Amazon Web Services

Compte / Console

FAQ AWS Identity and Access Management

Général

Q : Qu'est-ce qu'AWS Identity and Access Management (IAM) ?

AWS Identity and Access Management (IAM) vous permet de contrôler de façon sécurisée l'accès aux services et ressources AWS pour vos utilisateurs. IAM vous permet de créer et gérer les utilisateurs dans le système de gestion des identités d'AWS (appelés ''utilisateurs IAM''), et aussi d'accorder l'accès aux ressources AWS aux utilisateurs gérés en dehors d'AWS dans votre répertoire général (appelés ''utilisateurs fédérés''). IAM offre une plus grande sécurité et flexibilité, et un meilleur contrôle lors de l'utilisation d'AWS.

Q : Quel problème résout IAM ?

IAM permet de fournir plus facilement à plusieurs utilisateurs un accès sécurisé à votre compte et vos ressources AWS. IAM vous permet de :

Gérer les utilisateurs IAM et leur accès – Vous pouvez créer des utilisateurs dans le système de gestion des identités; attribuer aux utilisateurs des identifiants de sécurité individuels (c'est-à-dire, les clés d'accès, le mot de passe, les dispositifs d'authentification multifactorielle) ou demander des identifiants de sécurité temporaires pour leur fournir l'accès aux services et ressources AWS. Vous pouvez gérer les autorisations pour contrôler quelles opérations un utilisateur peut effectuer.
Gérer l'accès aux utilisateurs fédérés – Vous pouvez demander des identifiants sécurisés avec des expirations configurables pour les utilisateurs que vous gérez dans votre répertoire général, ce qui vous permet de fournir à vos employés et à vos applications un accès sécurisé dans votre compte AWS, sans leur créer un utilisateur IAM. Vous indiquez les autorisations pour ces identifiants de sécurité pour contrôler quelles opérations un utilisateur peut effectuer.

Q : Qui peut utiliser IAM ?

N'importe quel client AWS peut utiliser IAM. Ce service est offert gratuitement. Vous ne serez facturé que pour l'utilisation des autres services AWS par vos utilisateurs.

Q : Quelles sont les caractéristiques principales d'IAM ?

IAM permet de :

Créer des identités d'utilisateur IAM – Ajoutez des utilisateurs IAM à votre compte AWS.
Organiser les utilisateurs IAM en groupes – Créez des groupes pour gérer facilement les autorisations de plusieurs utilisateurs IAM sous votre compte.AWS.
Contrôle centralisé de l'accès Utilisateur – Contrôlez les opérations que chaque utilisateur peut réaliser, comme l'accès aux API et ressources de service AWS.
Accès utilisateur conditionnel – Ajoutez des conditions pour contrôler la façon dont vos utilisateurs peuvent utiliser AWS, comme l'heure du jour, leur adresse IP d'origine, ou s'ils utilisent SSL.
Créer et attribuer des identifiants de sécurité – Attribuez des identifiants de sécurité à vos utilisateurs, et alternez et/ou annulez ces identifiants, comme souhaité.
Créer des identifiants de sécurité temporaires – Demandez des identifiants de sécurité temporaires avec une expiration et des autorisations configurables pour vos utilisateurs IAM, vos utilisateurs fédérés ou vos applications.

Q : Qu'est-ce qu'un utilisateur ?

Un utilisateur est une identité unique reconnue par les services et les applications AWS. Semblable à un identifiant de connexion dans un système d'exploitation comme Windows ou UNIX, un utilisateur possède un nom unique et peut s'identifier à l'aide d'identifiants de sécurité courants, comme le mot de passe ou une clé d'accès. Un utilisateur peut être un individu, un système ou une application ayant besoin d'accéder aux services AWS. IAM prend en charge les utilisateurs gérés dans le système de gestion des identités d'AWS (appelés "utilisateurs IAM"), et vous permet aussi d'accorder l'accès aux ressources AWS aux utilisateurs gérés en dehors d'AWS dans votre répertoire général (appelés "utilisateurs fédérés").

Q : Que peut faire un utilisateur ?

Un utilisateur peut faire des demandes vers les services Web comme Amazon S3 et EC2. La capacité d'un utilisateur d'accéder aux API de service Web est sous le contrôle du et est de la responsabilité du compte AWS sous lequel il est défini - un utilisateur peut être autorisé à accéder à n'importe lequel ou à tous les services AWS qui ont été intégrés avec IAM et auquel le compte AWS est abonné. Si autorisé, un utilisateur a accès à toutes les ressources sous le compte AWS. De plus, si le compte AWS a accès aux ressources d'un autre compte AWS, ses utilisateurs pourront alors accéder aux données sous ces comptes AWS. Toute ressource AWS créée par un utilisateur est sous le contrôle et payée par son compte AWS. Un utilisateur ne peut pas indépendamment s'abonner aux services AWS ou contrôler des ressources.

Q : Comment les utilisateurs appelleront-ils les services AWS ?

Les utilisateurs peuvent faire des demandes aux services AWS à l'aide des identifiants de sécurité. La capacité d'un utilisateur à appeler des services AWS est régie par des autorisations explicites – par défaut, lorsqu'ils n'ont pas la capacité d'appeler des API de service au nom du compte.

Q : Comment démarrer avec IAM ?

Pour commencer à utiliser IAM, vous devez vous inscrire à au moins un des services AWS intégré à IAM. Ensuite, vous pouvez créer et gérer des utilisateurs, des groupes et des autorisations via les API d'IAM, les Outils de ligne de commande, ou via la console IAM, ce qui vous donne une interface Web pointer-cliquer. Vous pouvez aussi utiliser le Générateur de politique AWS pour créer des politiques.

Gestion des utilisateurs IAM

Q : Comment sont gérés les utilisateurs ?

IAM prend en charge plusieurs méthodes pour créer, supprimer et intégrer les utilisateurs IAM dans une liste, gérer l'adhésion de groupe, gérer les identifiants de sécurité d'utilisateurs et attribuer les autorisations. Ensuite, vous pouvez créer et gérer des utilisateurs, des groupes et des autorisations via les API d'IAM, les Outils de ligne de commande, ou via la console IAM, ce qui vous donne une interface Web pointer-cliquer. Vous pouvez aussi utiliser le Générateur de politique AWS pour créer des politiques.

Q : Qu'est-ce qu'un groupe ?

Un groupe est un ensemble d'utilisateurs. L'adhésion au groupe est gérée en tant que liste simple ; les utilisateurs peuvent être ajoutés ou enlevés d'un groupe. Un utilisateur peut appartenir à plusieurs groupes. Les groupes ne peuvent pas appartenir à d'autres groupes. Les groupes peuvent obtenir des autorisations utilisant les politiques de contrôle d'accès. Ceci facilite la gestion des autorisations pour un ensemble d'utilisateurs, plutôt que d'avoir à gérer les autorisations pour chaque utilisateur individuel. Les groupes n'ont pas d'identifiants de sécurité et ne peuvent pas accéder aux services Web directement ; ils existent uniquement pour faciliter la gestion des autorisations utilisateurs.

Q : Quels types d'identifiants de sécurité les utilisateurs peuvent-ils avoir ?

Un utilisateur IAM peut avoir n'importe quelle combinaison d'identifiants qu'AWS prend en charge – la clé d'accès AWS, le certificat X.509, le mot de passe pour les connexions d'application Web, le dispositif d'authentification multifactorielle (MFA). Ceci permet aux utilisateurs d'interagir avec AWS de la manière la plus logique pour eux – un employé peut avoir une clé d'accès et un mot de passe AWS ; un système logiciel peut n'avoir qu'une clé d'accès AWS pour faire des appels par programme ; et un fournisseur extérieur peut n'avoir qu'un certificat X.509 pour utiliser l'interface de ligne de commande EC2.

Q : Quels services AWS prennent en charge les utilisateurs IAM ?

Vous pouvez consulter la liste complète des services AWS qui prennent en charge les utilisateurs IAM dans la section Intégration à d'autres produits AWS de la documentation IAM. AWS prévoit d'ajouter la prise en charge d'autres services à l'avenir.

Q : L'accès utilisateur peut-il être activé/désactivé ?

Oui. Les clés d'accès d'un utilisateur IAM peuvent être activées et désactivées via les API d'IAM, les Outils de ligne de commande, ou via la console IAM. Désactiver les clés d'accès signifie que l'utilisateur ne pourra pas accéder aux services AWS via un programme.

Q : Qui peut gérer les utilisateurs pour un compte AWS ?

Le titulaire du compte AWS peut gérer les utilisateurs, groupes, identifiants de sécurité et autorisations. En outre, l'autorisation peut être accordée aux utilisateurs individuels pour faire des appels vers les API d'IAM afin de gérer les autres utilisateurs. Par exemple, un utilisateur administrateur peut être créé pour gérer les utilisateurs pour une entreprise - une pratique recommandée. Lorsqu'un utilisateur a reçu l'autorisation de gérer d'autres utilisateurs, il peut le faire via les API d'IAM, les Outils de ligne de commande, ou via la console IAM.

Q : Un ensemble d'utilisateurs peut-il être structuré de manière hiérarchique, comme dans LDAP ?

Oui. Les utilisateurs et les groupes peuvent être organisés sous des chemins, semblables à des chemins d'objet dans Amazon S3 – par exemple /mycompany/division/project/joe etc.

Q : Les utilisateurs peuvent-ils être définis selon des régions ?

Pas au départ. Les utilisateurs sont des entités mondiales, comme un compte AWS aujourd'hui. Il n'est pas nécessaire de spécifier une région lors de la définition des autorisations d'utilisateurs. les utilisateurs peuvent utiliser les services AWS dans une région géographique.

Q : Comment les dispositifs MFA sont-ils configurés pour les utilisateurs ?

Le titulaire de compte AWS peut commander des dispositifs MFA multiples. Ces dispositifs peuvent alors être attribués à des utilisateurs IAM individuels via les API d'IAM, les Outils de ligne de commande, ou la console IAM.

Q : Quel type de rotation de clé est pris en charge pour les utilisateurs ?

Les clés d'accès d'utilisateurs et les certificats X.509 peuvent être pivotés comme ils le sont pour les identifiants d'accès de compte racine AWS. Les clés d'accès d'utilisateurs et les certificats X 509 peuvent être gérés par programme via les API d'IAM, les Outils de ligne de commande, ou via la Console IAM.

Q : Les utilisateurs peuvent-ils avoir des clés EC2 SSH individuelles ?

Pas dans la première version. IAM n'affecte pas les clés EC2 SSH ou les certificats Windows RDP. Ceci signifie que, alors que chaque utilisateur dispose d'identifiants individuels pour accéder aux API de service Web, ils doivent partager les clés SSH communes dans le compte AWS sous lequel l'utilisateur a été défini.

Q : Les noms d'utilisateurs IAM doivent-ils être des adresses e-mail ?

Non ils ne doivent pas, mais ils peuvent l'être. Les noms d'utilisateurs sont juste des chaînes ASCII uniques au sein d'un compte AWS donné. Le titulaire du compte AWS peut attribuer des noms en utilisant une convention de dénomination de son choix, y compris les adresses e-mail.

Q : Les noms d'utilisateurs internationaux sont-ils pris en charge ?

Non. À l'heure actuelle, les noms d'utilisateurs IAM sont codés ASCII uniquement.

Q : Les attributs d'utilisateurs autres que le nom d'utilisateur sont-ils pris en charge ?

Pas à l'heure actuelle.

Q : Comment sont définis les mots de passe d'utilisateurs ?

Un mot de passe initial peut être défini pour un utilisateur IAM via la console IAM, les outils de ligne de commande ou les API d'IAM. Les mots de passe des utilisateurs n'apparaissent jamais en texte visible après leur mise en service initiale et ne sont jamais affichés ou renvoyés via un appel d'API. Les utilisateurs d'IAM peuvent gérer leurs mots de passe via la page My Password de la console IAM. Cette page est accessible en sélectionnant l'option Security Credentials dans le menu déroulant d'AWS Management Console (affiché dans l'angle supérieur droit).

Q : Est-il possible de définir une politique de gestion des mots de passe pour mes clients ?

Oui, vous pouvez définir une politique de gestion des mots de passe avec la console IAM, les outils de ligne de commande ou les API d'IAM. Vous pouvez définir les critères suivants :

Longueur minimum du mot de passe
Exigences de complexité (toute combinaison des critères suivants) :

Au moins une lettre en minuscule.

Au moins une lettre en majuscule.

Au moins un chiffre.

Au moins un symbole.

La politique de gestion des mots de passe sera appliquée dès que l'utilisateur d'IAM modifiera son mot de passe. Elle concernera tous les utilisateurs créés sous votre compte AWS. Pour plus d'informations, consultez la section Managing an IAM Password Policy dans la documentation relative à IAM.

Q : Puis-je définir des quotas sur les utilisateurs IAM ?

Non. Il n'est pas possible à l'heure actuelle de définir les quotas d'utilisation sur les utilisateurs IAM. Tous les quotas sont sur le compte AWS. Par exemple, un compte AWS aujourd'hui a une limite de 20 instances EC2, et le compte a une limite de 20 instances EC2 après utilisation de IAM pour créer des utilisateurs. Le nombre d'instances est associé au compte AWS et non pas aux utilisateurs individuels définis sous le compte.

Gestion des rôles IAM

Q : Qu'est-ce qu'un rôle IAM ?

Un rôle est une entité AWS Identity and Access Management (IAM) qui définit un ensemble d'autorisations permettant de demander des services AWS. Les rôles IAM ne sont associés à aucun groupe ou utilisateur spécifique. Ces rôles sont « endossés » par des entités de confiance, telles que des utilisateurs IAM, des applications ou des services AWS comme EC2.

Q : Quels sont les problèmes résolus par les rôles IAM ?

Un rôle IAM vous permet de déléguer l'accès, avec des autorisations définies, à des entités de confiance sans avoir à partager les clés d'accès à long terme. Vous pouvez utiliser les rôles IAM pour déléguer l'accès aux utilisateurs IAM gérés au sein de votre compte, aux utilisateurs IAM gérés sous un autre compte AWS ou à un service AWS tel qu'EC2.

Q : Comment démarrer avec les rôles IAM ?

Pour démarrer avec les rôles IAM, procédez comme suit :

Créez un rôle dans IAM.
Définissez les autorisations du rôle en y associant une politique IAM.
Déterminez les entités de confiance qui peuvent endosser ce rôle.
Une fois le rôle défini, une application faisant appel à un service AWS peut endosser ce rôle et, ainsi, disposer d'informations d'identification temporaires. L'application utilise alors ces informations d'identification AWS temporaires pour accéder aux services AWS.

Pour en savoir plus sur les rôles IAM, consultez la section Delegating API Access by Using Roles du manuel d'utilisation d'IAM.

Q : Comment endosser un rôle IAM ?

Pour endosser un rôle IAM, vous appelez l'API AWS AssumeRole de type STS (Security Token Service). L'API renvoie un jeu d'identifiants de sécurité temporaires. L'application peut ensuite s'identifier avec les informations d'identification du rôle pour lancer les API des services AWS.

Q : Combien de rôles IAM peut-on endosser ?

Il n'y pas de limite au nombre de rôles IAM que vous pouvez endosser. Néanmoins, lorsque vous envoyez une demande de service AWS, vous ne pouvez utiliser qu'un seul rôle IAM à la fois.

Q : Qui peut utiliser les rôles IAM ?

Tout client AWS peut utiliser cette fonctionnalité.

Q : Combien coûtent les rôles IAM ?

Les rôles IAM sont gratuits. Vous continuerez à payer uniquement pour les ressources consommées par les rôles de votre compte AWS.

Q : Comment les rôles IAM sont-ils gérés ?

Vous pouvez créer et gérer des rôles IAM via les API IAM, les outils de ligne de commande ou la console IAM, laquelle vous permet de bénéficier d'une interface Web de type pointer-cliquer.

Q : Quelle est la différence entre un rôle IAM et un utilisateur IAM ?

Un utilisateur IAM dispose d'informations d'identification à long terme et peut interagir directement avec les services AWS. Un rôle IAM ne dispose pas d'informations d'identification et ne peut pas envoyer directement de requêtes aux services AWS. Les rôles IAM sont normalement « endossés » par des entités autorisées, telles que des utilisateurs IAM, des applications ou un service AWS comme EC2.

Q : Quelle est la différence entre un rôle IAM et un groupe IAM ?

Un groupe IAM est un ensemble d'utilisateurs IAM qui partagent les mêmes autorisations. Un groupe IAM est principalement un outil pratique permettant de gérer le même jeu d'autorisations pour un ensemble d'utilisateurs IAM. Un rôle IAM est une entité AWS Identity and Access Management (IAM) disposant d'autorisations permettant d'envoyer des requêtes aux services AWS. Les rôles IAM ne peuvent pas envoyer directement des requêtes aux services AWS. Ils sont normalement « endossés » par des entités autorisées telles que les utilisateurs IAM, les applications ou les services AWS comme EC2.

Q : Est-il possible d'ajouter un rôle IAM à un groupe IAM ?

Pas à l'heure actuelle.

Q : Combien de politiques peut-on associer à un rôle IAM ?

Pour chaque rôle, la taille cumulée des politiques ne doit pas dépasser 10 240 caractères. Vous pouvez donc avoir autant de politiques que vous le souhaitez pour un rôle IAM donné, à condition que la taille totale de l'ensemble de ces politiques ne dépasse pas 10 240 caractères.

Q : Combien de rôles IAM peut-on créer ?

Votre compte AWS peut contenir au maximum 250 rôles IAM. Si vous avez besoin de davantage de rôles, remplissez le formulaire de demande d'augmentation de limite IAM et soumettez-le avec votre cas d'utilisation. L'augmentation de vos limites pour les rôles IAM sera alors étudiée.

Q : A quels services un rôle IAM peut-il faire appel ?

Votre application peut envoyer des requêtes à tous les services AWS prenant en charge les sessions de rôles. Pour consulter la liste complète de ces services, reportez-vous à la page présentant l'utilisation des identifiants de sécurité temporaires pour accéder à AWS.

Q : A quoi correspondent les rôles IAM pour les instances EC2 ?

Les rôles IAM pour les instances EC2 permettent à vos applications s'exécutant sur EC2 d'envoyer des requêtes à des services AWS, notamment Amazon S3, Amazon SQS et Amazon SNS, sans que vous n'ayez à copier les clés d'accès AWS sur chaque instance sur laquelle votre application est déployée.

Q : Quels sont les problèmes résolus par les rôles IAM pour les instances EC2 ?

Les rôles IAM pour les instances EC2 simplifient la gestion et le déploiement des clés d'accès AWS vers les instances EC2. Cette fonctionnalité vous permet d'associer un rôle AWS IAM (Identity and Access Management) à une instance. Ensuite, votre instance EC2 fournit les clés d'accès AWS des rôles aux applications qui s'exécutent, afin que ces dernières puissent envoyer des requêtes aux services AWS en toute sécurité.

Q : Comment puis-je faire mes premiers pas avec les rôles IAM pour les instances EC2 ?

Pour commencer à utiliser les rôles IAM pour les instances EC2 :

Créez un rôle dans IAM.
Lancez vos instances EC2 avec le rôle comme paramètre d'entrée.
Utilisez dans votre application les clés d'accès AWS associées aux rôles et mises à disposition sur l'instance EC2 pour envoyer les requêtes aux services AWS.

Pour en savoir plus sur les rôles IAM, consultez la section Working with Roles du manuel d'utilisation d'IAM. Pour en savoir plus sur l'utilisation des rôles IAM avec EC2, consultez la section Using IAM roles with Amazon EC2 Instances du manuel Amazon EC2 User Guide.

Q : Quelles sont les fonctionnalités des rôles IAM pour les instances EC2 ?

Les rôles IAM pour les instances EC2 fournissent les fonctionnalités suivantes :

Les clés d'accès AWS utilisées pour envoyer des requêtes aux services AWS sont automatiquement mises à disposition sur les instances EC2 actives.
La rotation automatique des clés d'accès AWS est disponible sur les instances EC2.
Des autorisations de service AWS précises sont disponibles pour les applications s'exécutant sur des instances EC2 qui envoient des requêtes aux services AWS.

Q : Peut-on utiliser un même rôle IAM sur plusieurs instances EC2 ?

Oui, vous pouvez associer le même rôle IAM à plusieurs instances EC2.

Q : Peut-on modifier le rôle IAM sur une instance EC2 active ?

Non, il n'est pas encore possible de modifier un rôle IAM sur une instance EC2 active. En revanche, vous pouvez modifier les autorisations du rôle IAM associé à une instance active. Dans ce cas, les autorisations mises à jour prennent effet presque immédiatement.

Q : Peut-on associer un rôle IAM à une instance EC2 en cours d'exécution ?

Non, il n'est pas encore possible d'associer un rôle IAM à une instance EC2 en cours d'exécution.

Q : Peut-on détacher un rôle IAM d'une instance EC2 en cours d'exécution ?

Non, il n'est pas encore possible de détacher un rôle IAM d'une instance EC2 en cours d'exécution.

Q : Peut-on utiliser un rôle IAM avec d'autres services qui lancent des instances EC2 ?

Oui. Auto Scaling et AWS CloudFormation prennent également en charge les rôles IAM. D'autres services viendront s'ajouter par la suite.

Q : Peut-on associer un rôle IAM à un groupe Auto Scaling ?

Oui. Vous pouvez ajouter un rôle IAM en tant que paramètre supplémentaire dans une configuration de lancement Auto Scaling, puis créer un groupe Auto Scaling avec cette configuration de lancement. Toutes les instances EC2 lancées dans un groupe Auto Scaling qui est associé à un rôle IAM seront lancées avec ce rôle comme paramètre d'entrée. Pour en savoir plus, consultez le manuel Auto Scaling Developer Guide.

Q : Peut-on associer plusieurs rôles IAM à une instance EC2 ?

Non. Pour le moment, vous ne pouvez associer qu'un seul rôle IAM à une instance EC2.

Q : Que se passe-t-il si je supprime un rôle IAM associé à une instance EC2 en cours d'exécution ?

Si vous supprimez un rôle IAM qui est associé à une instance EC2 en cours d'exécution, toutes les applications s'exécutant sur cette même instance et utilisant les identifiants de sécurité AWS des rôles IAM perdront presque immédiatement leur droit d'accès lorsqu'elles enverront des requêtes aux services AWS via les API.

Q : Peut-on déterminer les rôles IAM qu'un utilisateur IAM peut associer à une instance EC2 ?

Oui, vous pouvez déterminer les rôles IAM dont un utilisateur IAM peut se servir lorsqu'il exécute une instance.

Q : Quelles sont les autorisations requises pour lancer des instances EC2 avec un rôle IAM ?

Un utilisateur IAM doit avoir reçu deux autorisations distinctes pour lancer sans erreur des instances EC2 avec des rôles IAM :

l'autorisation de lancer des instances EC2,
l'autorisation d'associer un rôle IAM à des instances EC2.

Pour en savoir plus, reportez-vous à la section Working with Roles du manuel d'utilisation d'IAM.

Q : Que se passe-t-il si je modifie les autorisations d'un rôle IAM associé à une instance EC2 en cours d'exécution ?

Si vous modifiez les autorisations d'un rôle IAM associé à une instance EC2 en cours d'exécution, cette modification prend effet presque immédiatement. L'application qui s'exécute sur l'instance associée au rôle IAM dispose presque immédiatement des nouvelles autorisations lors de l'envoi de requêtes aux autres services AWS.

Q : Qui peut consulter les clés d'accès sur l'instance EC2 ?

Tout utilisateur local sur l'instance peut voir les clés d'accès associées pour le rôle IAM.

Q : Comment puis-je utiliser un rôle IAM avec mon application sur l'instance EC2 ?

Si vous développez votre application avec le kit de développement logiciel (SDK) AWS, vous n'avez aucune action à effectuer. Le kit SDK AWS utilise automatiquement les clés d'accès AWS qui ont été mises à disposition sur l'instance EC2. Si vous n'utilisez pas le kit SDK AWS, vous pouvez récupérer les clés d'accès à partir du service de métadonnées d'instance EC2. Pour récupérer les clés d'accès, vous pouvez exécuter la commande HTTP GET et remplacer [rôle] dans l'exemple ci-dessous par le nom du rôle IAM avec lequel l'instance a été lancée :

GET http://169.254.169.254/latest/meta-data/iam/security-credentials/[rôle]

Cette commande renvoie une réponse JSON contenant, notamment, un identifiant de clé d'accès, une clé d'accès secrète, un jeton de sécurité et une date et heure d'expiration. Pour en savoir plus sur la procédure permettant d'effectuer des appels avec des identifiants de sécurité temporaires, consultez le manuel Using Temporary Security Credentials.

Q : Comment faire pour configurer une rotation des clés d'accès sur l'instance EC2 ?

Les clés d'accès AWS associées à un rôle IAM font l'objet d'une rotation automatique plusieurs fois par jour. Les nouvelles clés d'accès sont mises à disposition au plus tard 5 minutes avant que les clés d'accès existantes n'expirent.

Q : Lorsque les informations d'identification arrivent à expiration, faut-il récupérer de nouveaux identifiants auprès du service des métadonnées EC2 ?

Si votre application a été développée avec le kit de développement logiciel SDK AWS, cette opération est effectuée automatiquement en arrière-plan. Sinon, votre application devra récupérer de nouveaux identifiants auprès du service des métadonnées d'instance EC2 avant l'expiration des anciens identifiants.

Q : Les rôles IAM pour les instances EC2 fonctionnent-ils pour tous les types d'instances ?

Oui, ces rôles IAM sont pris en charge par tous les types d'instances EC2.

Q : Les rôles IAM pour les instances EC2 fonctionnent-ils pour toutes les AMI ?

Oui, les identifiants de sécurité AWS sont mis à disposition sur toutes les instances qui ont été lancées avec un rôle IAM, quelle que soit l'AMI (Windows ou Linux) utilisée au lancement de l'instance.

Q : Les rôles IAM pour les instances EC2 fonctionnent-ils avec les instances lancées dans le VPC ?

Oui, vous pouvez lancer des instances dans le VPC avec un rôle IAM en tant que paramètre d'entrée.

Q : Les rôles IAM pour les instances EC2 fonctionnent-ils avec les instances ponctuelles et réservées ?

Oui, vous pouvez lancer une instance ponctuelle ou réservée avec un rôle IAM en tant que paramètre d'entrée.

Identifiants de sécurité temporaires

Q : Que sont les identifiants de sécurité temporaires ?

Les identifiants de sécurité temporaires comprennent un identifiant de clé d'accès, une clé d'accès secrète et un jeton. Ils sont valides pour une durée spécifiée et pour un ensemble d'autorisations spécifique. Les identifiants de sécurité temporaires sont parfois simplement appelés "jetons". Les jetons peuvent être demandés pour des utilisateurs IAM, ou pour des utilisateurs fédérés que vous gérez dans votre propre répertoire général.

Q : Comment puis-je demander des identifiants de sécurité temporaires pour des utilisateurs fédérés ?

Vous pouvez demander des identifiants de sécurité temporaires pour des utilisateurs fédérés en utilisant un utilisateur IAM ou le compte racine AWS pour appeler l'API GetFederationToken de AWS Security Token Service, en précisant :

Le nom - une étiquette texte représentant l'utilisateur fédéré.
La politique - une politique d'accès AWS, indiquant les autorisations accordées au titulaire de l'identifiant de sécurité temporaire. Pour obtenir de l'aide afin de créer des politiques d'accès, veuillez vous référer au Générateur de politique AWS. Les autorisations du jeton ne peuvent pas excéder les autorisations de l'utilisateur AIM demandant le jeton.
La durée – la durée pendant laquelle les identifiants de sécurité temporaires sont valides. Par défaut, la valeur est 12 heures, le minimum est 1 heure et le maximum 36 heures. Les identifiants de sécurité temporaires créés par le compte racine sont valides pendant 1 heure.

Il vous sera retourné :

Un identifiant de clé d'accès – l'identifiant de la clé d'accès pour un identifiant de sécurité temporaire.
Une clé d'accès secrète – la clé utilisée pour signer des demandes associées à l'identifiant de sécurité temporaire.
Un jeton – le jeton de sécurité.

Q : Comment puis-je demander des identifiants de sécurité temporaires pour des utilisateurs IAM ?

Les utilisateurs IAM peuvent demander des identifiants de sécurité temporaires pour leur propre utilisation en appelant l'API d'AWS Security Token Service, en précisant :

La durée – la durée pendant laquelle les identifiants de sécurité temporaires sont valides. Par défaut, la valeur est 12 heures, le minimum est 1 heure et le maximum 36 heures. Les identifiants de sécurité temporaires créés par le compte racine sont valides pendant 1 heure.

Les paramètres MFA (facultatif) : le numéro de série et le code temporaire du dispositif AWS Multi-Factor Authentication (MFA) attribué à l'utilisateur IAM. Les clients peuvent définir les API de service AWS qui appliquent l'authentification MFA à l'aide de l'accès aux API protégé par MFA.

Il vous sera retourné :

Un identifiant de clé d'accès – l'identifiant de la clé d'accès pour un identifiant de sécurité temporaire.
Une clé d'accès secrète – la clé utilisée pour signer des demandes associées à l'identifiant de sécurité temporaire.
Jeton – le jeton de sécurité.

Q : Comment les identifiants de sécurité temporaires peuvent-ils être utilisés pour appeler les API du service AWS ?

Les identifiants de sécurité temporaires sont conçus pour requérir des modifications de codes minimales aux applications qui appellent les API du service AWS. Il n'y a aucune modification aux API du service AWS – simplement :

Utilisez les AccessKeyID et SecretAccessKey pour signer les demandes d'API du service AWS comme précédemment.
Passez le jeton comme un paramètre supplémentaire pour chaque demande faite aux API de service AWS. Pour Amazon S3 : via l'en-tête HTTP "x-amz- security-token". Pour les autres services AWS : via le paramètre "SecurityToken".

Q : Quels sont les avantages des identifiants de sécurité temporaires ?

Les identifiants de sécurité temporaires permettent :

Aux utilisateurs fédérés d'accéder aux API du service AWS – les identifiants de sécurité temporaires vous permettent d'étendre vos répertoires utilisateurs à AWS, autorisant vos employés et vos applications à accéder de façon plus sécurisée aux API du service AWS, sans devoir leur créer une identité AWS.
Échelle illimitée – vous pouvez demander des identifiants de sécurité temporaires pour un nombre illimité d'utilisateurs fédérés.
Sécurité améliorée – vous pouvez configurer la date d'expiration des identifiants de sécurité temporaires, ce qui confère une sécurité accrue des accès aux API de service AWS via des périphériques mobiles, notamment dès lors qu'il existe un risque de perte. Vous pouvez également intégrer AWS Multi-Factor Authentication (MFA) à vos applications afin de renforcer la sécurité de vos ressources et API AWS sensibles. Les utilisateurs souhaitant accéder aux API doivent d'abord s'être authentifiés à l'aide de leur dispositif MFA respectif.

Q : Quels services AWS acceptent les identifiants de sécurité temporaires ?

Pour connaître la liste des services pris en charge, reportez-vous à la documentation sur les identifiants de sécurité temporaires. D'autres services AWS s'ajouteront à l'avenir.

Q : Quelles régions de centre de données prennent en charge les identifiants de sécurité temporaires ?

Les clients peuvent demander des jetons d'AWS Security Token Service, qui est actuellement pris en charge dans la région de centre de données USA Est. Nous prévoyons de déployer AWS Security Token Service vers d'autres régions de centre de données AWS dans les mois à venir. Les jetons peuvent être utilisés pour accéder aux services AWS qui prennent en charge l'authentification basée sur les jetons dans toutes les régions de centre de données AWS.

Q : Quelle est la taille maximale de la politique d'accès pouvant être spécifiée pendant l'appel GetFederationToken ?

450 octets compressés. La compression peut varier selon les politiques individuelles. Les autorisations du jeton ne peuvent pas excéder les autorisations de l'utilisateur IAM qui les a demandées, vous pouvez donc davantage contrôler les autorisations du jeton en contrôlant les autorisations de l'utilisateur IAM demandant le jeton.

Q : Un identifiant de sécurité temporaire peut-il être annulé avant son expiration ?

Non. C'est pour cette raison que nous vous recommandons de définir la durée lors de la création d'un identifiant de sécurité temporaire à une valeur appropriée à votre application. Dans les situations où il y a un besoin immédiat d'invalider un identifiant de session temporaire, vous pouvez annuler les autorisations de l'utilisateur IAM qui a émis l'appel d'origine pour le demander. Cette action annulera presque immédiatement les privilèges pour tous les identifiants de sécurité temporaires émis par cet utilisateur IAM. Puisque les autorisations du compte racine ne peuvent pas être restreintes, nous vous recommandons d'utiliser un utilisateur IAM et non pas un compte racine pour créer des identifiants de sécurité temporaires.

Q : Peut-on étendre la date d'expiration d'un identifiant de sécurité temporaire ?

Non. Vous ne pouvez pas étendre la date d'expiration d'un identifiant de sécurité temporaire.

Q : Un identifiant de sécurité temporaire arrivé à expiration peut-il être réactivé ?

Non. Vous ne pouvez pas réactiver un identifiant de sécurité temporaire arrivé à expiration.

Q : Peut-on demander un nouvel identifiant de sécurité temporaire avant l'expiration de l'identifiant existant ?

Oui. Il est souhaitable de demander un nouvel identifiant de sécurité temporaire avant l'expiration de l'ancien.

Q : Quelles sont les bonnes pratiques pour utiliser des identifiants de sécurité temporaires ?

Nous recommandons les bonnes pratiques suivantes :

Une fois demandés, les identifiants de sécurité temporaires peuvent être utilisés pendant leur durée pour appeler les API du service AWS – vous n'avez pas besoin de demander un nouveau jeton pour chaque appel API.
Vous devez choisir la durée de validité de l'identifiant de sécurité temporaire qui convient le mieux à votre cas d'utilisation.
Demandez un nouvel identifiant de sécurité temporaire avant l'expiration de l'ancien, pour que les appels aux services AWS ne soient pas interrompus à cause d'un jeton arrivé à expiration.
Suivez le principe de sécurité "le moins de privilège" – accordez l'identifiant de sécurité temporaire uniquement au niveau d'autorisations requis pour la tâche à effectuer.
Bien que nous prenons en charge la création d'identifiants de sécurité temporaires par un compte racine AWS, pour des raisons de cohérence, nous recommandons fortement l'utilisation d'un utilisateur IAM.

Fédération des identités

Q : Qu'est-ce qu'une fédération des identités ?

La fédération des identités est lorsqu'un système fait confiance aux utilisateurs d'un autre système. IAM vous offre la possibilité de demander des identifiants de sécurité temporaires pour les identités de votre entreprise, ce qui permet de mettre en œuvre la fédération des identités entre le répertoire général de votre entreprise, AWS Management Console et les API des services AWS, sans avoir à créer des utilisateurs IAM pour chacune d'elles.

Q : Que sont les utilisateurs fédérés ?

Les utilisateurs fédérés sont des utilisateurs gérés en dehors d'AWS dans votre répertoire général. Ils diffèrent des utilisateurs IAM créés et maintenus à jour dans le répertoire des identités d'AWS.

Q : Les utilisateurs fédérés peuvent-ils accéder aux API d'AWS ?

Oui. Vous pouvez demander par programme des identifiants de sécurité temporaires pour fournir à vos utilisateurs fédérés un accès direct et sécurisé aux API d'AWS.

Q : Les utilisateurs fédérés peuvent-ils accéder à AWS Management Console ?

Oui. Vous pouvez demander via un programme des identifiants de sécurité temporaires pour vos utilisateurs fédérés et les inclure dans la requête de connexion à AWS Management Console. Cela permet à un utilisateur d'accéder à la console sans avoir à se connecter en fournissant un nom d'utilisateur et un mot de passe. Pour plus d'informations, consultez la section Donner aux utilisateurs fédérés un accès direct à AWS Management Console du guide Utilisation d'identifiants de sécurité temporaires.

Q : Quels services AWS acceptent les utilisateurs fédérés ?

La plupart des services AWS sont désormais accessibles par les utilisateurs fédérés. Pour la liste complète des services concernés, consultez le guide Utilisation d'identifiants de sécurité temporaires. D'autres services AWS se verront ajouter la prise en charge des utilisateurs fédérés à l'avenir.

Q : Comment puis-je configurer une fédération des identités à partir de mon annuaire d'entreprise ?

Nous fournissons un exemple d'application qui montre comment procéder pour mettre en œuvre la fédération des identités et ainsi permettre aux utilisateurs gérés dans Microsoft Active Directory d'accéder à AWS Management Console et aux API d'AWS. Pour la description détaillée de la procédure, consultez le guide Utilisation d'identifiants de sécurité temporaires.

Q : Comment fonctionne la fédération des identités sur AWS Management console ?

La fédération des identités pour l'accès à la console utilise les identifiants de sécurité temporaires de la manière décrite dans la section Donner aux utilisateurs fédérés un accès direct à AWS Management Console du guide Utilisation d'identifiants de sécurité temporaires. Une fois que vous avez authentifié un utilisateur et que vous lui avez attribué des identifiants de sécurité temporaires, vous pouvez générer un jeton de connexion pouvant être utilisé pour le point de terminaison de connexion AWS. Cela lui permet alors d'accéder à AWS Management Console. Les actions que l'utilisateur peut accomplir dans la console sont contrôlées par la politique de contrôle d'accès que vous avez intégrée aux identifiants temporaires.

Q : Comment faire pour commencer à utiliser la fédération des identités pour l'accès à AWS Management Console ?

Pour utiliser la fédération des identités pour l'accès à la console, il vous faut deux composants : un proxy d'allocation de session et une page Web de connexion qui vous est propre.

Le proxy d'allocation de session connecte votre système existant de gestion des identités à AWS. Il interroge votre système de gestion des identités pour vérifier si un utilisateur doit être autorisé à accéder à AWS, en spécifiant simultanément les permissions que vous voulez appliquer à l'utilisateur quand il interagit avec celui-ci. Le proxy d'allocation de session appelle AWS Security Token Service (STS) pour demander des identifiants de sécurité temporaires pour l'utilisateur.

Votre page Web (par exemple un portail sur l'intranet de l'entreprise) redirige l'utilisateur vers le point de terminaison AWS Management Console en utilisant un jeton de connexion généré à partir des identifiants de sécurité temporaires. Le jeton permet à l'utilisateur d'accéder à AWS Management Console sans avoir à fournir de nom d'utilisateur et de mot de passe.

Pour la description détaillée de la marche à suivre pour commencer à utiliser ce système, consultez le guide Utilisation d'identifiants de sécurité temporaires.

Q : Proposez-vous la prise en charge de SAML ou de OAuth ?

Pas à l'heure actuelle. Toutefois, nous envisageons d'ajouter la prise en charge des normes de fédération dans une version future.

Q : Comment puis-je contrôler les autorisations accordées à un utilisateur fédéré lorsqu'il est connecté à la console ?

Lorsque vous demandez des identifiants de sécurité temporaires pour votre utilisateur fédéré, vous fournissez la politique de contrôle d'accès qui déterminera ses permissions dans AWS. Cette politique s'applique à la fois à l'accès à l'API et aux actions réalisées dans AWS Management Console.

Q : De quelles permissions a besoin un utilisateur fédéré pour utiliser la console ?

L'utilisateur a besoin des permissions requises pour accéder aux API des services AWS appelés par AWS Management Console. Les permissions généralement nécessaires pour accéder aux services AWS sont documentées dans le guide Utilisation d'identifiants de sécurité temporaires.

Q : Comment puis-je contrôler la durée pendant laquelle un utilisateur fédéré a accès à la console ?

Vous pouvez spécifier une limite de durée pour la session comprise entre 1 et 36 heures, qui définit le temps pendant lequel l'utilisateur fédéré peut accéder à la console. Lorsque la session expire, l'utilisateur doit en demander une nouvelle en retournant dans votre page Web, dans laquelle vous pouvez lui attribuer un nouveau jeton.

Q : Que se passe-t-il lorsque la session de fédération des identités expire ?

L'utilisateur voit s'afficher un message indiquant que la session a expiré et qu'il doit en demander une nouvelle. Vous pouvez spécifier une URL pour rediriger l'utilisateur vers la page Web de votre intranet local sur laquelle il peut demander une nouvelle session. Vous ajoutez cette URL lorsque vous spécifiez un paramètre d'émetteur dans le cadre de votre requête de connexion.

Q : A combien d'utilisateurs fédérés puis-je donner l'accès à AWS Management Console ?

Il n'y a pas de limite au nombre d'utilisateurs fédérés qui peuvent accéder à la console.

Facturation

Q : La facturation AWS fournira-t-elle une utilisation groupée et des décompositions de coût par utilisateur ?

Pas au départ. Ceci est prévu pour une version ultérieure.

Q : Le service IAM coûte-t-il quelque chose ?

Non, il s'agit d'une fonction de votre compte AWS fournie gratuitement.

Q : Qui paie l'utilisation générée par les utilisateurs sous un compte AWS ?

Le compte AWS est responsable du paiement de toute utilisation générée par les utilisateurs définis sous ce compte. Un utilisateur individuel n'a pas de paiement ou de configuration de facturation propre et il ne peut pas s'inscrire individuellement aux services AWS.

Q : L'activité facturable d'utilisateur sera-t-elle journalisée dans les données d'utilisation AWS ?

Pas à l'heure actuelle. Ceci est prévu pour une version ultérieure.

Q : Qui contrôle et est responsable des données ou des ressources créées par les utilisateurs ?

Le compte AWS contrôle et est responsable de toutes les données et ressources, telles que les objets S3 et les instances EC2 créées par les utilisateurs définis sous ce compte. Le compte AWS paie l'utilisation et contrôle les politiques d'accès sur les ressources. Les ressources créées par un utilisateur individuel apparaîtront comme étant créées par le compte AWS. Les listes de ressources seront réalisées par le compte AWS - c'est-à-dire que lorsque les utilisateurs appelleront S3.ListAllMyBuckets, ils verront tous les compartiments sous le contrôle du compte AWS sous lequel ils sont définis.

Q : Quelle est la différence entre IAM et la facturation consolidée ?

IAM et la facturation consolidée sont des fonctions complémentaires. La facturation consolidée vous permet de consolider le paiement pour des comptes Amazon Web Services (AWS) multiples au sein de votre société en désignant un seul compte payant. La portée de IAM n'est pas en rapport avec la facturation consolidée. Un utilisateur existe dans les limites d'un compte AWS et ne dispose pas des autorisations parmi les comptes associés. Pour plus de détails, référez-vous au Guide de facturation consolidée AWS.

Q : Un utilisateur peut-il accéder à l'information de facturation des comptes AWS ?

Oui. Vous pouvez créer des utilisateurs IAM distincts pour un objectif métier précis ou à des fins techniques. Vous pouvez accorder à vos utilisateurs métier un accès aux pages relatives à l'activité du compte et/ou aux rapports d'utilisation disponibles sur le site Web AWS afin de les autoriser à consulter les informations de facturation et les données d'utilisation sans avoir accès aux aspects opérationnels d'AWS. Pour en savoir plus, consultez les explications concernant le contrôle des accès utilisateur aux informations de facturation de vos comptes AWS.

Autorisations

Q : Comment les autorisations d'utilisateurs fonctionneront-elles ?

Par défaut, à la création, les utilisateurs IAM ne peuvent pas effectuer d'actions. L'administrateur de compte doit accorder explicitement les autorisations d'utilisateurs pour que l'utilisateur puisse accéder à n'importe quelle ressource dans AWS. IAM fournit la capacité de gérer, de manière centrale, les autorisations qui contrôlent les API du service AWS auxquelles un utilisateur pourra accéder. Les autorisations sont exprimées en utilisant le langage de politique d'accès AWS, un langage de contrôle d'accès flexible. Ces autorisations sont mises en vigueur dans des demandes faites vers les services AWS. En outre, pour les services qui prennent en charge le contrôle d'accès basé sur les ressources, les autorisations gérées de manière centralisée peuvent également contrôler à quelles ressources un utilisateur peut accéder en utilisant des règles de base - par exemple, une politique peut déclarer, logiquement « autoriser Joe à lire les objets Amazon S3 depuis le compartiment d'entreprise tant que les objets se trouvent sous le chemin « somepath ».

Q : Comment les autorisations basées sur le groupe fonctionneront-elles ?

IAM permet de gérer les autorisations pour un ensemble d'utilisateurs (groupe), en plus d'un utilisateur individuel. Toute politique de sécurité qui peut accorder des autorisations à un seul utilisateur peut également accorder des autorisations à un groupe. Les autorisations de groupe sont appliquées en vérifiant l'adhésion - si un groupe a reçu l'autorisation de réaliser une action et un utilisateur est dans ce groupe, alors l'utilisateur peut réaliser cette action. Il est plus facile de gérer les autorisations pour un groupe, que d'appliquer des autorisations identiques à chaque utilisateur.

Q : Comment les autorisations d'utilisateurs et de rôles fonctionnent-elles avec les listes de contrôle d'accès (LCA) Amazon S3 ?

Les politiques d'accès AWS gérées via IAM sont évaluées parallèlement aux LCA d'Amazon S3. Les politiques d'accès AWS et les LCA d'Amazon S3 répondent à la même question : l'utilisateur/le rôle peut-il accéder à la ressource demandée ? Ces politiques sont évaluées ensemble par rapport à l'utilisateur/au rôle : si une politique accorde l'accès (sans le refuser de manière explicite), l'action est autorisée. De plus, les utilisateurs et les rôles peuvent être référencés dans les LCA d'Amazon S3, ce qui implique des restrictions de niveau d'accès aux données pour les utilisateurs. Le contrôle racine sur les LCA restera associé au compte AWS, tel qu'il l'est aujourd'hui.

Q : Comment les autorisations d'utilisateurs et de rôles fonctionnent-elles avec les contrôles d'accès SQS ?

Les politiques d'accès AWS gérées via IAM sont évaluées parallèlement aux politiques d'accès AWS pour Amazon SQS. Ces politiques sont évaluées ensemble par rapport à l'utilisateur/au rôle : si une politique accorde l'accès (sans le refuser de manière explicite), l'action est autorisée. De plus, les utilisateurs définis via AWS Identity and Access Management peuvent être référencés dans les politiques d'accès Amazon SQS, ce qui implique des restrictions de niveau d'accès aux données pour les utilisateurs. Le contrôle racine sur les politiques d'accès AWS d'Amazon SQS restera associé au compte AWS parent, tel qu'il l'est aujourd'hui.

Q : Comment les autorisations d'utilisateurs et de rôles fonctionnent-elles avec les contrôles d'accès Amazon SNS ?

Les politiques d'accès AWS gérées via IAM sont évaluées parallèlement aux politiques d'accès AWS pour Amazon SNS. Ces politiques sont évaluées ensemble par rapport à l'utilisateur/au rôle : si une politique accorde l'accès (sans le refuser de manière explicite), l'action est autorisée. De plus, les utilisateurs/rôles définis via AWS Identity and Access Management peuvent être référencés dans les politiques d'accès et autorisations AWS pour Amazon SNS, ce qui implique des restrictions de niveau d'accès aux données pour les utilisateurs. Le contrôle racine sur les politiques d'accès Amazon SNS AWS demeurera avec le compte AWS parent, tel qu'il l'est aujourd'hui.

Q : Les autorisations administratives dans le portail AWS seront-elles prises en charge ?

Pas à l'heure actuelle. Ceci est prévu pour une version ultérieure.

Q : Qui peut visualiser les clés d'accès d'utilisateurs/clés secrètes ?

Les utilisateurs peuvent accéder à leur propre clé d'accès uniquement s'ils y sont autorisés. Le détenteur de compte AWS peut voir les clés d'accès publiques des utilisateurs ; ceci a pour but de prendre en charge la réservation de clés pour les utilisateurs qui ne peuvent pas se connecter de manière interactive, comme les systèmes logiciels. Un utilisateur peut également accorder l'autorisation pour gérer ses propres clés d'accès ou celles d'autres utilisateurs via la politique IAM.

Q : Les utilisateurs pourront-ils créer des données sous des comptes AWS autres que le compte sous lequel ils sont définis ?

Oui, si l'accès aux API entre comptes à partir des rôles IAM est activé. Pour en savoir plus, reportez-vous à la section Déléguer l'accès aux API à l'aide des rôles.

Connexion

Q : Comment un utilisateur se connecte-t-il ?

Un utilisateur doit se connecter à l'aide d'une URL de connexion fournie par l'administrateur système du compte AWS. Les utilisateurs appartenant à un compte AWS se connectent à l'aide d'une URL spécifique à ce compte. L'URL peut soit contenir l'ID du compte ou un alias. L'alias est un nom que l'administrateur système définit pour facilement identifier le compte. L'URL ressemble à ceci :

https://account-identifier.signin.aws.amazon.com/console/ec2

où vous remplacez le account-identifier soit par un numéro de compte à 12 chiffres pour le compte, soit par l'alias que vous avez créé pour le compte. L'alias est facultatif. Si vous ne voulez pas créer d'alias, alors vous pouvez utiliser votre identifiant de compte. Vous pouvez toujours créer l'alias plus tard si vous le voulez.

Q : Qu'est-ce qu'un alias de compte AWS ?

L'alias de compte est un nom que vous définissez pour faciliter l'identification de votre compte. Vous pouvez créer un alias en utilisant les API d'IAM, les Outils de ligne de commande, ou via la console IAM. Vous pouvez avoir un alias par compte AWS. L'alias est facultatif et n'est pas requis pour prendre en charge la connexion d'un utilisateur.

Q : L'utilisateur doit-il toujours utiliser l'URL de connexion ?

La première fois qu'un utilisateur se connecte, il doit utiliser l'URL spécifique au compte. Après cela, l'URL spécifique au compte sera stocké comme une préférence dans un cookie du navigateur de l'utilisateur. Ceci permet à un utilisateur de retourner sur http://aws.amazon.com et cliquer sur le lien Connexion à AWS Management Console pour se connecter. Si l'utilisateur efface les cookies de son navigateur ou utilise un autre navigateur, alors il doit utiliser l'URL spécifique au compte.

Q : Comment est-ce que je sais quelle URL mes utilisateurs doivent utiliser pour se connecter ?

L'URL de connexion est créée avec deux éléments d'information, un identifiant pour le compte et une partie fixe. La structure globale de l'URL ressemble à ceci :

https://account-identifier.signin.aws.amazon.com/console/ec2

où vous remplacez account-identifier soit par un numéro de compte AWS à 12 chiffres pour le compte, soit par l'alias du compte. L'URL est aussi disponible sur le tableau de bord de la console IAM.

Q : À quels sites AWS mes utilisateurs peuvent-ils accéder ?

Les utilisateurs peuvent se connecter à AWS Management Console et aux forums AWS.

Q : Les utilisateurs fonctionnent-ils avec le forum AWS ?

Oui, les utilisateurs ont accès aux forums AWS.

Q : Les utilisateurs peuvent-ils se connecter à AWS Management Console ?

Oui, ils peuvent se connecter et gérer les services pour lesquels le titulaire du compte AWS s'est inscrit, et pour lesquels l'autorisation leur a été accordée.

Q : Les utilisateurs peuvent-ils se connecter au portail AWS ?

Oui. Les utilisateurs peuvent se connecter au portail AWS, cependant vous ne pouvez pas accorder des autorisations aux utilisateurs pour afficher ou mettre à jour des détails. Ceci est prévu pour une version ultérieure.

Q : Les utilisateurs peuvent-ils se connecter aux sites marchands d'Amazon ?

Non. Les utilisateurs créés avec IAM sont uniquement reconnus par les services et applications AWS.

Q : Les utilisateurs peuvent-ils se connecter à des sites tiers ?

Non. Cette capacité est prévue pour une version ultérieure.

Q : Y a-t-il une API d'authentification pour vérifier les connexions d'utilisateurs ?

Non. Il n'y a pas de moyen via un programme pour vérifier les connexions d'utilisateurs.

Q : Les utilisateurs d'instances SSH vers EC2 peuvent-ils se connecter en utilisant leur identifiant/mot de passe AWS ?

Non. Les identifiants de sécurité d'utilisateurs créés avec IAM ne sont pas reflétés dans les instances de client dans EC2. Le client est responsable des identités sur les instances EC2 de client.

Autres questions

Q : Mes applications existantes fonctionneront-elles encore lorsque je commencerai à utiliser IAM ?

Oui. Toutes les applications en cours d'exécution aujourd'hui continueront de fonctionner normalement. Pour profiter du nouvel accès fourni avec IAM, vous devez mettre à jour l'application afin d'utiliser les clés d'accès pour un utilisateur créé avec IAM plutôt que les clés d'accès pour le compte AWS.

Q : Que se passe-t-il si un utilisateur essaie d'accéder à un service qui n'a pas encore été intégré à IAM ?

Lorsqu'un utilisateur essaie d'accéder à un service qui n'a pas encore été intégré à IAM, le service renverra un message d'Accès refusé.

Q : Les actions administratives de AWS Identity and Access Management seront-elles journalisées vers un suivi d'audit ?

Non. Ceci est prévu pour une version ultérieure.

Q : Les actions d'utilisateurs dans les services AWS seront-elles connectées à un suivi d'audit ?

Non. Ceci est prévu pour une version ultérieure.

Q : Comment sont identifiés les utilisateurs ?

Chaque utilisateur IAM a un nom d'utilisateur qui est unique sous le compte AWS où il est défini. Chaque utilisateur a également un ID unique qui lui est attribué à la création. Il s'agit d'un ID unique à l'échelle mondiale qui lui est attribué par le système IAM et qui est unique dans tout l'espace AWS. Un utilisateur peut toujours être identifié par ce seul ID, par exemple, dans une politique d'accès.

Q : Le nom d'utilisateur peut-il être réutilisé ?

Oui, un nom d'utilisateur peut être réutilisé. Le nom est seulement unique dans le cadre du compte AWS où l'utilisateur a été créé. Chaque utilisateur est identifié par un ID unique. Ceci permet au nom d'utilisateur d'être modifié sans obligation de créer un nouvel utilisateur. Lorsque vous supprimez un utilisateur, vous pouvez créer un nouvel utilisateur avec le même nom d'utilisateur ; le nouvel utilisateur aura un nouveau jeu d'identifiants différents de l'utilisateur précédent avec le même nom d'utilisateur.

Q : Y a-t-il une distinction entre les personnes et les agents logiciels en tant qu'identités d'utilisateurs AWS ?

Non, les deux ressemblent à des utilisateurs, avec des identifiants de sécurité et des autorisations accordées. Les différences peuvent être le type d'identifiants, comme le mot de passe interactif.

Q : Comment les limites de ressource de service fonctionneront-elles (par ex. limite de 100 compartiments ou de 20 instances) ?

Les limites de ressources de service AWS continueront d'être définies par compte AWS comme elles le sont aujourd'hui. Le nombre d'utilisateurs définis pour un compte n'affecte pas ceci, et toute utilisation par les utilisateurs consommera des ressources tirées des limites de ressource du compte.

Q : Les API Describe ou List dans des listes des services AWS refléteront-ils l'utilisateur qui a créé une ressource au nom d'un compte ?

Pas au départ. Ceci est prévu pour une version ultérieure.

Q : Les utilisateurs IAM peuvent-ils faire appel à AWS Support et à Trusted Advisor ?

Oui, les utilisateurs IAM ont la possibilité de créer et de modifier des cas de support. Ils peuvent également exploiter les fonctions Trusted Advisor. Toutefois, le compte auquel l'utilisateur IAM est associé doit avoir le niveau de support Business ou Enterprise. L'accès des utilisateurs IAM à des cas associés aux niveaux de support Developer et Basic sera pris en charge dans une prochaine version.

Q : Des quotas sont-ils associés par défaut à IAM ?

Oui, par défaut, votre compte AWS dispose de quotas fixés au départ pour toutes les entités IAM. Pour en savoir plus sur ces quotas, consultez la section Limitations on IAM Entities du guide de l'utilisateur IAM. Veuillez noter que ces quotas sont susceptibles d'être modifiés. Si vous avez besoin que ces quotas soient revus à la hausse, vous pouvez toujours en faire la demande via le formulaire de contact IAM prévu à cet effet.

Ressources connexes IAM

La plate-forme AWS embauche¬!

Opportunités intéressantes au sein de différentes équipes de la plate-forme AWS.

> En savoir plus