Les rôles IAM vous permettent de déléguer l'accès à des utilisateurs ou services qui, en temps normal, n'ont pas accès aux ressources AWS de votre entreprise. Les utilisateurs IAM ou les services AWS peuvent endosser un rôle pour obtenir des informations d'identification de sécurité temporaires qui leur permettent d'effectuer des appels d'API AWS. Par conséquent, vous n'avez pas besoin de partager des informations d'identification permanentes ou de définir des autorisations pour chaque entité qui nécessite l'accès à une ressource.
- Introducing an Easier Way to Delegate Permissions to AWS Services: Service-Linked Roles
- Adhere to IAM Best Practices in 2016
- How to Use a Single IAM User to Easily Access All Your Accounts by Using the AWS CLI
- Test Your Roles' Access Policies Using the AWS Identity and Access Management Policy Simulator
- Make a New Year’s Resolution: Adhere to IAM Best Practices
- Enable a New Feature in the AWS Management Console: Cross-Account Access
- Sharing AWS CloudTrail Log Files Between Accounts
Démarrez avec AWS avec notre offre gratuite
Créez un compte gratuitVous pouvez également vous connecter à la console
Le niveau gratuit d'AWS inclut 750 heures d'exécution d'un nœud de cache Micro avec Amazon ElastiCache.
Les scénarios suivants mettent en avant certains des problèmes que vous pouvez résoudre en déléguant l'accès :
- Octroyer l'accès aux ressources AWS à des applications s'exécutant sur des instances Amazon EC2
Pour autoriser des applications d'une instance Amazon EC2 à accéder aux ressources AWS, les développeurs peuvent diffuser leurs informations d'identification auprès de chaque instance. Les applications peuvent alors utiliser ces informations pour accéder aux ressources telles que les compartiments Amazon S3 ou les données Amazon DynamoDB. Toutefois, la distribution d'informations d'identification permanentes vers chaque instance est difficile à gérer et représente un risque potentiel en termes de sécurité. La vidéo ci-dessus illustre plus en détail la façon d'utiliser les rôles pour faire face à ce risque lié à la sécurité.
- Permettre l'accès entre comptes
Pour contrôler ou gérer l'accès aux ressources, par exemple en isolant un environnement de développement d'un environnement de production, vous pouvez disposer de plusieurs comptes AWS. Toutefois, dans certains cas, les utilisateurs d'un compte peuvent avoir besoin d'accéder à des ressources de l'autre compte. Par exemple, un utilisateur de l'environnement de développement peut avoir besoin d'accéder à l'environnement de production pour promouvoir une mise à jour. Les utilisateurs doivent alors disposer d'informations d'identification pour chaque compte, mais la gestion de plusieurs identifiants pour différents comptes complique la gestion des identités. L'utilisation d'un rôle IAM peut simplifier le processus. Consultez l'étude de cas Trend Micro pour voir l'accès entre comptes en action.
- Accord d'autorisations aux services AWS
Vous devez accorder des autorisations aux services AWS pour qu'ils puissent réaliser des actions pour vous. Vous pouvez utiliser les rôles AWS IAM pour permettre aux services AWS d'appeler d'autres services pour vous ou de créer et gérer des ressources AWS pour vous, sur votre compte. Les services AWS tels qu'Amazon Lex offrent également des rôles liés à un service qui sont prédéfinis et qui ne peuvent être endossés que par ce service spécifique.
Pour en savoir plus sur la gestion des rôles dans IAM, consultez la section Rôles du manuel d'utilisation d'IAM.