique IAM ?
Le simulateur de politique IAM est un outil vous permettant de tester les effets des politiques de contrôle d'accès IAM avant de les appliquer dans l'environnement de production.

Q : Quels sont les problèmes réglés par le simulateur de politique ?
Le simulateur de politique facilite la vérification et le dépannage des permissions. Auparavant, il était nécessaire de rédiger les politiques et de les envoyer dans l'environnement de production avant de pouvoir tester leurs effets.

Q : Qui peut utiliser le simulateur de politique ?
Le simulateur de politique est disponible pour tous les clients AWS.

Q : Quel est le coût du simulateur de politique ?
Le simulateur de politique est disponible gratuitement.

Q : Comment bénéficier du service ?
Rendez-vous sur https://policysim.aws.amazon.com ou cliquez sur le lien de la console IAM sous « More to Explore ». Sélectionnez ou indiquez la politique que vous souhaitez évaluer, choisissez des actions dans la liste des services AWS, et cliquez sur le bouton pour effectuer une simulation et découvrir si la politique autorisera ou non les utilisateurs à effectuer les actions sélectionnées. Pour en savoir plus sur le simulateur de politique IAM, regardez notre vidéo de mise en route ou plongez directement au cœur de la documentation.

Q : Quels sont les types de politiques pris en charge par le simulateur de politique ?
Le simulateur de politique prend en charge les politiques récemment créées, ainsi que les politiques existantes attachées aux utilisateurs, aux groupes ou aux rôles. Vous pouvez également effectuer une simulation pour vérifier si des politiques au niveau des ressources autorisent l'accès à une ressource en particulier. Le simulateur de politique ne prend pas en charge les politiques basées sur les ressources, c'est-à-dire celles directement associées à des compartiments S3, des files d'attente SQS et des rubriques SNS.

Q : Si je modifie une politique dans le simulateur de politique, ces modifications sont-elles répercutées dans l'environnement de production ?
Non. Pour appliquer les changements à l'environnement de production, copiez la politique que vous avez modifiée dans le simulateur de politique et attachez-la à l'utilisateur, au groupe ou au rôle IAM désiré.

Q : Le simulateur de politique sera-t-il intégré dans la console ?
Oui, cela est prévu pour une version ultérieure.


Q : Comment les utilisateurs se connectent-ils ?
Un utilisateur doit s'identifier à l'URL de connexion du compte en utilisant son nom d'utilisateur et son mot de passe IAM. L'URL de connexion figure dans le tableau de bord de la console IAM et doit être transmise par l'administrateur système du compte AWS à l'utilisateur IAM.

Q : Qu'est-ce qu'un alias de compte AWS ?
L'alias de compte est un nom que vous définissez pour faciliter l'identification de votre compte. Vous pouvez créer un alias en utilisant les API d'IAM, les Outils de ligne de commande, ou via la console IAM. Vous pouvez avoir un alias par compte AWS.

Q : L'utilisateur doit-il toujours utiliser le lien direct ?
La première fois qu'un utilisateur se connecte, il doit utiliser l'URL spécifique du compte. Après cela, l'URL spécifique du compte sera stockée sous forme de cookie dans le navigateur de l'utilisateur. Ceci permet à un utilisateur de retourner sur http://aws.amazon.com et de cliquer sur le lien de connexion à AWS Management Console pour se connecter. Si l'utilisateur efface les cookies de son navigateur ou utilise un autre navigateur, alors il doit de nouveau indiquer l'URL spécifique du compte.

Q : A quels sites AWS mes utilisateurs peuvent-ils accéder ?
Les utilisateurs peuvent se connecter aux sites AWS suivants :

Q : Les utilisateurs peuvent-ils se connecter aux sites marchands d'Amazon ?
Non. Les utilisateurs créés avec IAM sont uniquement reconnus par les services et applications AWS.

Q : Une API d'authentification permet-elle de vérifier les connexions des utilisateurs ?
Non. Il n'y a pas de moyen via un programme pour vérifier les connexions d'utilisateurs.

Q : Les utilisateurs SSH d'instances EC2 peuvent-ils se connecter en utilisant leur nom d'utilisateur et mot de passe AWS ?
Non. Les informations d'identification de sécurité créées avec IAM ne prennent pas en charge l'authentification directe des utilisateurs sur les instances EC2 du client. Il incombe au client de gérer les informations d'identification SSH EC2 au sein de la console EC2.


Q : Que se passe-t-il si un utilisateur essaie d'accéder à un service qui n'a pas encore été intégré à IAM ?
Le service renvoie une erreur de type « access denied » (accès refusé).

Q : Les actions AWS Identity and Access Management sont-elles consignées à des fins d'audit ?
Oui. Vous pouvez consigner des actions IAM, des actions STS et des connexions AWS Management Console en activant AWS CloudTrail. Pour en savoir plus sur la consignation AWS, consultez la page consacrée à CloudTrail.

Q : Y a-t-il une distinction entre les personnes et les agents logiciels en tant qu'entités AWS ?
Non, ces deux entités sont traitées comme des utilisateurs dotés d'informations d'identification de sécurité et d'autorisations. Cependant, seules les personnes utilisent un mot de passe dans AWS Management Console.

Q : Les utilisateurs font-ils appel aux services AWS Support et Trusted Advisor ?
Oui, les utilisateurs IAM ont la possibilité de créer et de modifier des cas de support. Ils peuvent également exploiter les fonctions Trusted Advisor.

Q : Des quotas sont-ils associés par défaut à IAM ?
Oui, par défaut, votre compte AWS dispose de quotas fixés au départ pour toutes les entités IAM. Pour en savoir plus, consultez la section « Limitations on IAM Entities ».

Ces quotas sont susceptibles d'être modifiés. Si vous avez besoin que ces quotas soient revus à la hausse, vous pouvez renseigner le formulaire Augmentation des limites de service en vous rendant sur la page Contactez-nous et en sélectionnant « Groupes et utilisateurs IAM ».

Q : Qu'est-ce qu'AWS MFA ?
AWS Multi-Factor Authentication (AWS MFA) fournit un niveau de sécurité supplémentaire que vous pouvez appliquer à votre environnement AWS. Vous pouvez activer AWS MFA pour votre compte AWS et pour les utilisateurs individuels d'AWS Identity and Access Management (IAM) que vous avez créés dans le cadre de votre compte.

Q : Comment fonctionne AWS MFA ?
AWS MFA utilise un dispositif d'authentification qui génère au hasard et en continu des codes d'authentification de six chiffres à utilisation unique. Pour s'authentifier à l'aide d'un dispositif AWS MFA, il existe deux méthodes principales :

Pour ceux qui utilisent AWS Management Console : Quand AWS MFA est activé, lorsque l'utilisateur se connecte à un site AWS, il est invité à saisir son nom d'utilisateur et son mot de passe (le premier facteur – ce qu'il sait), ainsi qu'un code d'authentification pour son dispositif AWS MFA (le second facteur – ce qu'il a). Tous les sites Web AWS qui nécessitent une identification, comme AWS Management Console, sont intégrés à AWS MFA. Vous pouvez également utiliser AWS MFA avec l'option de suppression sécurisée Amazon S3 pour une protection supplémentaire de vos versions stockées sur Amazon S3.

Pour ceux qui utilisent les API AWS : Vous pouvez appliquer l'authentification MFA en ajoutant des restrictions MFA aux politiques IAM. Pour accéder aux API et ressources ainsi protégées, les développeurs peuvent utiliser des identifiants de sécurité temporaires et transmettre les paramètres MFA facultatifs dans leurs requêtes à l'API AWS STS (Security Token Service, service qui octroie des identifiants de sécurité temporaires). Les identifiants de sécurité temporaires validés par MFA servent à appeler les API et ressources protégées par MFA.

Q : Comment bénéficier du service AWS MFA ?
Pour cela, il vous suffit d'effectuer les deux étapes suivantes :

Obtenir un dispositif d'authentification. Vous avez deux options:

– Vous pouvez acheter un dispositif matériel qui est compatible avec le service AWS MFA auprès de Gemalto, un fournisseur tiers.
– Vous pouvez installer une application compatible AWS MFA sur un appareil tel que votre smartphone.

Consultez la page MFA pour savoir comment acheter un dispositif MFA matériel ou virtuel.

Une fois équipé d'un dispositif d'authentification, vous devez l'activer. Vous activez un dispositif AWS MFA pour votre compte AWS ou vos utilisateurs IAM dans la console IAM. Vous pouvez aussi utiliser la CLI IAM pour l'activer pour un utilisateur IAM.

Q : Y-a-t-il des frais associés à l'utilisation d'AWS MFA ?
AWS ne facture pas de frais supplémentaires pour l'utilisation d'AWS MFA avec votre compte AWS. Cependant, si vous voulez utiliser un dispositif d'authentification physique, alors il faudra acheter un dispositif d'authentification qui est compatible avec AWS MFA provenant de Gemalto, un fournisseur tiers. Pour plus de détails, veuillez vous rendre sur le site Web de Gemalto.

Q : Puis-je utiliser plusieurs dispositifs d'authentification actifs pour mon compte AWS ?
Oui. Avec l'introduction de AWS Identity and Access Management (IAM), chaque utilisateur IAM peut avoir son propre dispositif d'authentification.

Q : Puis-je utiliser mon dispositif d'authentification pour différents comptes AWS ?
Non. Le dispositif d'authentification est lié à un compte AWS individuel ou à un utilisateur IAM. Si vous avez une application compatible avec la norme TOTP installée sur votre smartphone, vous pouvez créer plusieurs dispositifs MFA virtuels sur le même smartphone. Chacun des dispositifs MFA virtuels est lié à un compte AWS individuel ou à un utilisateur IAM, exactement comme un dispositif matériel. Si vous dissociez (désactivez) le dispositif d'authentification, vous pouvez ensuite le réutiliser avec un autre compte AWS ou avec un utilisateur IAM. Le dispositif d'authentification ne peut pas être utilisé avec plus d'un compte AWS ou utilisateur IAM simultanément.

Q : Je possède déjà un dispositif d'authentification sur mon lieu de travail ou pour un autre service que j'utilise, puis-je réutiliser ce dispositif avec AWS MFA ?
Non. AWS MFA compte sur le fait de connaître un secret unique associé avec votre dispositif d'authentification afin de prendre en charge son utilisation. En raison des contraintes de sécurité qui obligent que ces secrets ne soient jamais partagés entre des parties multiples, AWS MFA ne peut pas prendre en charge l'utilisation de votre dispositif d'authentification existant. Seul un dispositif d'authentification compatible acheté auprès de Gemalto peut être utilisé avec AWS MFA.

Q : Je rencontre des problèmes pour passer la commande d'un dispositif d'authentification à partir du site Web du fournisseur tiers Gemalto. Où puis-je trouver de l'aide ?
Le service client de Gemalto vous aidera avec plaisir.

Q : J'ai reçu un dispositif d'authentification défectueux ou endommagé du fournisseur tiers Gemalto. Où puis-je trouver de l'aide ?
Le service client de Gemalto vous aidera avec plaisir.

Q : Je viens de recevoir un dispositif d'authentification du fournisseur tiers Gemalto. Que dois-je faire ?
Il vous suffit simplement d'activer le dispositif afin d'activer AWS MFA pour votre compte AWS. Cliquez ici pour utiliser la console IAM pour réaliser cette tache.

Q : Qu'est ce qu'un dispositif MFA virtuel ?
Un dispositif MFA virtuel est une entrée créée dans une application logiciel compatible TOTP qui peut générer des codes d'authentification à six chiffres. L'application logiciel peut être exécutée sur n'importe quel dispositif matériel, tel qu'un smartphone.

Q : Quelles sont les différences entre un dispositif MFA virtuel et les dispositifs MFA physiques ?
Les dispositifs MFA virtuels utilisent les mêmes protocoles que les dispositifs MFA physiques. Les dispositifs MFA virtuels sont basés sur un logiciel, et peuvent être exécutés sur vos appareils existants tel qu'un smartphone. La plupart des applications MFA virtuelles vous permettent aussi d'activer plus d'un dispositif MFA virtuel ce qui les rend plus pratiques que les dispositifs MFA physiques.

Q : Quelles sont les applications MFA virtuelles prises en charge avec AWS MFA¬?
Les applications qui génèrent des codes d'authentification conformes à la norme TOTP, telles que l'application AWS Virtual MFA, peuvent être utilisées avec AWS MFA. Nous prenons en charge la mise en service des dispositifs MFA virtuels soit en scannant automatiquement un code QR avec l'appareil photo du dispositif, soit par le biais d'une entrée source manuelle dans l'application MFA virtuelle.

Consultez la page MFA pour connaître la liste des applications MFA virtuelles prises en charge.

Q : Qu'est-ce qu'un code QR ?
Un code QR est une abréviation pour code Quick Response et est un code barre bidimensionnel qui est lisible par les lecteurs de code barre dédiés et la majorité des appareil photo de téléphones. Le code consiste en modules noirs arrangés en forme de carré sur un fond blanc. Le code QR contient les informations de configuration de sécurité requises pour acquérir un dispositif MFA virtuel dans votre application MFA virtuelle.

Q : Comment mettre en service un nouveau dispositif MFA virtuel ?
Un nouveau dispositif MFA virtuel peut être configuré dans la console IAM pour vos utilisateurs IAM ainsi que pour votre compte AWS. Vous pouvez aussi utiliser la commande iam-virtualmfadevicecreate dans la CLI IAM ou l'API CreateVirtualMFADevice pour mettre en service de nouveaux dispositifs MFA virtuels dans le cadre de votre compte. L'API iam-virtualmfadevicecreate et CreateVirtualMFADevice renvoie les informations de configuration requises, nommées une source, pour amorcer le dispositif MFA virtuel dans votre application compatible AWS MFA. Vous pouvez soit autoriser à vos utilisateurs IAM les permissions pour appeler cet API directement ou effectuer l'acquisition initiale en leur nom.

Q : Comment dois-je gérer et distribuer le matériel source pour les dispositifs MFA virtuels ?
Vous devez traiter le matériel source comme tout autre élément confidentiel (par exemple, les clés secrètes et mots de passe AWS).

Q : Comment puis-je activer un utilisateur IAM pour gérer mes dispositifs MFA virtuels dans le cadre de mon compte ?
Donner à l’utilisateur IAM la permission d’appeler l’API CreateVirtualMFADevice. Cet API peut être utilisé pour acquérir de nouveaux dispositifs MFA virtuels.

Q : Où puis-je activer AWS MFA ?
Vous activez AWS MFA pour votre compte AWS et vos utilisateurs IAM dans la console IAM, la CLI IAM ou via des appels directs d'API.

Q : De quelles informations aurai-je besoin pour activer mon dispositif d'authentification ?
Si vous activez le dispositif MFA avec la console IAM alors vous n'aurez besoin que du dispositif. Si vous utilisez le CLI IAM ou l'API IAM alors vous aurez besoin de la chose suivante :

1. Le numéro de série du dispositif d'authentification. Le numéro de série est différent selon qu'il s'agit d'un dispositif matériel ou virtuel :

– Dispositif MFA matériel : Le numéro de série figure sur l'étiquette code-barres au dos du dispositif.
– Dispositif MFA virtuel : Le numéro de série est la valeur renvoyée lors de l'exécution de la commande iam-virtualmfadevicecreate dans la CLI IAM. ou en appelant l'API CreateVirtualMFADevice.

2. Les deux codes d'authentification consécutifs affichés sur le dispositif d'authentification.

Q : Mon dispositif d'authentification semble fonctionner normalement, mais je ne peux pas l'activer. Que dois-je faire ?
Veuillez nous contacter pour obtenir de l'aide.

Q : Si j'active AWS MFA pour mon compte AWS ou mes utilisateurs IAM, ces derniers doivent-ils toujours saisir un code d'authentification pour se connecter à toutes les fonctionnalités AWS ?
Oui. AWS prend en charge SSO (inscription seule) ce qui signifie que lorsque vous vous connectez sur n'importe quel site AWS, vous vous connectez sur tous les sites AWS. Ceci signifie que votre compte AWS ou n'importe quel utilisateur IAM a un dispositif MFA qui lui est attribué, ensuite il aura besoin d'utiliser ce dispositif d'authentification chaque fois qu'il se connecte.

Q : Si j'active AWS MFA pour mon compte AWS ou mes utilisateurs IAM, ces derniers auront-ils toujours besoin d'un code d'authentification pour se connecter au portail AWS ou à AWS Management Console ?
Oui. Le compte AWS et vos utilisateurs IAM devront avoir leur dispositif MFA avec eux quand ils voudront se connecter à n'importe quel site AWS.

Si le dispositif d'authentification associé au compte AWS est endommagé, perdu, volé ou cesse de fonctionner, vous devrez nous contacter afin que nous vous aidions à désactiver la fonction AWS MFA pour votre compte. Ceci vous permettra de vous connecter temporairement à AWS en n'utilisant que votre nom d'utilisateur et votre mot de passe pour le compte AWS.

Si vos utilisateurs IAM perdent ou abîment le dispositif d'authentification, s'il est volé ou s'il cesse de fonctionner, vous pouvez désactiver la fonction AWS MFA vous-même en utilisant la console IAM ou la CLI IAM.

Q : Si j'active AWS MFA pour mon compte AWS ou mes utilisateurs IAM, ces derniers doivent-ils toujours saisir un code MFA pour appeler directement des API AWS ?
Non, ce n'est pas nécessaire. Toutefois, ils devront saisir un code MFA s'ils envisagent d'appeler des API sécurisées dont l'accès est protégé par MFA.

Si vous appelez des API AWS à partir de votre compte racine ou avec les clés d'accès d'un utilisateur IAM, vous n'avez pas besoin de saisir de code MFA. Pour des raisons de sécurité, AWS recommande de supprimer les clés d'accès de votre compte racine et d'appeler plutôt les API AWS avec des identifiants IAM.

Q : Comment me connecter au portail AWS et à AWS Management Console en utilisant mon dispositif d'authentification ?
Effectuez ces deux étapes :

Si vous vous connectez sous un compte AWS, connectez-vous comme d'habitude avec votre nom d'utilisateur et votre mot de passe quand vous y êtes invité. Pour vous connecter en tant qu'utilisateur IAM, utilisez l'URL spécifique au compte et fournissez votre nom d'utilisateur et votre mot de passe quand vous y êtes invité.

Sur la page suivante, saisissez le code d'identification à six chiffres qui apparaît actuellement sur votre dispositif d'authentification.

Q : La fonction AWS MFA a-t-elle un effet sur la manière dont j'accède aux API des services AWS ?
AWS MFA modifie la façon dont les utilisateurs IAM accèdent aux API de service AWS uniquement si le ou les administrateurs du compte décident d'activer l'accès aux API protégé par MFA. Les administrateurs peuvent activer cette fonction afin d'ajouter une couche de sécurité supplémentaire pour l'accès aux API sensibles en exigeant que les appelants s'authentifient à l'aide d'un dispositif AWS MFA. Pour en savoir plus, étudiez de manière plus approfondie la documentation sur l'accès aux API protégé par MFA.

Parmi les autres exceptions figurent les API S3 de suppression d'objets (DELETE) et de gestion de versions des compartiments (PUT et GET), lesquelles vous permettent de demander que la suppression ou la modification de l'état du contrôle de version de votre compartiment requière un code d'authentification supplémentaire. Pour en savoir plus, lisez attentivement la documentation S3 concernant la configuration d'un compartiment avec l'option de suppression MFA.

Dans tous les autres cas, AWS MFA ne change actuellement pas la manière dont vous accédez aux API de service AWS.

Q : Puis-je utiliser un code d'authentification plus d'une fois¬?
Non. Pour des raisons de sécurité, chaque code d'authentification ne peut être utilisé qu'une fois.

Q : Il m'a récemment été demandé de resynchroniser mon dispositif d'authentification parce que mes codes d'authentification ont été rejetés. Dois-je m'en préoccuper ?
Non, ceci peut se produire de façon occasionnelle. AWS MFA s'appuie sur l'horloge dans votre dispositif d'authentification qui doit être synchronisée à l'horloge dans nos serveurs. Parfois, en raison de facteurs environnementaux, tels que la température, l'humidité et la pression, ces horloges peuvent différer. Si ceci a lieu, lorsque vous utilisez le dispositif pour vous connecter et accéder à des pages sécurisées sur le site Web AWS ou l'AWS Management Console, nous essaierons automatiquement de resynchroniser le dispositif en demandant que vous fournissiez deux codes d'authentification consécutifs (comme vous l'aviez fait pendant l'activation).

Q : Mon dispositif d'authentification semble fonctionner normalement, mais je ne peux pas l'utiliser pour me connecter au portail AWS ou à AWS Management Console. Que dois-je faire ?
Nous vous conseillons d'essayer de resynchroniser le dispositif d'authentification. Pour ce faire, utilisez ce lien si votre dispositif MFA protège vos informations d'identification racine (identification requise), ou ce lien s'il s'agit de vos informations d'identification d'utilisateur IAM. Si vous déjà essayé de le resynchroniser et que vous rencontrez toujours des problèmes de connexion, veuillez nous contacter pour obtenir de l'aide.

Q : Mon dispositif d'authentification est perdu, endommagé ou a été volé, et je ne peux plus me connecter au portail AWS ou à AWS Management Console. Que dois-je faire ?
Si le dispositif d'authentification est associé à un compte AWS, effectuez les étapes suivantes :

Contactez-nous pour obtenir de l'aide par rapport à la désactivation d'AWS MFA afin de pouvoir accéder temporairement aux pages sécurisées sur le site Web AWS et sur AWS Management Console en n'utilisant que votre nom d'utilisateur et votre mot de passe.

Modifiez votre mot de passe Amazon au cas où un pirate ait volé votre dispositif d'authentification et détienne également votre mot de passe actuel.

Achetez un nouveau dispositif d'authentification auprès du fournisseur tiers Gemalto en vous rendant sur son site Web ou achetez un nouveau dispositif MFA virtuel dans le cadre de votre compte en utilisant la console IAM.

Une fois que vous avez terminé les étapes ci-dessus, utilisez la console IAM pour activer le dispositif d'authentification pour ré activer la MFA AWS pour votre compte AWS.

Si le dispositif d'authentification est associé avec un utilisateur IAM, vous pouvez utiliser la console IAM, le CLI IAM ou l'API IAM pour supprimer le dispositif MFA pour l'utilisateur IAM.

Q : Mon dispositif d'authentification ne fonctionne plus et je ne peux plus me connecter au portail AWS ou à AWS Management Console. Que dois-je faire ?
Si le dispositif d'authentification physique est associé à un compte AWS, effectuez les étapes suivantes :

Contactez-nous pour obtenir de l'aide par rapport à la désactivation d'AWS MFA afin de pouvoir accéder temporairement aux pages sécurisées sur le site Web AWS et sur AWS Management Console en n'utilisant que votre nom d'utilisateur et votre mot de passe.

Contactez le fournisseur tiers Gemalto pour obtenir une aide supplémentaire concernant le dispositif d'authentification.

Une fois que vous avez un autre dispositif d'authentification, revenez sur le site Web AWS et activez le dispositif pour réactiver AWS MFA pour votre compte AWS, comme précédemment.

Si le dispositif d'authentification est associé à un utilisateur IAM, vous devriez contacter la personne qui vous a donné le nom d'utilisateur et le mot de passe pour l'utilisateur IAM.

Q : Comment puis-je désactiver AWS MFA ?
Pour désactiver AWS MFA sur votre compte AWS, vous devez désactiver votre dispositif d'authentification à partir de la page relative aux identifiants de sécurité. Pour désactiver AWS MFA pour vos utilisateurs IAM, vous devez utiliser la console IAM ou la CLI IAM. Actuellement, les utilisateurs IAM ne peuvent pas désactiver AWS MFA eux-mêmes.

Q : Puis-je utiliser AWS MFA dans GovCloud ?
Oui, vous pouvez utiliser un dispositif AWS MFA virtuel dans GovCloud. AWS ne prend actuellement pas en charge les dispositifs MFA matériels dans GovCloud.

Q : En quoi consiste l'accès aux API protégé par MFA ?
L'accès aux API protégé par MFA est une fonction proposée en option qui permet aux administrateurs du compte d'exiger un niveau d'authentification supplémentaire pour certaines API définies par le client ; les utilisateurs doivent alors prouver qu'ils possèdent physiquement un dispositif MFA. En particulier, les administrateurs peuvent spécifier des conditions au sein de leurs politiques IAM afin d'exiger une authentification MFA pour certaines API. Les utilisateurs appelant ces API doivent donc avoir saisi au préalable le code MFA valide affiché sur leur dispositif.

Q : Quel est l'intérêt de l'accès aux API protégé par MFA ?
Auparavant, les clients pouvaient demander une authentification MFA pour accéder à AWS Management Console, mais ils ne pouvaient pas appliquer ces restrictions MFA aux développeurs et applications interagissant directement avec les API de service AWS. L'accès aux API protégé par MFA garantit l'application systématique des politiques IAM, quel que soit le chemin d'accès emprunté. Ainsi, vous pouvez désormais développer votre propre application reposant sur AWS, qui exige de l'utilisateur une authentification MFA avant d'appeler les API principales ou d'accéder à des ressources sensibles.

Q : Comment activer l'accès aux API protégé par MFA ?
Vous n'avez que deux étapes simples à réaliser :

  1. Vous affectez un dispositif MFA à vos utilisateurs IAM. Vous pouvez acheter une clé d'accès matérielle ou télécharger une application TOTP gratuite sur votre smartphone, tablette ou ordinateur. Consultez la page de présentation de la fonction MFA pour en savoir plus les dispositifs AWS MFA.
  2. Activez l'accès aux API protégé par MFA en créant des politiques d'accès pour les utilisateurs et groupes IAM auxquels vous voulez imposer une authentification MFA. Pour ce faire, utilisez la console IAM, l'interface de ligne de commande IAM ou encore l'API IAM. Pour en savoir plus sur la syntaxe de langage des stratégies d'accès, consultez la documentation sur le langage des stratégies d'accès.

Q : Comment les développeurs et utilisateurs accèdent-ils aux API et ressources sécurisées via l'accès aux API protégé par MFA ?
Les développeurs et utilisateurs utilisent l'accès aux API protégé par MFA à la fois dans AWS Management Console et dans les API.

Dans AWS Management Console, tout utilisateur IAM auquel les restrictions MFA s'appliquent doit s'authentifier avec son propre dispositif afin de pouvoir se connecter. Les utilisateurs non concernés par l'authentification MFA n'auront pas accès aux API et ressources protégées par la fonction MFA.

Au niveau des API, les développeurs peuvent intégrer AWS MFA à leurs applications afin d'inviter les utilisateurs à s'authentifier avec leurs dispositifs MFA respectifs, avant d'appeler les API principales ou d'accéder à des ressources sensibles. Les développeurs activent cette fonctionnalité en ajoutant des paramètres MFA facultatifs (numéro de série et code MFA) aux requêtes en vue d'obtenir des identifiants de sécurité temporaires (ces requêtes sont appelées « requêtes de session »). Si les paramètres sont valides, les identifiants de sécurité temporaires du statut MFA sont renvoyés. Consultez la documentation relative aux identifiants de sécurité temporaires pour en savoir plus.

Q : Qui peut utiliser l'accès aux API protégé par MFA ?
Tous les clients AWS peuvent utiliser l'accès aux API protégé par MFA gratuitement.

Q : Quels services fonctionnent avec l'accès aux API protégé par MFA ?
L'accès aux API protégé par MFA est pris en charge par l'ensemble des services AWS qui acceptent les identifiants de sécurité temporaires. Pour connaître la liste des services pris en charge, reportez-vous à la documentation sur les identifiants de sécurité temporaires.

Q : Que se passe-t-il si un utilisateur transmet des informations erronées concernant le dispositif MFA alors qu'il demande des identifiants de sécurité temporaires ?
La demande échoue et l'utilisateur ne reçoit pas d'identifiants de sécurité temporaires. Lorsqu'un utilisateur IAM demande des identifiants de sécurité temporaires en spécifiant des paramètres MFA, il doit fournir le numéro de série de son dispositif, ainsi qu'un code MFA valide.

Q : L'accès aux API protégé par MFA s'applique-t-il aux comptes racine ?
Non, l'accès aux API protégé par MFA contrôle uniquement l'accès des utilisateurs IAM. Les comptes racine ne sont liés à aucune politique IAM ; c'est pourquoi, AWS vous recommande de créer des utilisateurs IAM pour interagir avec les API de service AWS et non d'utiliser les identifiants de connexion au compte racine.

Q : Est-il impératif qu'un utilisateur se voie attribuer un dispositif MFA afin d'utiliser l'accès aux API protégé par MFA ?
Oui, tout utilisateur doit d'abord être affecté à un dispositif MFA matériel ou virtuel unique.

Q : L'accès aux API protégé par MFA est-il compatible avec les objets S3, les files d'attente SQS et les sujets SNS ?
Oui.

Q : Comment l'accès aux API protégé par MFA s'applique-t-il aux cas d'utilisation existants de la fonction MFA, tels que l'option de suppression MFA S3 ?
L'accès aux API protégé par MFA et l'option de suppression MFA S3 sont totalement indépendants. L'option de suppression MFA S3 ne prend actuellement pas en charge les identifiants de sécurité temporaires. Les appels à l'API de suppression S3 MFA doivent donc utiliser des clés d'accès durables.

Q : Est-ce que l'accès aux API protégé par MFA fonctionne dans GovCloud ?
Oui.

Q : Est-ce que l'accès aux API protégé par MFA fonctionne pour les utilisateurs fédérés ?
Les clients ne peuvent pas utiliser l'accès aux API protégé par MFA pour contrôler les accès des utilisateurs fédérés. En effet, l'API GetFederatedSession n'accepte pas les paramètres MFA. Etant donné que les utilisateurs fédérés ne peuvent pas s'authentifier à l'aide de dispositifs AWS MFA, ils ne peuvent pas accéder aux ressources sécurisées par la protection MFA de l'accès aux API.