Découvrez gratuitement AWS

Créez un compte gratuit
Vous pouvez également vous connecter à la console

Profitez pendant 12 mois du niveau d'utilisation gratuit d'AWS et bénéficiez du niveau de base d'AWS Support qui inclut un service client disponible 24h/24, 7j/7 et 365 jours par an, l'accès à des forums d'assistance et bien d'autres avantages.


Q : Qu'est-ce qu'AWS Identity and Access Management (IAM) ?
AWS IAM vous permet de contrôler de façon sécurisée l'accès aux ressources AWS pour vos utilisateurs et groupes d'utilisateurs. Vous pouvez créer et gérer des identités d'utilisateurs ("utilisateurs IAM") et leur accorder des autorisations d'accès à vos ressources. Vous pouvez également octroyer des autorisations à des utilisateurs en dehors d'AWS (utilisateurs fédérés).

Q : Comment démarrer avec IAM ?
Après vous être inscrit à AWS, vous pouvez créer des utilisateurs et des groupes, puis leur affecter des autorisations d'accès à vos ressources AWS. Vous pouvez utiliser la console IAM (pour un accès Web), l'interface de ligne de commande AWS (CLI, pour un accès par ligne de commande), ou encore l'API ou les kits SDK (pour un accès par programmation). Pour accorder des autorisations, vous créez des documents de politiques que vous associez aux utilisateurs, groupes et autres entités. Regardez la vidéo Getting Started with AWS IAM.

Q : Quels sont les problèmes résolus par IAM ?
IAM permet de fournir plus facilement à plusieurs utilisateurs un accès sécurisé à vos ressources AWS. IAM vous permet de :

  • Gérer les utilisateurs IAM et leur accès – Vous pouvez créer des utilisateurs dans le système de gestion des identités, attribuer aux utilisateurs des informations d'identification de sécurité individuelles (c'est-à-dire, les clés d'accès, le mot de passe, les dispositifs d'authentification multi-facteurs) ou demander des informations d'identification de sécurité temporaires pour leur fournir l'accès aux services et ressources AWS. Vous pouvez spécifier les autorisations pour contrôler quelles opérations un utilisateur peut effectuer.
  • Gérer les accès pour les utilisateurs fédérés – Vous pouvez demander des informations d'identification de sécurité avec des expirations configurables pour les utilisateurs que vous gérez dans votre répertoire général, ce qui vous permet de fournir à vos employés et à vos applications un accès sécurisé dans votre compte AWS, sans leur créer un compte utilisateur IAM. Vous indiquez les autorisations pour ces informations d'identification de sécurité pour contrôler quelles opérations un utilisateur peut effectuer.

Q : Qui peut utiliser IAM ?
N'importe quel client AWS peut utiliser IAM. Ce service est offert gratuitement. Vous ne serez facturé que pour l'utilisation des autres services AWS par vos utilisateurs.

Q : Qu'est-ce qu'un utilisateur ?
Un utilisateur est une identité unique reconnue par les services et les applications AWS. Semblable à un identifiant de connexion dans un système d'exploitation comme Windows ou UNIX, un utilisateur possède un nom unique et peut s'identifier à l'aide d'informations d'identification de sécurité courantes, comme le mot de passe ou une clé d'accès. Un utilisateur peut être un individu, un système ou une application ayant besoin d'accéder aux services AWS. IAM prend en charge les utilisateurs gérés dans le système de gestion des identités d'AWS (appelés « utilisateurs IAM »), et vous permet aussi d'accorder l'accès aux ressources AWS aux utilisateurs gérés en dehors d'AWS dans votre répertoire général (appelés « utilisateurs fédérés »).

Q : Que peut faire un utilisateur ?
Un utilisateur peut soumettre des demandes aux services Web comme Amazon S3 et Amazon EC2. La capacité d'un utilisateur à accéder aux API du service Web est sous le contrôle et relève de la responsabilité du compte AWS sous lequel il est défini. Vous pouvez autoriser un utilisateur à accéder à n'importe quel service ou à tous les services AWS qui ont été intégrés à IAM et auxquels le compte AWS est abonné. Si autorisé, un utilisateur a accès à toutes les ressources sous le compte AWS. Par ailleurs, si le compte AWS a accès aux ressources d'un autre compte AWS, ses utilisateurs pourront accéder aux données sous ces comptes AWS. Toute ressource AWS créée par un utilisateur est sous le contrôle et payée par son compte AWS. Un utilisateur ne peut pas indépendamment s'abonner aux services AWS ou contrôler des ressources.

Q : Comment les utilisateurs appelleront-ils les services AWS ?
Les utilisateurs peuvent faire des demandes aux services AWS à l'aide des informations d'identification de sécurité. La capacité d'un utilisateur à appeler des services AWS est régie par des autorisations explicites. Par défaut, il n'a pas la capacité d'appeler des API de service au nom du compte.

Q : Comment démarrer avec IAM ?
Pour commencer à utiliser IAM, vous devez vous inscrire à au moins un des services AWS intégrés à IAM. Vous pouvez créer et gérer des utilisateurs, des groupes et des permissions via les API IAM, l'interface de ligne de commande AWS ou la console IAM, ce qui vous donne une interface Web pointer-cliquer. Vous pouvez aussi utiliser le générateur de politiques AWS pour créer des politiques.


Q : Comment sont gérés les utilisateurs IAM ?
IAM prend en charge plusieurs méthodes pour :

  • créer, supprimer et intégrer les utilisateurs IAM dans une liste ;
  • gérer l'adhésion de groupe ;
  • gérer les informations d'identification de sécurité d'utilisateurs ;
  • attribuer les autorisations.

Vous pouvez créer et gérer des utilisateurs, des groupes et des autorisations via les API d'IAM, l'interface de ligne de commande AWS ou la console IAM, ce qui vous donne une interface Web pointer-cliquer. Vous pouvez également utiliser le Générateur de politique AWS et le Simulateur de politique AWS pour créer et tester des politiques.

Q : Qu'est-ce qu'un groupe ?
Un groupe est un ensemble d'utilisateurs. Gérez les membres du groupe sous la forme d'une liste simple :

  • Les utilisateurs peuvent être ajoutés ou supprimés d'un groupe.
  • Un utilisateur peut appartenir à plusieurs groupes.
  • Les groupes ne peuvent pas appartenir à d'autres groupes.
  • Les groupes peuvent obtenir des autorisations utilisant les politiques de contrôle d'accès. Ceci facilite la gestion des autorisations pour un ensemble d'utilisateurs, plutôt que d'avoir à gérer les autorisations pour chaque utilisateur individuel.
  • Les groupes n'ont pas d'informations d'identification de sécurité et ne peuvent pas accéder aux services Web directement ; ils existent uniquement pour faciliter la gestion des autorisations utilisateurs. Pour en savoir plus, consultez la section Working with Groups and Users.

Q : Quels types d'informations d'identification de sécurité les utilisateurs IAM peuvent-ils avoir ?
Les utilisateurs IAM peuvent avoir n'importe quelle combinaison d'informations d'identification qu'AWS prend en charge, tels qu'une clé d'accès AWS, un certificat X.509, une clé SSH, un mot de passe pour les connexions d'application Web ou un dispositif MFA. Ceci permet aux utilisateurs d'interagir avec AWS de la manière qui leur correspond le mieux. Un employé peut avoir une clé d'accès et un mot de passe AWS ; un système logiciel peut n'avoir qu'une clé d'accès AWS pour faire des appels par programme ; un utilisateur IAM peut avoir une clé SSH privée pour accéder aux référentiels AWS CodeCommit ; et un fournisseur extérieur peut n'avoir qu'un certificat X.509 pour utiliser l'interface de ligne de commande EC2. Pour en savoir plus, consultez la section Informations d'identification de sécurité temporaires dans la documentation IAM.

Q : Quels sont les services AWS qui prennent en charge les utilisateurs IAM ?
Vous pouvez consulter la liste complète des services AWS qui prennent en charge les utilisateurs IAM sur la page consacrée aux services AWS compatibles avec IAM de la documentation IAM. AWS prévoit d'ajouter la prise en charge d'autres services à l'avenir.

Q : L'accès utilisateur peut-il être activé/désactivé ?
Oui. Les clés d'accès d'un utilisateur IAM peuvent être activées et désactivées via les API d'IAM, l'interface de ligne de commande AWS ou via la console IAM. Si vous désactivez les clés d'accès d'un utilisateur, celui-ci ne peut pas accéder aux services AWS via un programme.

Q : Qui peut gérer les utilisateurs pour un compte AWS ?
Le titulaire du compte AWS peut gérer les utilisateurs, groupes, informations d'identification de sécurité et autorisations. En outre, les autorisations peuvent être accordées aux utilisateurs individuels pour effectuer des appels vers les API d'IAM afin de gérer les autres utilisateurs. Par exemple, un utilisateur administrateur peut être créé pour gérer les utilisateurs pour une entreprise – une pratique recommandée. Lorsqu'un utilisateur a reçu l'autorisation de gérer d'autres utilisateurs, il peut le faire via les API d'IAM, l'interface de ligne de commande AWS ou via la console IAM.

Q : Un ensemble d'utilisateurs peut-il être structuré de manière hiérarchique, comme dans LDAP ?
Oui. Les utilisateurs et les groupes peuvent être organisés sous des chemins, semblables à des chemins d'objet dans Amazon S3 – par exemple : /mycompany/division/project/joe.

Q : Les utilisateurs peuvent-ils être définis selon des régions ?
Pas au départ. Les utilisateurs sont des entités mondiales, comme l'est un compte AWS aujourd'hui. Il n'est pas nécessaire de spécifier une région lors de la définition des autorisations d'utilisateurs. Les utilisateurs peuvent utiliser les services AWS dans une région géographique.

Q : Comment les dispositifs MFA sont-ils configurés pour les utilisateurs IAM ?
Le titulaire de compte AWS peut commander des dispositifs MFA multiples. Ces dispositifs peuvent alors être attribués à des utilisateurs IAM individuels via les API d'IAM, l'interface de ligne de commande AWS ou la console IAM.

Q : Quel type de rotation de clé est pris en charge pour les utilisateurs IAM ?
Les clés d'accès d'utilisateurs et les certificats X.509 peuvent être pivotés comme ils le sont pour les identifiants d'accès de compte racine AWS. Les clés d'accès d'utilisateurs et les certificats X 509 peuvent être gérés et pivotés par programme via les API d'IAM, l'interface de ligne de commande AWS ou la console IAM.

Q : Les utilisateurs IAM peuvent-ils avoir des clés EC2 SSH individuelles ?
Pas dans la première version. IAM n'affecte pas les clés EC2 SSH ou les certificats Windows RDP. Ceci signifie que, bien que chaque utilisateur dispose d'informations d'identification individuelles pour accéder aux API de service Web, il doit partager les clés SSH communes dans le compte AWS sous lequel il a été défini.

Q : Où puis-je utiliser mes clés SSH ?

A l'heure actuelle, les utilisateurs IAM peuvent uniquement utiliser leurs clés SSH avec AWS CodeCommit pour accéder à leurs référentiels.

Q : Les noms d'utilisateurs IAM doivent-ils être des adresses e-mail ?
Non ils ne doivent pas, mais ils peuvent l'être. Les noms d'utilisateurs sont juste des chaînes ASCII uniques au sein d'un compte AWS donné. Vous pouvez attribuer des noms en utilisant la convention de nommage de votre choix, y compris les adresses e-mail.

Q : Quels jeux de caractères puis-je utiliser pour les noms d'utilisateurs IAM ?
Les entités IAM prennent uniquement en charge les caractères ASCII.

Q : Les attributs d'utilisateurs autres que le nom d'utilisateur sont-ils pris en charge ?
Pas à l'heure actuelle.

Q : Comment sont définis les mots de passe des utilisateurs ?
Vous pouvez définir un mot de passe initial pour un utilisateur IAM via laconsole IAM , l'interface de ligne de commande AWS ou les API d'IAM. Les mots de passe des utilisateurs n'apparaissent jamais en texte visible après leur mise en service initiale et ne sont jamais affichés ou renvoyés via un appel d'API. Les utilisateurs d'IAM peuvent gérer leurs mots de passe via la page My Password de la console IAM. Les utilisateurs peuvent accéder à cette page en sélectionnant l'optionSecurity Credentials (Informations de sécurité) dans la liste déroulante d'AWS Management Console située dans l'angle supérieur droit.

Q : Est-il possible de définir une politique de gestion des mots de passe pour mes utilisateurs ?
Oui, vous pouvez imposer des mots de passe forts nécessitant un nombre minimum de caractères ou l'utilisation d'au moins un chiffre. Vous pouvez également appliquer l'expiration automatique du mot de passe, éviter la réutilisation d'anciens mots de passe ou exiger la réinitialisation du mot de passe lors de la prochaine identification à AWS. Pour en savoir plus, consultez la section Configurer une politique de gestion des mots de passe de compte pour les utilisateurs d'IAM.

Q : Puis-je définir des quotas d'utilisation au niveau des utilisateurs IAM ?
Non. Toutes les limites concernent le compte AWS dans son ensemble. Ainsi, si votre compte AWS est limité à 20 instances Amazon EC2, tout utilisateur IAM disposant d'autorisations EC2 peut lancer des instances jusqu'à atteindre la limite du compte ; vous ne pouvez pas restreindre les actions d'un utilisateur particulier.


Q : Qu'est-ce qu'un rôle IAM ?
Un rôle est une entité IAM qui définit un ensemble d'autorisations permettant de demander des services AWS. Les rôles IAM ne sont associés à aucun groupe ou utilisateur spécifique. Ces rôles sont endossés par des entités de confiance, telles que des utilisateurs IAM, des applications ou des services AWS tels qu'EC2.

Q : Quels problèmes les rôles IAM résolvent-ils ?
Les rôles IAM vous permettent de déléguer l'accès, avec des autorisations définies, à des entités de confiance sans avoir à partager les clés d'accès à long terme. Vous pouvez utiliser les rôles IAM pour déléguer l'accès aux utilisateurs IAM gérés au sein de votre compte, aux utilisateurs IAM gérés sous un autre compte AWS ou à un service AWS tel qu'EC2.

Q : Comment démarrer avec les rôles IAM ?
Vous créez un rôle comme vous créez un utilisateur : vous lui attribuez un nom et y associez une politique. Pour en savoir plus, consultez la section Creating IAM Roles.

Q : Comment endosser un rôle IAM ?
Pour assumer un rôle IAM, vous devez appeler les API AssumeRole d'AWS Security Token Service (STS) (c'est-à-dire, AssumeRole, AssumeRoleWithWebIdentity et AssumeRoleWithSAML). Ces API retournent un ensemble d'informations d'identification de sécurité temporaires que vous pouvez utiliser pour signer des demandes aux API du service AWS.

Q : Combien de rôles IAM est-il possible d'endosser ?
Il n'y a pas de limite au nombre de rôles IAM que vous pouvez endosser. Néanmoins, lorsque vous envoyez une demande de service AWS, vous ne pouvez utiliser qu'un seul rôle IAM à la fois.

Q : Qui peut utiliser les rôles IAM ?
N'importe quel client AWS peut utiliser des rôles IAM.

Q : Combien coûtent les rôles IAM ?
Les rôles IAM sont gratuits. Vous continuerez à payer uniquement pour les ressources consommées par les rôles de votre compte AWS.

Q : Comment les rôles IAM sont-ils gérés ?
Vous pouvez créer et gérer des rôles IAM les API IAM, l'interface de ligne de commande AWS ou la console IAM, laquelle vous permet de bénéficier d'une interface Web de type pointer-cliquer.

Q : Quelle est la différence entre un rôle IAM et un utilisateur IAM ?
Un utilisateur IAM dispose d'informations d'identification à long terme et peut interagir directement avec les services AWS. Un rôle IAM ne dispose pas d'informations d'identification et ne peut pas envoyer directement de requêtes aux services AWS. Les rôles IAM sont normalement "endossés" par des entités autorisées, telles que des utilisateurs IAM, des applications ou un service AWS tel qu'EC2.

Q : Quand faire appel à un utilisateur IAM, un groupe IAM ou un rôle IAM ?

Un utilisateur IAM dispose d'informations d'identification à long terme et peut interagir directement avec les services AWS. Un groupe IAM est principalement un outil pratique permettant de gérer le même jeu d'autorisations pour un ensemble d'utilisateurs IAM. Un rôle IAM est une entité AWS Identity and Access Management (IAM) disposant d'autorisations permettant d'envoyer des requêtes aux services AWS. Les rôles IAM ne peuvent pas envoyer directement des requêtes aux services AWS. Ils sont normalement "endossés" par des entités autorisées telles que les utilisateurs IAM, les applications ou les services AWS tels qu'EC2. Utilisez les rôles IAM pour déléguer l'accès au sein ou entre les comptes AWS.

Q : Puis-je ajouter un rôle IAM à un groupe IAM ?
Pas à l'heure actuelle.

Q : Combien de politiques puis-je associer à un rôle IAM ?

Pour les politiques incluses : vous pouvez ajouter autant de politiques incluses que désiré à un utilisateur, un rôle ou un groupe, mais la taille totale de la politique (la somme de toutes les politiques incluses) par entité ne peut pas dépasser les limites suivantes :

  • La taille de la politique d'utilisateur ne peut pas dépasser 2 048 caractères.
  • La taille de la politique de rôle ne peut pas dépasser 10 240 caractères.
  • La taille de la politique de groupe ne peut pas dépasser 5 120 caractères.

Pour les politiques gérées : vous pouvez ajouter jusqu'à 10 politiques gérées à un utilisateur, un rôle ou un groupe. La taille de chaque politique gérée ne peut pas dépasser 5 120 caractères.

Q : Combien de rôles IAM peut-on créer ?
Votre compte AWS peut contenir au maximum 250 rôles IAM. Si vous avez besoin de davantage de rôles, joignez à votre cas d'utilisation le formulaire de demande d'augmentation de limite IAM. Votre demande sera alors étudiée.

Q : À quels services un rôle IAM peut-il faire appel ?
Votre application peut envoyer des requêtes à tous les services AWS prenant en charge les sessions de rôles.

Q : À quoi correspondent les rôles IAM pour les instances EC2 ?
Les rôles IAM pour les instances EC2 permettent à vos applications s'exécutant sur EC2 d'envoyer des requêtes à des services AWS, notamment Amazon S3, Amazon SQS et Amazon SNS, sans que vous n'ayez à copier les clés d'accès AWS sur chaque instance. Pour en savoir plus, consultez IAM Roles for Amazon EC2.

Q : Quelles sont les fonctionnalités offertes par les rôles IAM pour les instances EC2 ?

Les rôles IAM fournissent les fonctionnalités suivantes pour les instances EC2 :

  • Identifiants de sécurité temporaires pour envoyer des requêtes à partir des instances EC2 en exécution vers les services AWS
  • Rotation automatique des identifiants de sécurité temporaires
  • Autorisations d'accès aux services AWS octroyées à un niveau granulaire pour les applications s'exécutant sur les instances EC2

Q : Quels sont les problèmes résolus par les rôles IAM pour les instances EC2 ?
Les rôles IAM pour les instances EC2 simplifient la gestion et le déploiement des clés d'accès AWS vers les instances EC2. En utilisant cette fonctionnalité, vous associez un rôle IAM avec une instance. Ensuite, votre instance EC2 fournit les informations d'identification de sécurité temporaires aux applications qui s'exécutent, afin que ces dernières puissent utiliser ces informations d'identification pour envoyer des requêtes aux ressources de service AWS définies dans la fonction, en toute sécurité.

Q : Comment puis-je commencer à utiliser les rôles IAM pour les instances EC2 ?
Pour comprendre le fonctionnement des rôles avec les instances EC2, vous devez utilise la console IAM pour créer un rôle, lancer une instance EC2 utilisant ce rôle, puis examiner l'instance en cours d'exécution. Vous pouvez examiner les métadonnées de l'instance pour voir comment les informations d'identification des rôles sont mis à sa disposition. Il est également possible d'étudier la façon dont une application exécutée sur l'instance peut utiliser un rôle donné. Pour en savoir plus, consultez Comment bénéficier du service ?

Q : Puis-je utiliser un même rôle IAM sur plusieurs instances EC2 ?
Oui.

Q : Puis-je modifier le rôle IAM utilisé sur une instance EC2 active ?
Non, il n'est pas encore possible de modifier un rôle IAM sur une instance EC2 active. En revanche, vous pouvez modifier les autorisations du rôle IAM associé à une instance active. Dans ce cas, les autorisations mises à jour prennent effet presque immédiatement.

Q : Puis-je associer un rôle IAM à une instance EC2 en cours d'exécution ?
Non. Vous pouvez uniquement associer un rôle IAM lors du lancement d'une instance EC2.

Q : Puis-je associer un rôle IAM à un groupe Auto Scaling ?

Oui. Vous pouvez ajouter un rôle IAM en tant que paramètre supplémentaire dans une configuration de lancement Auto Scaling, puis créer un groupe Auto Scaling avec cette configuration de lancement. Toutes les instances EC2 lancées dans un groupe Auto Scaling qui est associé à un rôle IAM sont lancées avec ce rôle comme paramètre d'entrée. Pour en savoir plus, consultez la section What Is Auto Scaling? du manuel Auto Scaling Developer Guide.

Q : Puis-je associer plusieurs rôles IAM à une instance EC2 ?
Non. Pour le moment, vous ne pouvez associer qu'un seul rôle IAM à une instance EC2.

Q : Que se passe-t-il si je supprime un rôle IAM associé à une instance EC2 en cours d'exécution ?
Toute application s'exécutant sur l'instance qui utilisait ce rôle se voit immédiatement refuser l'accès.

Q : Peut-on déterminer les rôles IAM qu'un utilisateur IAM peut associer à une instance EC2 ?
Oui. Pour en savoir plus, consultez Permissions Required for Using Roles with Amazon EC2.

Q : Quelles sont les autorisations requises pour lancer des instances EC2 avec un rôle IAM ?
Vous devez accorder à un utilisateur IAM deux autorisations distinctes pour lancer sans erreur des instances EC2 avec des rôles IAM :

  • l'autorisation de lancer des instances EC2,
  • l'autorisation d'associer un rôle IAM à des instances EC2.

Pour en savoir plus, consultez Permissions Required for Using Roles with Amazon EC2.

Q : Qui peut consulter les clés d'accès sur une instance EC2 ?
Tout utilisateur local sur l'instance peut voir les clés d'accès associées au rôle IAM.

Q : Comment puis-je utiliser un rôle IAM avec mon application sur l'instance EC2 ?
Si vous développez votre application avec le kit SDK AWS, le kit SDK AWS utilise automatiquement les clés d'accès AWS qui ont été mises à disposition sur l'instance EC2. Si vous n'utilisez pas le kit SDK AWS, vous pouvez récupérer les clés d'accès à partir du service de métadonnées d'instance EC2. Pour en savoir plus, consultez la sectionUsing an IAM Role to Grant Permissions to Applications Running on Amazon EC2 Instances.

Q : Comment faire pour configurer une rotation des identifiants de sécurité temporaires sur l'instance EC2 ?
Les identifiants de sécurité temporaires AWS associés à un rôle IAM font l'objet d'une rotation automatique plusieurs fois par jour. De nouvelles informations d'identification de sécurité temporaires sont générées au plus tard cinq minutes avant l'expiration des précédents.

Q : Puis-je utiliser des rôles IAM avec n'importe quel type d'instance Amazon EC2 ou Amazon Machine Image ?
Oui. Les rôles IAM utilisés sur les instances EC2 fonctionnent également dans Amazon Virtual Private Cloud (VPC), avec des instances ponctuelles et des instances réservées.


Q : Comment les autorisations fonctionnent-elles ?

Les politiques de contrôle d'accès sont associées aux utilisateurs, aux groupes et aux rôles de manière à donner des autorisations d'accès aux ressources AWS. Par défaut, les utilisateurs, les groupes et les rôles IAM n'ont aucune autorisation. Les utilisateurs disposant des droits nécessaires doivent utiliser une politique pour accorder les autorisations désirées.

Q : Comment puis-je attribuer des autorisations à l'aide d'une politique ?

Pour configurer les autorisations, vous pouvez créer et associer des politiques avec AWS Management Console, l'API IAM ou la CLI (Interface de ligne de commande) d'AWS. Les utilisateurs IAM auxquels ont été octroyées les autorisations nécessaires peuvent créer des politiques et les attribuer aux utilisateurs, groupes et rôles IAM.

Q : Que sont les politiques gérées ?

Les politiques gérées sont des ressources IAM exprimant des autorisations avec le langage de politique d'IAM. Vous pouvez les créer, les modifier et les gérer séparément des utilisateurs, groupes et rôles IAM auxquels elles sont associées. Après avoir associé une politique gérée à plusieurs utilisateurs, groupes ou rôles IAM, vous pouvez la modifier à un endroit pour que les autorisations s'appliquent à toutes les entités associées. Les politiques gérées sont gérées par les clients (politiques gérées par les clients) ou par AWS (politiques gérées AWS). Pour plus d'informations, consultez la section Managed Policies and Inline Policies.

Q : Comment puis-je associer des autorisations fréquemment utilisées ?

AWS fournit un ensemble d'autorisations fréquemment utilisées que vous pouvez associer aux utilisateurs, groupes et rôles IAM de votre compte. Ces autorisations sont appelées politiques gérées AWS. L'accès en lecture seule à Amazon S3 est un exemple de politique gérée. Lorsqu'AWS met ces politiques à jour, les autorisations sont automatiquement appliquées aux utilisateurs, groupes et rôles auxquels les politiques sont associées. Les politiques gérées AWS apparaissent automatiquement dans la section Policies de la console IAM. Pour accorder une autorisation, vous pouvez utiliser une politique gérée d'AWS ou créer la vôtre. Si vous optez pour la deuxième solution, vous avez la possibilité d'instaurer une nouvelle politique à partir d'une politique gérée d'AWS ou de définir entièrement la vôtre.

Q : Comment les autorisations basées sur un groupe fonctionnent-elles ?

Utilisez les groupes IAM pour attribuer un même ensemble d'autorisations à plusieurs utilisateurs IAM. Les utilisateurs peuvent disposer d'autorisations qui leur sont propres. Les deux méthodes utilisées pour accorder des autorisations aux utilisateurs sont combinées pour définir les autorisations globales.

Q : Quelle est la différence entre l'attribution d'autorisations à l'aide de groupes IAM et l'attribution d'autorisations à l'aide de politiques gérées ?

Utilisez les groupes IAM pour regrouper des utilisateurs IAM et définir des autorisations communes pour ces derniers. Utilisez les politiques gérées pour partager des autorisations avec des utilisateurs, groupes et rôles IAM. Par exemple, si vous souhaitez qu'un groupe d'utilisateurs soit en mesure de lancer une instance Amazon EC2 et si vous voulez que le rôle sur cette instance dispose des mêmes autorisations que les utilisateurs du groupe, vous pouvez créer une politique gérée et l'attribuer au groupe d'utilisateurs et au rôle sur l'instance Amazon EC2.

Q : Comment les politiques IAM sont-elles évaluées conjointement avec les politiques basées sur les ressources Amazon S3, Amazon SQS, Amazon SNS et AWS KMS ?

Les politiques IAM sont évaluées avec les politiques basées sur les ressources des services. Lorsqu'une politique de tout type accorde l'accès (sans le refuser explicitement), l'action est autorisée. Pour plus d'informations sur la logique d'évaluation des politiques, consultez la section IAM Policy Evaluation Logic

Q : Puis-je utiliser une politique gérée en tant que politique basée sur les ressources ?

Les politiques gérées ne peuvent être associées aux utilisateurs, groupes ou rôles IAM. Vous ne pouvez pas les utiliser comme des politiques basées sur les ressources.

Q : Comment puis-je définir des autorisations granulaires avec des politiques ?

Grâce aux politiques, vous pouvez définir plusieurs degrés de granularité pour les autorisations. Tout d'abord, vous pouvez définir des actions de service AWS auxquelles vous souhaiter accorder ou refuser explicitement l'accès. Ensuite, selon l'action choisie, vous pouvez définir des ressources AWS qui pourront être visées. Enfin, vous pouvez définir des conditions à spécifier quand la politique entre en vigueur (par exemple, si le MFA est actif ou pas).

Q : Comment puis-je supprimer facilement les autorisations superflues ?

Afin de vous aider à déterminer quelles autorisations sont nécessaires, la console IAM affiche à présent des informations sur le dernier accès aux services, avec l'heure à laquelle une entité IAM (utilisateur, groupe ou rôle) a dernièrement accédé à un service AWS. En identifiant la dernière fois qu'une entité IAM a utilisé une autorisation, vous pouvez supprimer celles qui sont superflues et harmoniser plus facilement vos politiques IAM.

Q : Puis-je autoriser des utilisateurs à accéder ou à modifier les informations de niveau compte (par exemple, moyen de paiement, adresse e-mail de contact ou historique de facturation) ?

Oui, vous pouvez déléguer à un utilisateur IAM ou fédéré la consultation des données de facturation AWS et la modification des informations de compte AWS. Pour plus d'informations sur le contrôle de l'accès à vos informations de facturation, consultez la section Controlling Access.

Q : Qui peut créer les clés d'accès et les gérer dans un compte AWS ?

Seul le propriétaire du compte AWS peut gérer les clés d'accès pour le compte racine. Le propriétaire du compte et les rôles ou utilisateurs IAM auxquels ont été octroyés les autorisations nécessaires peuvent gérer les clés des utilisateurs IAM.

Q : Puis-je donner l'autorisation d'accéder à des ressources AWS détenues par un autre compte AWS ?
Oui. A l'aide des rôles IAM, les utilisateurs IAM et fédérés peuvent accéder aux ressources d'un autre compte AWS par le biais d'AWS Management Console, de la ligne de commande AWS ou des API. Pour plus d'informations, consultez la section Manage IAM Roles.

Q : A quoi ressemble une politique ?

La politique suivante donne l'autorisation l'ajouter, mettre à jour et supprimer des objets dans un dossier spécifique, example_folder, et dans un bucket (compartiment) particulier, example_bucket.

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:PutObject",
            "s3:GetObject",
            "s3:GetObjectVersion",
            "s3:DeleteObject",
            "s3:DeleteObjectVersion"
         ],
         "Resource":"arn:aws:s3:::example_bucket/example_folder/*"
      }
   ]
}


Q : Qu'est-ce que le simulateur de politique IAM ?
Le simulateur de politique d'IAM est un outil qui vous aidera à comprendre, tester et valider les effets de vos politiques de contrôle d'accès.

Q : A quoi le simulateur de politique peut-il servir ?
Le simulateur de politique peut être utilisé de différentes manières. Vous pouvez tester les changements de politique pour confirmer qu'ils produisent l'effet désiré avant de les déployer. Il est également possible de valider les politiques associées aux utilisateurs, aux groupes et aux rôles pour contrôler et corriger les autorisations accordées. Enfin, le simulateur de politique peut être utilisé pour comprendre la manière dont les politiques IAM et les politiques basées sur les ressources travaillent ensemble pour accorder ou refuser l'accès aux ressources AWS.

Q : Qui peut utiliser le simulateur de politique ?
Le simulateur de politique est disponible pour tous les clients AWS.

Q : Quel est le coût du simulateur de politique ?
Le simulateur de politique est disponible gratuitement.

Q : Comment bénéficier du service ?
Rendez-vous sur https://policysim.aws.amazon.com ou cliquez sur le lien de la console IAM sous « Additional Information ». Spécifiez une nouvelle politique ou choisissez un ensemble de politiques d'un utilisateur, d'un groupe ou d'un rôle que vous aimeriez évaluer. Puis, sélectionnez un ensemble d'actions dans la liste de services AWS, donnez les informations nécessaires pour simuler la demande d'accès, et lancez la simulation pour vérifier si la politique accorde ou refuse l'accès aux actions et ressources sélectionnées. Pour en savoir plus sur le simulateur de politique IAM, regardez notre vidéo de démarrage ou consultez la documentation.

Q : Quel type de politiques le simulateur de politique IAM prend-il en charge ?
Le simulateur de politique prend en charge les politiques récemment saisies, ainsi que les politiques existantes attachées aux utilisateurs, aux groupes ou aux rôles. De plus, vous pouvez effectuer une simulation pour vérifier si des politiques au niveau des ressources autorisent l'accès à une ressource en particulier pour les compartiments Amazon S3, les coffres-forts Amazon Glacier, les sujets Amazon SNS et les files d'attente Amazon SQS. Elles sont incluses dans la simulation lorsqu'un ARN (Amazon Resource Name) est spécifié dans le champ Ressource des Paramètres de simulation pour un service qui prend en charge les politiques de ressources.

Q : Si je modifie une politique dans le simulateur de politique, ces modifications sont-elles répercutées dans l'environnement de production ?
Non. Pour appliquer les changements à l'environnement de production, copiez la politique que vous avez modifiée dans le simulateur de politique et attachez-la à l'utilisateur, au groupe ou au rôle IAM désiré.

Q : Le simulateur de politique peut-il être utilisé de façon programmatique ?
Oui. Vous pouvez utiliser le simulateur de politique avec les kits SDK AWS ou la CLI AWS, en plus de la console du simulateur. Exécutez l'API iam:SimulatePrincipalPolicy pour tester de façon programmatique les politiques IAM existantes. Pour tester les effets de politiques récentes ou mises à jour et n'ayant pas encore été associées à un utilisateur, un groupe ou un rôle, utilisez l'appel d'API iam:SimulateCustomPolicy.  


Q : Comment un utilisateur IAM s'identifie-t-il ?
Un utilisateur IAM doit se connecter en utilisant l'URL de connexion du compte. Il est ensuite redirigé vers une page où il peut saisir son nom d'utilisateur et son mot de passe IAM. Cette URL de connexion figure dans le tableau de bord de la console IAM. Elle doit être transmise par l'administrateur système du compte AWS à l'utilisateur IAM.

Q : Qu'est-ce qu'un alias de compte AWS ?
L'alias de compte est un nom que vous définissez pour faciliter l'identification de votre compte. Vous pouvez créer un alias en utilisant les API d'IAM, les outils de ligne de commande AWS ou la console IAM. Vous pouvez avoir un alias par compte AWS.

Q : Les utilisateurs IAM doivent-ils toujours utiliser le lien direct ?
Les utilisateurs IAM doivent utiliser l'URL spécifique au compte lors de leur première connexion. L'URL spécifique au compte est ensuite stockée sous forme de cookie dans le navigateur de l'utilisateur. Cela permet à un utilisateur de retourner sur http://aws.amazon.com et de cliquer sur le lien de connexion à la console. Si l'utilisateur efface les cookies de son navigateur ou utilise un autre navigateur, il doit utiliser à nouveau l'URL spécifique au compte.

Q : A quels sites AWS les utilisateurs IAM peuvent-ils accéder ?
Les utilisateurs IAM peuvent se connecter aux sites AWS suivants :

Q : Les utilisateurs IAM peuvent-ils se connecter à d'autres propriétés Amazon.com avec leurs informations d'identification ?
Non. Les utilisateurs créés avec IAM sont uniquement reconnus par les services et applications AWS.

Q : Une API d'authentification permet-elle de vérifier les connexions des utilisateurs IAM ?
Non. Il n'est pas possible de vérifier les connexions des utilisateurs via un programme.

Q : Les utilisateurs SSH d'instances EC2 peuvent-ils se connecter en utilisant leur nom d'utilisateur et mot de passe AWS ?
Non. Les informations d'identification de sécurité créées avec IAM ne prennent pas en charge l'authentification directe des utilisateurs sur les instances EC2 du client. Il incombe au client de gérer les informations d'identification SSH EC2 au sein de la console EC2.


Q : En quoi consistent les identifiants de sécurité temporaires ?
Les informations d'identification de sécurité temporaires comprennent un ID de clé d'accès AWS, une clé d'accès secrète et un jeton de sécurité. Les informations d'identification de sécurité temporaires sont valides pour une durée spécifiée et pour un ensemble d'autorisations spécifique. Les informations d'identification de sécurité temporaires sont parfois simplement appelées « jetons ». Les jetons peuvent être demandés pour des utilisateurs IAM, ou pour des utilisateurs fédérés que vous gérez dans votre propre répertoire général. Pour en savoir plus, consultez la section Common Scenarios for Temporary Credentials.

Q : Quels sont les avantages des identifiants de sécurité temporaires ?
Les informations d'identification de sécurité temporaires vous permettent de :

  • Ils vous permettent d'étendre vos annuaires internes d'utilisateurs en autorisant la fédération pour AWS. Vos employés et applications peuvent ainsi accéder en toute sécurité aux API des services AWS, sans qu'il soit nécessaire de créer des identités AWS spécialement pour eux.
  • Vous pouvez demander des identifiants de sécurité temporaires pour un nombre illimité d'utilisateurs fédérés.
  • Vous configurez un délai d'expiration pour les identifiants de sécurité temporaires et renforcez ainsi la sécurité au niveau des accès aux API des services AWS via des périphériques mobiles, notamment dès lors qu'il existe un risque de perte.

Q : Comment puis-je demander des identifiants de sécurité temporaires pour des utilisateurs fédérés ?
Vous pouvez appeler les API GetFederationToken, AssumeRole, AssumeRoleWithSAML ou AssumeRoleWithWebIdentity dans STS.

Q : Comment les utilisateurs IAM peuvent-ils demander des informations d'identification de sécurité temporaires pour leur propre utilisation ?
Les utilisateurs IAM peuvent demander des identifiants de sécurité temporaires pour leur propre utilisation en appelant l'API AWS STS GetSessionToken. Le délai d'expiration par défaut de ces informations d'identification temporaires est de 12 heures. Il peut être réduit à 15 minutes ou augmenté à 36 heures.

Vous pouvez également utiliser les informations d'identification temporaires avec l'accès aux API protégé par l'authentification multi-facteurs (MFA)..

Q : Comment les informations d'identification de sécurité temporaires peuvent-elles être utilisées pour appeler les API des services AWS ?
Si vous envoyez directement des requêtes d'API HTTPS à AWS, vous pouvez signer ces requêtes avec les informations d'identification temporaires obtenues depuis AWS Security Token Service (AWS STS). Pour cela, suivez la procédure suivante :

  • Utilisez l'ID de clé d'accès et la clé d'accès secrète fournis avec les informations d'identification de sécurité temporaires, avec la même méthode que si vous utilisiez des informations d'identification longue durée pour signer une requête. Pour en savoir sur la signature de requêtes d'API HTTPS, consultez Signing AWS API Requests dans la documentation AWS General Reference.
  • Utilisez le jeton de session fourni avec les informations d'identification de sécurité temporaires. Intégrez le jeton de session à l'en-tête « x-amz-security-token ». Référez-vous à l'exemple de requête ci-dessous.
    • Pour Amazon S3, via l'en-tête HTTP "x-amz–security-token". 
    • Pour les autres services AWS, via le paramètre "SecurityToken".

Q : Quels sont les services AWS qui acceptent les informations d'identification de sécurité temporaires ?
Pour connaître la liste des services pris en charge, consultez la section AWS Services That Work with IAM.

Q : Quelle est la taille maximum de la politique d'accès pouvant être spécifiée lors de la demande d'informations d'identification de sécurité temporaires (GetFederationToken ou AssumeRole) ?
Le contenu en clair de la politique ne doit pas dépasser 2 048 octets. Cependant, une fonction de conversion interne compresse le tout dans un format binaire avec une limite à part.

Q : Un identifiant de sécurité temporaire peut-il être annulé avant son expiration ?
Non. Lorsque vous demandez des informations d'identification temporaires, nous vous recommandons de procéder comme suit :

  • Lors de la création des informations d'identification de sécurité temporaires, définissez le délai d'expiration approprié en fonction de votre application.
  • Puisque les autorisations du compte racine ne peuvent pas être restreintes, utilisez un utilisateur IAM et non pas un compte racine pour créer des informations d'identification de sécurité temporaires. Vous pouvez ensuite annuler les autorisations accordées à l'utilisateur IAM à l'origine de la demande initiale. Cette action annule presque immédiatement les privilèges pour toutes les informations d'identification de sécurité temporaires émis par cet utilisateur IAM

Q : Puis-je réactiver ou prolonger le délai d'expiration d'informations d'identification de sécurité temporaires ?
Non. Il est souhaitable de vérifier de manière proactive le délai d'expiration et de demander un nouvel identifiant de sécurité temporaire avant l'expiration de l'ancien. Ce processus de rotation est géré automatiquement lorsque les identifiants de sécurité temporaires sont utilisés dans le cadre de rôles pour les instances EC2.

Q : Les informations d'identification de sécurité temporaires sont-elles prises en charge dans toutes les régions ?
Les clients peuvent demander des jetons via les points de terminaison AWS STS dans toutes les régions, y compris les régions AWS GovCloud (USA) et Chine (Pékin). Les informations d'identification temporaires provenant d'AWS GovCloud (USA) et de Chine (Pékin) peuvent uniquement être utilisées dans leur région d'origine. Les informations d'identification temporaires demandées à partir d'une autre région telle que la région USA Est (Virginie du Nord) ou UE (Irlande) peuvent être utilisées dans toutes les régions, à l'exception des régions AWS GovCloud (USA) et Chine (Pékin).

Q : Puis-je limiter l'utilisation des informations d'identification de sécurité temporaires à une région ou un sous-ensemble de régions ?

Non. Vous ne pouvez pas limiter l'utilisation des informations d'identification temporaires à une région ou un sous-ensemble de région spécifique, à l'exception des informations d'identification de sécurité temporaires provenant des régions AWS GovCloud (USA) et Chine (Pékin) qui peuvent être uniquement utilisées dans les régions d'origine respectives.

Q : Que dois-je faire avant de pouvoir utiliser un point de terminaison AWS STS ?

Les points de terminaison AWS STS sont activés par défaut dans toutes les régions. Ils ne nécessitent pas d'action supplémentaire de votre part pour être utilisés.

Q : Que se passe-t-il si je tente d'utiliser un point de terminaison AWS STS régional ayant été désactivé pour mon compte AWS ?

Si vous tentez d'utiliser un point de terminaison AWS STS régional ayant été désactivé pour votre compte AWS, AWS STS génère une exception AccessDenied avec le message suivant : « AWS STS is not activated in this region for account: AccountID. Your account administrator can activate AWS STS in this region using the IAM console. »

Q : Quelles autorisations sont nécessaires pour activer ou désactiver des régions AWS STS à partir de la page Account Settings ?

Seuls les utilisateurs disposant au moins des autorisations iam:* peuvent activer ou désactiver des régions AWS STS à partir de la page Account Settings de la console IAM. Notez que les points de terminaison AWS STS dans les régions USA Est (Virginie du Nord), AWS GovCloud (USA) et Chine (Pékin) sont toujours actifs et ne peuvent pas être désactivés.

Q : Puis-je utiliser l'API ou la ligne de commande pour activer ou désactiver les régions AWS STS ?

Non. Aucune API ou ligne de commande n'est actuellement prise en charge pour activer ou désactiver des régions AWS STS. Nous envisageons de fournir cette prise en charge dans une prochaine version.


Q : Qu'est-ce que la fédération des identités ?
AWS Identity and Access Management (IAM) prend en charge la fédération d'identité pour les accès délégués à AWS Management Console ou aux API AWS. Grâce à la fédération d'identité, les identités externes disposent d'un accès sécurisé aux ressources dans votre compte AWS, sans avoir besoin de créer des utilisateurs IAM. Ces identités externes peuvent provenir de votre fournisseur d'identités d'entreprise (comme Microsoft Active Directory ou AWS Directory Service) ou un fournisseur d'identités Web (comme Amazon Cognito, Login with Amazon, Facebook, Google ou tout fournisseur compatible avec OpenID Connect).

Q : Que sont les utilisateurs fédérés ?
Les utilisateurs fédérés (les identités externes) sont des utilisateurs gérés en dehors d'AWS dans votre répertoire général, mais qui disposent d'un accès à votre compte AWS à l'aide d'informations d'identification de sécurité temporaires. Ils diffèrent des utilisateurs IAM qui sont créés et maintenus à jour dans votre compte AWS.

Q : Proposez-vous la prise en charge de SAML ?
Oui, AWS prend en charge le standard Security Assertion Markup Language (SAML) 2.0.

Q : Quels sont les profils SAML pris en charge par AWS ?
Le point de terminaison unique d'identification (SSO) à AWS prend en charge le profil SAML WebSSO basé sur le binding HTTP-POST initié par le fournisseur d'identités. Cela permet à un utilisateur fédéré de se connecter à AWS Management Console à l'aide d'une assertion SAML. Une assertion SAML peut également être utilisée pour demander des informations d'identification de sécurité temporaires à l'aide de l'API AssumeRoleWithSAML. Pour plus d'information, consultez la section About SAML 2.0-Based Federation.

Q : Les utilisateurs fédérés peuvent-ils accéder aux API d'AWS ?
Oui. Vous pouvez demander par programme des identifiants de sécurité temporaires pour fournir à vos utilisateurs fédérés un accès direct et sécurisé aux API d'AWS. Nous fournissons un exemple d'application qui montre comment procéder pour mettre en œuvre la fédération des identités, et ainsi permettre aux utilisateurs gérés dans Microsoft Active Directory d'accéder aux API de services AWS. Pour en savoir plus, consultez la section Using Temporary Security Credentials to Request Access to AWS Resources.

Q : Les utilisateurs fédérés peuvent-ils accéder à AWS Management Console ?
Oui. Il existe plusieurs manières de procéder. La première consiste à demander des informations d'identification de sécurité temporaires par programmation (par ex., GetFederationToken ou AssumeRole) pour vos utilisateurs fédérés, et à inclure ces informations dans la requête de connexion à AWS Management Console. Une fois que vous avez authentifié un utilisateur et que vous lui avez attribué des identifiants de sécurité temporaires, vous générez un jeton de connexion utilisé par le point de terminaison unique d'identification à AWS. Les actions de l'utilisateur dans la console sont limitées à la politique de contrôle d'accès associée aux identifiants de sécurité temporaires. Pour en savoir plus, consultez Creating a URL that Enables Federated Users to Access the AWS Management Console (Custom Federation Broker).

Vous pouvez également soumettre une assertion SAML directement pour la connexion à AWS (https://signin.aws.amazon.com/saml). Les actions de l'utilisateur dans la console sont limitées à la politique de contrôle d'accès associée au rôle IAM endossé à l'aide de l'assertion SAML. Pour plus d'informations, consultez la section Enabling SAML 2.0 Federated Users to Access the AWS Management Console.

L'adoption de l'une de ces approches permet à un utilisateur fédéré d'accéder à la console sans avoir à se connecter en fournissant un nom d'utilisateur et un mot de passe. Nous fournissons un exemple d'application qui montre comment procéder pour mettre en œuvre la fédération d'identité et ainsi permettre aux utilisateurs gérés dans Microsoft Active Directory d'accéder à AWS Management Console. 

Q : Comment puis-je contrôler les actions qu'un utilisateur fédéré est autorisé à effectuer lorsqu'il est connecté à la console ?
Lorsque vous demandez des informations d'identification de sécurité temporaires pour votre utilisateur fédéré à l'aide d'une API AssumeRole, vous pouvez, de manière optionnelle, spécifier une politique d'accès lors de la demande. Les privilèges de l'utilisateur fédéré se trouvent à l'intersection des permissions données par la politique d'accès spécifiée lors de la demande, et de la politique d'accès rattachée au rôle IAM qui a été endossé. La politique d'accès spécifiée lors de la demande ne peut pas augmenter le niveau de privilèges associé au rôle IAM endossé. Lorsque vous demandez des identifiants de sécurité temporaires pour votre utilisateur fédéré à l'aide d'une API GetFederationToken, vous devez spécifier une politique de contrôle d'accès lors de la demande. Les privilèges de l'utilisateur fédéré se trouvent à l'intersection des permissions données par la politique d'accès spécifiée lors de la demande et de la politique d'accès rattachée au rôle IAM qui a été endossé. La politique d'accès spécifiée lors de la demande ne peut pas augmenter le niveau de privilèges associé au rôle IAM endossé. Ces permissions d'utilisateur fédéré s'appliquent tant à l'accès aux API qu'aux actions entreprises au sein d'AWS Management Console.

Q : De quelles autorisations un utilisateur fédéré a-t-il besoin pour utiliser la console ?
L'utilisateur a besoin des permissions requises pour accéder aux API des services AWS appelés par AWS Management Console. Les permissions généralement nécessaires pour accéder aux services AWS sont documentées dans la section Using Temporary Security Credentials to Request Access to AWS Resources.

Q : Comment puis-je contrôler la durée pendant laquelle un utilisateur fédéré a accès à la console ?
En fonction de l'API utilisée pour créer les informations d'identification de sécurité temporaires, vous pouvez spécifier une durée limite de session de 15 minutes à 36 heures (pour GetFederationToken et GetSessionToken) et de 15 à 60 minutes (pour les API AssumeRole) pendant laquelle l'utilisateur fédéré peut accéder à la console. Lorsque la session expire, l'utilisateur doit en demander une nouvelle en retournant dans votre page Web, dans laquelle vous pouvez lui attribuer un nouvel accès.

Q : Que se passe-t-il lorsque la session de la console de fédération des identités expire ?
L'utilisateur voit s'afficher un message indiquant que la session de console a expiré et qu'il doit en demander une nouvelle. Vous pouvez spécifier une URL pour rediriger l'utilisateur vers la page Web de votre intranet local sur laquelle il peut demander une nouvelle session. Vous ajoutez cette URL lorsque vous spécifiez un paramètre d'émetteur dans le cadre de votre requête de connexion. Pour plus d'informations, consultez la section Enabling SAML 2.0 Federated Users to Access the AWS Management Console.

Q : A combien d'utilisateurs fédérés puis-je accorder l'accès à AWS Management Console ?
Il n'y a pas de limite au nombre d'utilisateurs fédérés pouvant accéder à la console.

Q : Qu'est-ce que la fédération d'identité Web ?

La fédération d'identité Web vous permet de créer des applications mobiles optimisées par AWS et utilisant des fournisseurs d'identités publics tels que Amazon Cognito, Login with Amazon, Facebook, Google ou tout fournisseur compatible avec OpenID Connect, à des fins d'authentification. La fédération des identités Web facilite l'intégration avec les fournisseurs d'identités publics pour la connexion à vos applications, sans que vous n'ayez à écrire du code côté serveur ou à communiquer des informations d'identification de sécurité AWS à long terme.

Pour en savoir plus sur la fédération des identités Web et vous lancer, consultez la section About Web Identity Federation.

Q : Comment activer la fédération d'identité Web avec des comptes de fournisseurs d'identités publics ?

L'utilisation d'Amazon Cognito comme broker d'identité permet d'obtenir les meilleurs résultats possible dans presque tous les scénarios de fédération d'identité Web. Amazon Cognito est facile à utiliser et apporte des capacités supplémentaires, comme l'accès anonyme (sans authentification) et la synchronisation des données utilisateur entre les appareils et les fournisseurs. Cependant, si vous avez déjà créé une application exploitant la fédération d'identité Web en appelant manuellement l'API AssumeRoleWithWebIdentity, vous pouvez continuer à l'utiliser : vos applications fonctionneront malgré tout.

Voici les étapes élémentaires à effectuer pour activer la fédération d'identité à l'aide d'un des fournisseurs d'identités Web pris en charge :

  1. Inscrivez-vous en tant que développeur auprès du fournisseur d'identités Web et configurez votre application avec l'identifiant unique qu'il vous donnera.
  2. Si vous utilisez un fournisseur d'identités Web compatible avec OIDC, créez-lui une entité de fournisseur d'identités dans IAM.
  3. Dans AWS, créez un ou plusieurs rôles IAM. 
  4. Dans votre application, authentifiez vos utilisateurs en recourant au fournisseur d'identités public.
  5. Vous faites également en sorte que tout appel non signé vers l'API AssumeRoleWithWebidentity entraîne la demande d'informations d'identification de sécurité temporaires pour votre application. 
  6. Avec ces identifiants de sécurité temporaires renvoyés par l'API AssumeRoleWithWebidentity, votre application peut envoyer des requêtes signées vers les API AWS.
  7. Votre application met en cache ces identifiants de sécurité temporaires afin que vous n'ayez pas à en redemander à chaque fois que l'application doit envoyer une requête à AWS.

Pour une procédure plus détaillée, consultez Using Web Identity Federation APIs for Mobile Apps.

Q : Quelle est la différence entre la fédération d'identité utilisant AWS Directory Service et celle utilisant une solution de gestion des identités tierce ?

Si vous souhaitez que seuls vos utilisateurs fédérés puissent accéder à AWS Management Console, l'utilisation d'AWS Directory Service offre des capacités similaires à celles de l'utilisation d'une solution de gestion des identités tierce. Les utilisateurs finaux peuvent se connecter en utilisant leurs informations d'identification d'entreprise et accéder à AWS Management Console. Puisqu'AWS Directory Service est un service géré, les clients n'ont pas besoin de configurer ni de gérer l'infrastructure de fédération, mais doivent créer un répertoire du connecteur AD à intégrer avec leur répertoire sur site. Si vous souhaitez fournir à vos utilisateurs fédérés un accès aux API d'AWS, utilisez une offre tierce ou déployez votre propre serveur proxy.


Q : La facturation AWS indique-t-elle l’utilisation cumulée et une ventilation des coûts par utilisateur ?
Non, ces fonctionnalités ne sont actuellement pas prises en charge.

Q : Le service IAM est-il payant ?
Non, il s'agit d'une fonction de votre compte AWS fournie gratuitement.

Q : Qui paie les frais d'utilisation générés par les utilisateurs dans le cadre d'un compte AWS ?
Le propriétaire du compte AWS est tenu responsable de toutes les utilisations, données et ressources exploitées dans le cadre de son compte AWS. Il doit en assurer le contrôle.

Q : Les activités facturables des utilisateurs sont-elles consignées dans les données d’utilisation AWS ?
Pas à l'heure actuelle. Ceci est prévu pour une version ultérieure.

Q : Quelle est la différence entre IAM et la facturation consolidée ?
IAM et la facturation consolidée sont des fonctions complémentaires. La facturation consolidée vous permet de consolider le paiement de plusieurs comptes AWS au sein de votre société, en désignant un seul compte de règlement. La portée de IAM n'est pas en rapport avec la facturation consolidée. Un utilisateur existe dans les limites d'un compte AWS et ne dispose pas des autorisations parmi les comptes associés. Pour plus d'informations, consultez la section Paying Bills for Multiple Accounts Using Consolidated Billing.

Q : Un utilisateur peut-il accéder aux informations de facturation des comptes AWS ?
Oui, mais uniquement si vous l'y avez autorisé. Pour que des utilisateurs IAM puissent consulter les informations de facturation, vous devez d'abord leur octroyer l'accès à la page d'activité de votre compte ou aux rapports d'utilisation. Consultez la section Controlling Access.


Q : Que se passe-t-il si un utilisateur essaie d'accéder à un service qui n'a pas encore été intégré à IAM ?
Le service renvoie une erreur de type "access denied" (accès refusé).

Q : Les actions AWS sont-elles consignées à des fins d'audit ?
Oui. Vous pouvez consigner des actions IAM, des actions STS et des connexions AWS Management Console en activant AWS CloudTrail. Pour en savoir plus sur la consignation AWS, consultez la section AWS CloudTrail.

Q : Y a-t-il une distinction entre les personnes et les agents logiciels en tant qu'entités AWS ?
Non, ces deux entités sont traitées comme des utilisateurs dotés d'informations d'identification de sécurité et d'autorisations. Cependant, seules les personnes utilisent un mot de passe dans AWS Management Console.

Q : Les utilisateurs font-ils appel aux services AWS Support et Trusted Advisor ?
Oui, les utilisateurs IAM ont la possibilité de créer et de modifier des cas de support. Ils peuvent également exploiter les fonctions Trusted Advisor.

Q : Des quotas sont-ils associés par défaut à IAM ?
Oui, par défaut, votre compte AWS dispose de quotas fixés au départ pour toutes les entités IAM. Pour en savoir plus, consultez la section Limitations on IAM Entities and Objects.

Ces quotas sont susceptibles d'être modifiés. Si vous avez besoin que ces quotas soient revus à la hausse, vous pouvez renseigner le formulaire d'augmentation des limites de service en vous rendant sur la page Contactez-nous et en sélectionnant Groupes et utilisateurs IAM dans la liste déroulante Type de limite.


Q : Qu'est-ce qu'AWS MFA ?
AWS Multi-Factor Authentication (AWS MFA) fournit un niveau de sécurité supplémentaire que vous pouvez appliquer à votre environnement AWS. Vous pouvez activer AWS MFA pour votre compte AWS et pour les utilisateurs individuels d'AWS Identity and Access Management (IAM) que vous avez créés sous votre compte.

Q : Comment fonctionne AWS MFA ?
AWS MFA utilise un dispositif d'authentification qui génère au hasard et en continu des codes d'authentification de six chiffres à utilisation unique. Pour s'authentifier à l'aide d'un dispositif AWS MFA, il existe deux méthodes principales :

  • Utilisateurs d'AWS Management Console : quand MFA est activé, lorsqu'un utilisateur se connecte à un site AWS, il est invité à saisir son nom d'utilisateur et son mot de passe (le premier facteur – ce qu'il connaît), ainsi qu'un code d'authentification de son dispositif AWS MFA (le second facteur – ce qu'il possède). Tous les sites Web d'AWS exigeant une connexion, tels qu'AWS Management Console, prennent entièrement en charge AWS MFA. Vous pouvez également utiliser AWS MFA avec l'option de suppression sécurisée S3 pour une protection supplémentaire de vos versions stockées sur Amazon S3.
  • Pour ceux qui utilisent les API AWS : Vous pouvez appliquer l'authentification MFA en ajoutant des restrictions MFA aux politiques IAM. Pour accéder aux API et ressources ainsi protégées, les développeurs peuvent demander des identifiants de sécurité temporaires et transmettre les paramètres MFA facultatifs dans leurs requêtes à l'API AWS STS (Security Token Service, le service qui émet des identifiants de sécurité temporaires). Les identifiants de sécurité temporaires validés par MFA servent à appeler les API et ressources protégées par MFA.

Q : Comment bénéficier du service AWS MFA ?
Pour cela, il vous suffit d'effectuer les deux étapes suivantes :

Obtenir un dispositif d'authentification. Trois possibilités s'offrent à vous :

  • Vous pouvez acheter un dispositif physique qui est compatible avec le service AWS MFA auprès de Gemalto, un fournisseur tiers.
  • Vous pouvez installer une application compatible AWS MFA sur un appareil tel que votre smartphone.
  • Vous pouvez vous inscrire en tant qu'utilisateur de la version préliminaire de SMS MFA, qui vous permet d'utiliser la fonctionnalité SMS de votre appareil mobile pour recevoir des codes de sécurité (uniquement disponible pour les utilisateurs IAM).

Consultez la page de la fonction MFA pour découvrir comment acquérir un dispositif MFA matériel ou virtuel et comment configurer SMS MFA.

Une fois équipé d'un dispositif d'authentification, vous devez l'activer. Vous activez un dispositif AWS MFA pour votre compte AWS ou vos utilisateurs IAM dans la console IAM. Vous pouvez aussi utiliser la CLI IAM pour l'activer pour un utilisateur IAM.

Q : Y-a-t-il des frais associés à l'utilisation d'AWS MFA ?
AWS ne facture pas de frais supplémentaires pour l'utilisation d'AWS MFA avec votre compte AWS. Cependant, si vous voulez utiliser un dispositif d'authentification physique, alors il faudra acheter un dispositif d'authentification qui est compatible avec AWS MFA provenant de Gemalto, un fournisseur tiers. Pour en savoir plus, consultez le site Web de Gemalto.

Q : Puis-je utiliser plusieurs dispositifs d'authentification actifs pour mon compte AWS ?
Oui. Chaque utilisateur IAM peut posséder son propre dispositif d'authentification. Cependant, chaque identité (utilisateur IAM ou compte racine) ne peut être associée qu'à un seul dispositif d'authentification

Q : Puis-je utiliser mon dispositif d'authentification pour différents comptes AWS ?
Non. Le numéro du dispositif d'authentification ou de l'appareil mobile est lié à une identité AWS unique (utilisateur IAM ou compte racine). Si une application compatible avec la norme TOTP est installée sur votre smartphone, vous pouvez créer plusieurs dispositifs MFA virtuels sur le même smartphone. Chacun des dispositifs MFA virtuels est lié à une identité unique, à l'instar d'un dispositif physique. Si vous dissociez (désactivez) le dispositif d'authentification, vous pouvez ensuite le réutiliser avec une autre identité AWS. Le dispositif d'authentification ne peut pas être utilisé simultanément par plusieurs identités.

Q : Je possède déjà un dispositif d'authentification sur mon lieu de travail ou pour un autre service que j'utilise, puis-je réutiliser ce dispositif avec AWS MFA ?
Non. AWS MFA compte sur le fait de connaître un secret unique associé avec votre dispositif d'authentification afin de prendre en charge son utilisation. En raison des contraintes de sécurité qui obligent que ces secrets ne soient jamais partagés entre des parties multiples, AWS MFA ne peut pas prendre en charge l'utilisation de votre dispositif d'authentification existant. Seul un dispositif d'authentification compatible acheté auprès de Gemalto peut être utilisé avec AWS MFA.

Q : Je rencontre des problèmes pour passer la commande d'un dispositif d'authentification à partir du site Web du fournisseur tiers Gemalto. Où puis-je trouver de l'aide ?
Le service client de Gemalto peut vous aider.

Q : J'ai reçu un dispositif d'authentification défectueux ou endommagé du fournisseur tiers Gemalto. Où puis-je trouver de l'aide ?
Le service client de Gemalto peut vous aider.

Q : Je viens de recevoir un dispositif d'authentification du fournisseur tiers Gemalto. Que dois-je faire ?
Il vous suffit simplement d'activer le dispositif afin d'activer AWS MFA pour votre compte AWS. Consultez la console IAM pour accomplir cette tâche.

Q : Qu'est ce qu'un dispositif MFA virtuel ?
Un dispositif MFA virtuel est une entrée créée dans une application logicielle compatible TOTP qui peut générer des codes d'authentification à six chiffres. L'application logicielle peut être exécutée sur n'importe quel appareil informatique, tel qu'un smartphone.

Q : Quelles sont les différences entre un dispositif MFA virtuel et les dispositifs MFA physiques ?
Les dispositifs MFA virtuels utilisent les mêmes protocoles que les dispositifs MFA physiques. Les dispositifs MFA virtuels sont basés sur un logiciel, et peuvent être exécutés sur vos appareils existants tel qu'un smartphone. La plupart des applications MFA virtuelles vous permettent aussi d'activer plusieurs dispositifs MFA virtuels, ce qui les rend plus pratiques que les dispositifs MFA physiques.

Q : Quelles sont les applications MFA virtuelles prises en charge avec AWS MFA ?
Vous pouvez utiliser des applications qui génèrent des codes d'authentification conformes TOTP, telles que l'application Google Authenticator, avec AWS MFA Nous pouvons mettre en service des dispositifs MFA virtuels soit en scannant automatiquement un code QR avec l'appareil photo du dispositif, soit par le biais d'une entrée source manuelle dans l'application MFA virtuelle.

Consultez la page MFA pour connaître la liste des applications MFA virtuelles prises en charge.

Q : Qu'est-ce qu'un code QR ?
Un code QR est un code-barres qui est lisible par les lecteurs de code-barres dédiés et la plupart des smartphones. Le code comprend des modules disposés dans de grands carrés noirs sur un fond blanc. Le code QR contient les informations de configuration de sécurité requises pour acquérir un dispositif MFA virtuel dans votre application MFA virtuelle.

Q : Comment mettre en service un nouveau dispositif MFA virtuel ?
Vous pouvez configurer un nouveau dispositif MFA virtuel dans la console IAM pour vos utilisateurs IAM, ainsi que pour votre compte racine AWS. Vous pouvez également utiliser la commande iam create-virtual-mfa-device dans l'interface de ligne de commande AWS ou l'API CreateVirtualMFADevice pour mettre en service de nouveaux dispositifs MFA virtuels dans le cadre de votre compte. La commande iam create-virtual-mfa-device et l'API CreateVirtualMFADevice renvoient les informations de configuration requises, appelées « source », pour amorcer le dispositif MFA virtuel dans votre application compatible AWS MFA. Vous pouvez soit autoriser à vos utilisateurs IAM les permissions pour appeler cet API directement ou effectuer l'acquisition initiale en leur nom.

Q : Comment dois-je gérer et distribuer le matériel source pour les dispositifs MFA virtuels ?
Vous devez traiter le matériel source comme tout autre élément confidentiel (par exemple, les clés secrètes et mots de passe AWS).

Q : Comment puis-je activer un utilisateur IAM pour gérer mes dispositifs MFA virtuels dans le cadre de mon compte ?
Donner à l’utilisateur IAM la permission d’appeler l’API CreateVirtualMFADevice. Vous pouvez utiliser cette API pour mettre en service de nouveaux dispositifs MFA virtuels.

Q : Comment utiliser l'option SMS dans la version préliminaire ?
Pour vous inscire en tant qu'utilisateur de la version préliminaire, vous devez consulter la page de la fonction MFA et vous enregistrer en cliquant sur le bouton d'inscription à SMS MFA. Lorsque vous êtes accepté en tant qu'utilisateur de la version préliminaire, généralement dans un délai d'un ou deux jours ouvrables, un e-mail de confirmation contenant des instructions sur la configuration de SMS MFA vous est envoyé. Vous pouvez ensuite accéder à la console IAM et activer SMS MFA pour un utilisateur IAM. Le processus implique la saisie d'un numéro de téléphone pour chaque utilisateur IAM. Par la suite, lorsque l'utilisateur IAM se connecte à AWS Management Console, un code de sécurité à 6 chiffres lui est envoyé par SMS et il doit alors le saisir pour pouvoir se connecter.

Q : Puis-je utiliser SMS MFA avec des comptes racines dans la version préliminaire ?
Non. La prise en charge de l'option SMS MFA se limite aux utilisateurs IAM dans la version préliminaire.

Q : Puis-je utiliser SMS MFA avec des identifiants de sécurité temporaires d'AWS STS ?
Non. Dans la version préliminaire, vous ne pouvez pas utiliser SMS MFA avec des identifiants de sécurité temporaires d'AWS STS.

Q : Où puis-je activer AWS MFA ?
Vous pouvez activer AWS MFA pour un compte AWS et vos utilisateurs IAM dans la console IAM, l'interface de ligne de commande AWS ou en appelant l'API AWS.

Q : De quelles informations ai-je besoin pour activer un dispositif d'authentification matériel ou virtuel ?
Si vous activez le dispositif MFA avec la console IAM, vous n'avez besoin que du dispositif. Si vous utilisez l'interface de ligne de commande AWS ou l'API IAM, vous devez disposer des informations suivantes :

1. Le numéro de série du dispositif d'authentification. Le format du numéro de série varie selon que vous utilisez un dispositif physique ou un dispositif virtuel :

– Dispositif MFA matériel : le numéro de série figure sur l'étiquette code-barres au dos du dispositif.
–Dispositif MFA virtuel : le numéro de série est la valeur Amazon Resource Name (ARN) renvoyée lors de l'exécution de la commande iam-virtualmfadevicecreate dans l'interface de ligne de commande AWS ou lors de l'appel de l'API CreateVirtualMFADevice.

2. Les deux codes d'authentification consécutifs affichés sur le dispositif d'authentification.

Q : Mon dispositif d'authentification semble fonctionner normalement, mais je ne peux pas l'activer. Que dois-je faire ?
Veuillez nous contacter pour obtenir de l'aide.

Q : Si j'active AWS MFA pour mon compte racine AWS ou mes utilisateurs IAM, ces derniers auront-ils toujours besoin d'un code d'authentification pour se connecter au portail AWS ou à AWS Management Console ?
Oui. Le compte AWS et vos utilisateurs IAM doivent avoir leur dispositif MFA à portée de main chaque fois qu'ils souhaitent se connecter à un site d'AWS.

Si le dispositif d'authentification associé au compte racine AWS est endommagé, perdu, volé ou cesse de fonctionner, vous pouvez nous contacter pour que nous vous aidions à désactiver la fonction AWS MFA pour le compte racine. Cela vous permet de vous connecter temporairement à AWS en n'utilisant que votre nom d'utilisateur et votre mot de passe pour le compte AWS.

Avec un dispositif MFA virtuel et matériel, si vos utilisateurs IAM perdent ou abîment le dispositif d'authentification, s'il est volé ou s'il cesse de fonctionner, vous pouvez désactiver la fonction AWS MFA vous-même en utilisant la console IAM ou l'interface de ligne de commande AWS. Avec SMS MFA, MFA ne subit aucune interruption si vous faites l'acquisition d'un nouveau téléphone mobile qui conserve le même numéro.

Q : Si j'active AWS MFA pour mon compte racine AWS ou mes utilisateurs IAM, ces derniers doivent-ils toujours saisir un code MFA pour appeler directement des API AWS ?
Non, ce n'est pas nécessaire. Toutefois, ils devront saisir un code MFA s'ils envisagent d'appeler des API sécurisées dont l'accès est protégé par MFA.

Si vous appelez des API AWS avec les clés d'accès de votre compte racine AWS ou d'un utilisateur IAM, vous n'avez pas besoin de saisir de code MFA. Pour des raisons de sécurité, nous vous recommandons de supprimer toutes les clés d'accès de votre compte racine AWS et d'appeler des API AWS avec les clés d'accès d'un utilisateur IAM disposant des autorisations nécessaires.

Q : Comment me connecter au portail AWS et à AWS Management Console en utilisant mon dispositif d'authentification ?
Effectuez ces deux étapes :

Si vous vous connectez sous un compte racine AWS, connectez-vous comme d'habitude avec votre nom d'utilisateur et votre mot de passe quand vous y êtes invité. Pour vous connecter en tant qu'utilisateur IAM, utilisez l'URL spécifique au compte et fournissez votre nom d'utilisateur et votre mot de passe quand vous y êtes invité.

Sur la page suivante, saisissez le code d'identification à six chiffres qui apparaît actuellement sur votre dispositif d'authentification.

Q : La fonction AWS MFA a-t-elle un effet sur la manière dont j'accède aux API des services AWS ?
AWS MFA modifie la façon dont les utilisateurs IAM accèdent aux API de service AWS uniquement si le ou les administrateurs du compte décident d'activer l'accès aux API protégé par MFA. Les administrateurs peuvent activer cette fonction afin d'ajouter une couche de sécurité supplémentaire pour l'accès aux API sensibles en exigeant que les appelants s'authentifient à l'aide d'un dispositif AWS MFA. Pour en savoir plus, étudiez de manière plus approfondie la documentation sur l'accès aux API protégé par MFA.

Parmi les autres exceptions figurent les API PUT bucket versioning, GET bucket versioning et DELETE object de S3, lesquelles vous permettent d'exiger une authentification MFA pour la suppression ou la modification de l'état de contrôle de version de votre compartiment. Pour en savoir plus, lisez attentivement la documentation S3 concernant la configuration d'un compartiment avec l'option de suppression MFA.

Dans tous les autres cas, AWS MFA ne change actuellement pas la manière dont vous accédez aux API de service AWS.

Q : Puis-je utiliser un code d'authentification plus d'une fois¬?
Non. Pour des raisons de sécurité, chaque code d'authentification ne peut être utilisé qu'une seule fois.

Q : Il m'a récemment été demandé de resynchroniser mon dispositif d'authentification parce que mes codes d'authentification ont été rejetés. Dois-je m'en préoccuper ?
Non, ceci peut se produire de façon occasionnelle. AWS MFA s'appuie sur l'horloge de votre dispositif d'authentification qui doit être synchronisée sur l'horloge de nos serveurs. Parfois, ces horloges peuvent différer. Dans ce cas, lorsque vous utilisez le dispositif pour vous connecter et accéder à des pages sécurisées sur le site Web AWS ou l'AWS Management Console, AWS essaie automatiquement de resynchroniser le dispositif d'authentification en vous demandant de fournir deux codes d'authentification consécutifs (comme vous l'aviez fait pendant l'activation).

Q : Mon dispositif d'authentification semble fonctionner normalement, mais je ne peux pas l'utiliser pour me connecter à AWS Management Console. Que dois-je faire ?
Nous vous conseillons d'essayer de resynchroniser le dispositif d'authentification. Pour ce faire, utilisez ce lien si votre dispositif MFA protège vos informations d'identification de compte racine AWS (identification requise), ou ce lien s'il s'agit de vos informations d'identification d'utilisateur IAM. Si vous avez déjà essayé de le resynchroniser et que vous rencontrez toujours des problèmes de connexion, veuillez nous contacter pour obtenir de l'aide.

Q : Mon dispositif d'authentification est perdu, endommagé ou a été volé, et je ne peux plus me connecter à AWS Management Console. Que dois-je faire ?
Si le dispositif d'authentification est associé à un compte racine AWS, effectuez les étapes suivantes :

Contactez-nous pour obtenir de l'aide par rapport à la désactivation d'AWS MFA afin de pouvoir accéder temporairement à AWS Management Console en n'utilisant que votre nom d'utilisateur et votre mot de passe.

Modifiez votre mot de passe Amazon au cas où un pirate ait volé votre dispositif d'authentification et détienne également votre mot de passe actuel.

Achetez un nouveau dispositif d'authentification auprès du fournisseur tiers Gemalto en vous rendant sur son site Web ou achetez un nouveau dispositif MFA virtuel dans le cadre de votre compte en utilisant la console IAM.

Lorsque vous avez suivi les étapes ci-dessus, utilisez la console IAM pour activer le nouveau dispositif d'authentification afin de réactiver AWS MFA pour votre compte AWS.

Si le dispositif d'authentification est associé à un utilisateur IAM, vous pouvez utiliser la console IAM, l'interface de ligne de commande AWS ou l'API AWS pour supprimer le dispositif MFA pour l'utilisateur IAM. Si vous utilisez SMS MFA pour l'utilisateur IAM, MFA ne subit aucune interruption si vous faites l'acquisition d'un nouveau téléphone mobile qui conserve le même numéro.

Q : Mon dispositif d'authentification ne fonctionne plus et je ne peux plus me connecter au portail AWS ou à AWS Management Console. Que dois-je faire ?
Si le dispositif d'authentification physique est associé à un compte racine AWS, effectuez les étapes suivantes :

Contactez-nous pour obtenir de l'aide par rapport à la désactivation d'AWS MFA afin de pouvoir accéder temporairement aux pages sécurisées sur le site Web AWS et sur AWS Management Console en n'utilisant que votre nom d'utilisateur et votre mot de passe.

Contactez le fournisseur tiers Gemalto pour obtenir une aide supplémentaire concernant le dispositif d'authentification.

Lorsque vous disposez d'un autre dispositif d'authentification, revenez sur le site Web AWS et activez le dispositif pour réactiver AWS MFA pour votre compte AWS, comme précédemment.

Si le dispositif d'authentification est associé à un utilisateur IAM, ce dernier doit contacter la personne qui a founi le nom d'utilisateur et le mot de passe IAM.

Q : Comment puis-je désactiver AWS MFA ?
Pour désactiver AWS MFA sur votre compte AWS, vous pouvez désactiver votre dispositif d'authentification en utilisant la page des identifiants de sécurité. Pour désactiver AWS MFA pour vos utilisateurs IAM, vous devez utiliser la console IAM ou l'interface de ligne de commande AWS.

Q : Puis-je utiliser AWS MFA dans GovCloud ?
Oui, vous pouvez utiliser un dispositif AWS MFA virtuel dans GovCloud. AWS ne prend actuellement pas en charge les dispositifs MFA matériels dans GovCloud.


Q : En quoi consiste l'accès aux API protégé par MFA ?
L'accès aux API protégé par MFA est une fonction proposée en option qui permet aux administrateurs de compte d'exiger un niveau d'authentification supplémentaire pour certaines API définies par le client ; les utilisateurs doivent alors fournir un second facteur d'authentification en plus d'un mot de passe. Cela permet notamment aux administrateurs de spécifier des conditions au sein de leurs politiques IAM afin d'exiger une authentification MFA pour accéder à certaines API. Les utilisateurs appelant ces API doivent donc obtenir des informations d'identification temporaires qui indiquent que l'utilisateur a saisi un code MFA valide.

Q : Quel est l'intérêt de l'accès aux API protégé par MFA ?
Auparavant, les clients pouvaient demander une authentification MFA pour accéder à AWS Management Console, mais ils ne pouvaient pas appliquer ces restrictions MFA aux développeurs et applications interagissant directement avec les API de service AWS. L'accès aux API protégé par MFA garantit l'application systématique des politiques IAM, quel que soit le chemin d'accès emprunté. Ainsi, vous pouvez désormais développer votre propre application reposant sur AWS, qui exige de l'utilisateur une authentification MFA avant d'appeler les API principales ou d'accéder à des ressources sensibles.

Q : Comment activer l'accès aux API protégé par MFA ?
Vous n'avez que deux étapes simples à réaliser :

  1. Vous affectez un dispositif MFA à vos utilisateurs IAM. Vous pouvez acheter une clé d'accès matérielle, utiliser SMS MFA avec un téléphone mobile pouvant recevoir des SMS ou télécharger une application TOTP gratuite sur votre smartphone, tablette ou ordinateur. Consultez la page de présentation de la fonction MFA pour en savoir plus les dispositifs AWS MFA.
  2. Activez l'accès aux API protégé par MFA en créant des politiques d'accès pour les utilisateurs et groupes IAM auxquels vous voulez imposer une authentification MFA. Pour en savoir plus sur la syntaxe de langage des stratégies d'accès, consultez la documentation sur le langage des stratégies d'accès.

Q : Comment les développeurs et utilisateurs accèdent-ils aux API et ressources sécurisées via l'accès aux API protégé par MFA ?
Les développeurs et utilisateurs utilisent l'accès aux API protégé par MFA à la fois dans AWS Management Console et dans les API.

Dans AWS Management Console, tout utilisateur IAM auquel les restrictions MFA s'appliquent doit s'authentifier avec son propre dispositif pour pouvoir se connecter. Les utilisateurs non concernés par l'authentification MFA n'ont pas accès aux API et ressources protégées par la fonction MFA.

Au niveau des API, les développeurs peuvent intégrer AWS MFA à leurs applications afin d'inviter les utilisateurs à s'authentifier avec leurs dispositifs MFA respectifs, avant d'appeler les API principales ou d'accéder à des ressources sensibles. Les développeurs activent cette fonctionnalité en ajoutant des paramètres MFA facultatifs (numéro de série et code MFA) aux requêtes en vue d'obtenir des identifiants de sécurité temporaires (ces requêtes sont appelées « requêtes de session »). Si les paramètres sont valides, les informations d'identification de sécurité temporaires du statut MFA sont renvoyées. Consultez la documentation relative aux identifiants de sécurité temporaires pour en savoir plus.

Q : Qui peut utiliser l'accès aux API protégé par MFA ?
Tous les clients AWS peuvent utiliser l'accès aux API protégé par MFA gratuitement.

Q : Quels services fonctionnent avec l'accès aux API protégé par MFA ?
L'accès aux API protégé par MFA est pris en charge par l'ensemble des services AWS qui acceptent les identifiants de sécurité temporaires. Pour connaître la liste des services pris en charge, consultez la page consacrée aux services AWS compatibles avec IAM et examinez la colonne correspondant à la prise en charge des identifiants de sécurité temporaires.

Q : Que se passe-t-il si un utilisateur fournit des informations erronées concernant le dispositif MFA alors qu'il demande des identifiants de sécurité temporaires ?
La demande échoue et l'utilisateur ne reçoit pas d'identifiants de sécurité temporaires. Lorsqu'un utilisateur IAM demande des identifiants de sécurité temporaires en spécifiant des paramètres MFA, il doit fournir le numéro de série de son dispositif, ainsi qu'un code MFA valide.

Q : L'accès aux API protégé par MFA s'applique-t-il aux comptes racine AWS ?
Non, l'accès aux API protégé par MFA contrôle uniquement l'accès des utilisateurs IAM. Les comptes racine ne sont liés à aucune politique IAM ; c'est pourquoi, nous vous recommandons de créer des utilisateurs IAM pour interagir avec les API de service AWS au lieu d'utiliser les identifiants de connexion au compte racine AWS.

Q : Est-il impératif qu'un utilisateur se voie attribuer un dispositif MFA afin d'utiliser l'accès aux API protégé par MFA ?
Oui, tout utilisateur doit d'abord être affecté à un dispositif MFA matériel, virtuel ou SMS unique.

Q : L'accès aux API protégé par MFA est-il compatible avec les objets S3, les files d'attente SQS et les sujets SNS ?
Oui.

Q : Comment l'accès aux API protégé par MFA s'applique-t-il aux cas d'utilisation existants de la fonction MFA, tels que l'option de suppression MFA S3 ?
L'accès aux API protégé par MFA et l'option de suppression MFA S3 sont totalement indépendants. L'option de suppression MFA S3 ne prend actuellement pas en charge les identifiants de sécurité temporaires. Les appels à l'API de suppression S3 MFA doivent donc utiliser des clés d'accès durables.

Q : Est-ce que l'accès aux API protégé par MFA fonctionne dans la région GovCloud (USA) ?
Oui.

Q : Est-ce que l'accès aux API protégé par MFA fonctionne pour les utilisateurs fédérés ?
Les clients ne peuvent pas utiliser l'accès aux API protégé par MFA afin de contrôler l'accès pour les utilisateurs fédérés. En effet, l'API GetFederatedSession n'accepte pas les paramètres MFA. Etant donné que les utilisateurs fédérés ne peuvent pas s'authentifier à l'aide de dispositifs AWS MFA, ils ne peuvent pas accéder aux ressources sécurisées via l'accès aux API protégé par MFA.

Q : Puis-je utiliser SMS MFA avec des identifiants de sécurité temporaires d'AWS STS ?

Dans la version préliminaire, vous ne pouvez utiliser SMS MFA avec des identifiants de sécurité temporaires d'AWS STS.