- Sécurité, identité et conformité›
- AWS Identity and Access Management
FAQ sur AWS Identity and Access Management (IAM)
Questions d'ordre général
Qu'est-ce que la gestion des identités et des accès AWS (IAM) ?
IAM fournit un contrôle d'accès précis dans tous les services AWS. Avec l’IAM, vous contrôlez l’accès aux services et aux ressources dans des conditions spécifiques. Avec les politiques IAM, vous pouvez gérer les autorisations de votre personnel et de vos systèmes afin de garantir le moindre privilège. IAM est fourni sans frais supplémentaires. Pour plus d'informations, consultez En quoi consiste IAM ?
Comment fonctionne l'IAM et que puis-je en faire ?
L’IAM fournit l’authentification et l’autorisation pour les services AWS. Un service évalue si une demande AWS doit être autorisée ou refusée. L’accès est refusé par défaut et n’est autorisé que lorsqu’une politique octroie explicitement l’accès. Vous pouvez associer des politiques aux rôles et aux ressources pour contrôler l’accès sur AWS. Pour plus d'informations, voir Comprendre le fonctionnement de l'IAM.
Que sont les autorisations de moindre privilège ?
Lorsque vous définissez des autorisations avec des politiques IAM, n'accordez que les autorisations requises pour réaliser une tâche donnée. Cette pratique s'appelle l'octroi du moindre privilège. Vous pouvez appliquer des autorisations de moindre privilège dans l'IAM en définissant les actions pouvant être exécutées sur des ressources particulières et dans des conditions spécifiques. Pour plus d'informations, voir Gestion des accès aux ressources AWS.
Comment démarrer avec IAM ?
Pour commencer à utiliser l’IAM pour gérer les autorisations pour les services et les ressources AWS, vous devez créer un rôle IAM et lui accorder des autorisations. Pour les utilisateurs du personnel, créez un rôle qui peut être assumé par votre fournisseur d'identité. Pour les systèmes, créez un rôle qui peut être assumé par le service que vous utilisez, p. ex. Amazon EC2 ou AWS Lambda. Après avoir créé un rôle, vous pouvez associer une politique au rôle pour accorder des autorisations qui répondent à vos besoins. Lorsque vous débutez, vous ne connaissez peut-être pas les autorisations dont vous avez spécifiquement besoin, vous pouvez donc commencer avec des autorisations plus larges. Les politiques gérées par AWS fournissent des autorisations pour vous aider à démarrer et sont disponibles dans tous les comptes AWS. Ensuite, réduisez davantage les autorisations en définissant des politiques gérées par le client spécifiques à vos cas d'utilisation. Vous pouvez créer et gérer des politiques et des rôles dans la console IAM, ou via les API AWS ou CLI AWS. Pour plus d'informations, consultez Démarrez avec IAM.
Ressources IAM
Quels sont les rôles IAM et comment fonctionnent-ils ?
Les rôles AWS Identity and Access Management (IAM) permettent d'accéder à AWS sur la base d'informations d'identification de sécurité temporaires. Chaque rôle dispose d'un ensemble d'autorisations permettant d'effectuer des demandes de service AWS, et un rôle n'est pas associé à un utilisateur ou groupe spécifique. Au lieu de cela, les rôles sont assumés par des entités de confiance comme les fournisseurs d'identité ou les services AWS. Pour plus d'informations, voir Rôles IAM.
Pourquoi devrais-je utiliser des rôles IAM ?
Vous avez besoin de rôles IAM pour octroyer l’accès à vos comptes AWS sur la base d’informations d’identification à court terme, une bonne pratique de sécurité reconnue. Les identités autorisées, qui peuvent être des services AWS ou des utilisateurs de votre fournisseur d’identité, peuvent assumer des rôles pour faire des demandes AWS. Pour accorder des autorisations à un rôle, associez-lui une politique IAM. Pour plus d'informations, voir Scénarios courants pour les rôles.
Que sont les utilisateurs IAM et dois-je continuer à les utiliser ?
Les utilisateurs IAM sont des identités avec des informations d’identification à long terme. Il se peut que vous utilisiez des utilisateurs IAM pour les utilisateurs du personnel. Dans ce cas, AWS recommande l’utilisation d’un fournisseur d’identité et la fédération dans AWS en assumant des rôles. Vous pouvez également utiliser des rôles pour octroyer un accès entre comptes aux services et fonctionnalités comme les fonctions AWS Lambda. Dans certains scénarios, vous pouvez avoir besoin d'utilisateurs IAM détenteurs de clés d'accès qui disposent d'informations d'identification à long terme avec accès à votre compte AWS. Pour de tels scénarios, AWS recommande d'utiliser les dernières informations utilisées d'accès à IAM afin de permettre une rotation fréquente des informations d'identification et supprimer les informations d'identification qui ne sont pas utilisées. Pour plus d'informations, voir Présentation de la gestion des identités AWS : Utilisateurs.
Que sont les politiques IAM ?
Les politiques IAM définissent les autorisations pour les entités auxquelles vous les associez. Par exemple, pour accorder l’accès à un rôle IAM, associez une politique au rôle. Les autorisations définies dans la politique déterminent si les demandes doivent être autorisées ou refusées. Vous pouvez également associer des politiques à certaines ressources, p. ex. les compartiments Amazon S3, pour octroyer un accès direct entre comptes. Et vous pouvez associer des politiques à une organisation ou une unité organisationnelle AWS pour restreindre l’accès à plusieurs comptes. AWS évalue ces politiques lorsqu’un rôle IAM fait une demande. Pour plus d'informations, consultez les Politiques basées sur l'identité.
Accorder un accès
Comment accorder l'accès aux services et aux ressources avec l'IAM ?
Pour accorder l'accès aux services et aux ressources à l'aide d'AWS Identity and Access Management (IAM), associez des politiques IAM aux rôles ou aux ressources. Vous pouvez commencer par associer des politiques gérées par AWS, qui sont détenues et mises à jour par AWS et sont disponibles dans tous les comptes AWS. Si vous connaissez les autorisations spécifiquement requises pour vos cas d'utilisation, vous pouvez créer des politiques gérées par le client et les associer à des rôles. Certaines ressources AWS offrent un moyen d’accorder l’accès en définissant une politique associée aux ressources, p. ex. les compartiments Amazon S3. Ces politiques basées sur les ressources vous permettent d'octroyer un accès intercompte direct aux ressources auxquelles elles sont associées. Pour plus d'informations, voir Gestion des accès aux ressources AWS.
Comment créer des politiques IAM ?
Pour attribuer des autorisations à un rôle ou à une ressource, créez une politique, qui se présente sous forme de document JavaScript Object Notation (JSON) définissant les autorisations. Ce document inclut des déclarations d’autorisation qui accordent ou refusent l’accès à des actions de service, des ressources et des conditions spécifiques. Après avoir créé une politique, vous pouvez l’associer à un ou plusieurs rôles AWS pour accorder des autorisations à votre compte AWS. Pour accorder un accès direct entre comptes aux ressources, telles que les compartiments Amazon S3, vous avez besoin de politiques basées sur les ressources. Créez vos politiques dans la console IAM ou via les API AWS ou la CLI AWS. Pour plus d'informations, consultez Création de politiques IAM.
Que sont les politiques gérées par AWS et quand dois-je les utiliser ?
Les politiques gérées par AWS sont créées et administrées par AWS et recouvrent les cas d’utilisation courants. Pour commencer, vous pouvez accorder des autorisations plus larges via les politiques gérées par AWS qui sont disponibles dans votre compte AWS et communes à tous les comptes AWS. Ensuite, à mesure que vous affinez vos exigences, vous pouvez réduire les autorisations en définissant des politiques gérées par le client spécifiques à vos cas d’utilisation aux fins d’obtenir des autorisations de moindre privilège. Pour plus d'informations, voir politiques gérées par AWS.
Que sont les politiques gérées par le client et quand dois-je les utiliser ?
Pour accorder seulement les autorisations requises pour réaliser une tâche donnée, vous pouvez créer des politiques gérées par le client qui sont spécifiques à vos cas d’utilisation et à vos ressources. Utilisez des politiques gérées par le client pour continuer d’affiner les autorisations en fonction de vos besoins spécifiques. Pour plus d'informations, voir Politiques gérées par le client.
Quelles sont les politiques en ligne et quand dois-je les utiliser ?
Les politiques en ligne sont intégrées et inhérentes à des rôles IAM spécifiques. Utilisez des politiques en ligne si vous souhaitez conserver une relation strictement un-à-un entre une politique et l’identité à laquelle elle s’applique. Par exemple, vous pouvez accorder des autorisations administratives afin de garantir qu’elles ne soient pas associées à d’autres rôles. Pour plus d'informations, voir Politiques en ligne.
Que sont les politiques basées sur les ressources et quand dois-je les utiliser ?
Les politiques basées sur les ressources sont des politiques d’autorisations associées à des ressources. Par exemple, vous pouvez associer des politiques basées sur les ressources aux compartiments Amazon S3, aux files d’attente Amazon SQS, aux points de terminaison d’un VPC et aux clés de chiffrement AWS Key Management Service. Pour obtenir la liste des services prenant en charge les politiques basées sur les ressources, voir Services AWS qui fonctionnent avec IAM. Utilisez des politiques basées sur les ressources pour accorder un accès direct entre comptes. Avec les politiques basées sur les ressources, vous pouvez définir la personne qui a accès à une ressource et quelles actions elle est en droit de réaliser avec celle-ci. Pour plus d'informations, consultez Politiques basées sur l'identité et politiques basées sur les ressources.
Qu'est-ce que le contrôle d'accès basé sur les rôles (RBAC) ?
Le RBAC vous permet d’attribuer des autorisations selon la fonction d’une personne, connue en dehors d’AWS en tant que « rôle ». L’IAM fournit le RBAC en définissant des rôles IAM avec des autorisations alignées sur les fonctions professionnelles. Vous pouvez ensuite accorder un accès à quelqu’un pour assumer un tel rôle dans l’exercice d’une fonction professionnelle spécifique. Avec le RBAC, vous pouvez vérifier l’accès en examinant chaque rôle IAM et ses autorisations associées. Pour plus d'informations, voir Comparaison de l'ABAC avec le modèle RBAC traditionnel.
Comment accorder un accès avec RBAC ?
Une bonne pratique consiste à n’accorder l’accès qu’aux actions de service et aux ressources spécifiquement requises pour effectuer chaque tâche. Cette pratique est connue sous le nom d'octroi du moindre privilège. Lorsque les employés ajoutent de nouvelles ressources, vous devez mettre à jour les politiques pour octroyer l’accès à ces ressources.
Qu'est-ce que le contrôle d'accès basé sur les attributs (ABAC) ?
L’ABAC est une stratégie d’autorisation consistant à définir les autorisations en fonction des attributs. Dans AWS, ces attributs sont appelés balises et vous pouvez les définir dans les ressources AWS, les rôles IAM et les sessions de rôles. Avec l’ABAC, vous définissez un ensemble d’autorisations basées sur la valeur d’une balise. Vous pouvez accorder des autorisations très précises à des ressources spécifiques en exigeant que les balises du rôle ou de la session correspondent aux balises de la ressource. Par exemple, vous pouvez créer une stratégie qui accorde aux développeurs l’accès aux ressources labellisées avec l’intitulé de tâche « Développeurs ». L’ABAC est utile dans les environnements qui se développent rapidement en accordant des autorisations à des ressources à mesure qu’elles sont créées avec des balises spécifiques. Pour plus d'informations, voir Contrôle d'accès basé sur les attributs pour AWS.
Comment accorder un accès avec l'ABAC ?
Pour accorder un accès avec l’ABAC, définissez d’abord les clés et les valeurs de balises que vous souhaitez utiliser pour le contrôle d’accès. Ensuite, assurez-vous que votre rôle IAM a les clés et les valeurs de balises adéquates. Si plusieurs identités utilisent ce même rôle, vous pouvez également définir des clés et des valeurs de balises de session. Ensuite, veillez à ce que vos ressources disposent des clés et des valeurs de balises adéquates. Vous pouvez également demander aux utilisateurs de créer des ressources avec des balises adéquates et restreindre l’accès permettant de les modifier par la suite. Une fois vos balises en place, définissez une politique qui accorde l’accès à des types d’actions et de ressources spécifiques, mais seulement si les balises de rôle ou de session correspondent aux balises de ressource. Pour un didacticiel détaillé expliquant comment utiliser l'ABAC dans AWS, consultez le Didacticiel IAM : Définir les autorisations d'accès aux ressources AWS en fonction des balises.
Restreindre l’accès
Comment restreindre l'accès à l'aide d'IAM ?
Avec AWS Identity and Access Management (IAM), tous les accès sont refusés par défaut et requièrent une politique qui accorde l’accès. Quand vous gérez les autorisations à grande échelle, vous pouvez être tenté de mettre en place des barrières de protection d'autorisations et de restreindre l'accès à l'ensemble de vos comptes. Pour restreindre l’accès, spécifiez une instruction de Rejet dans n’importe quelle politique. Si une instruction de Rejet s’applique à une demande d’accès, elle prévaut toujours sur une instruction d’Autorisation. Par exemple, si vous autorisez l’accès à toutes les actions dans AWS mais refusez l’accès à IAM, toute demande d’accès à IAM sera rejetée. Vous pouvez inclure une instruction de Rejet dans n’importe quel type de politique, y compris les politiques basées sur l’identité, les ressources et le contrôle des services avec AWS Organizations. Pour plus d'informations, voir Contrôle de l'accès avec AWS Identity and Access Management.
Que sont les politiques de contrôle des services (SCP) d'AWS Organizations et quand dois-je les utiliser ?
Les SCP sont similaires aux politiques IAM et utilisent presque la même syntaxe. Cependant, les SCP n’accordent pas d’autorisations. Au lieu de cela, les SCP autorisent ou rejettent l'accès aux services AWS pour des comptes AWS individuels avec des comptes membres Organizations, ou pour des groupes de comptes au sein d'une unité organisationnelle. Les actions spécifiées à partir d'une SCP affectent l’ensemble des utilisateurs et des rôles IAM, y compris l'utilisateur racine du compte membre. Pour plus d'informations, voir Logique d'évaluation des politiques.
Analyser un accès
Comment puis-je évoluer vers les autorisations de moindre privilège ?
Lorsque vous commencez à accorder des autorisations, vous pouvez commencer par des autorisations plus larges pendant la phase d'exploration et d'expérimentation. À mesure que vos cas d'utilisation arrivent à maturité, AWS vous recommande d'affiner les autorisations pour n'accorder que celles requises aux fins d'obtenir des autorisations de moindre privilège. AWS peut vous fournir des outils pour vous aider à affiner vos autorisations. Vous pouvez commencer par les politiques gérées par AWS, qui sont créées et administrées par AWS et incluent des autorisations pour les cas d'utilisation courants. À mesure que vous affinez vos autorisations, vous pouvez définir des autorisations spécifiques dans les politiques gérées par le client. Pour vous aider à déterminer les autorisations dont vous avez spécifiquement besoin, utilisez AWS Identity and Access Management (IAM) Access Analyzer, consultez les journaux AWS CloudTrail et examinez les dernières informations d'accès. Vous pouvez également utiliser le simulateur de politiques IAM pour tester les politiques et éliminer les défauts.
Qu'est-ce que l'IAM Access Analyzer ?
L'obtention du moindre privilège est un cycle continu qui consiste à accorder les autorisations précises et appropriées au fur et à mesure de l'évolution de vos besoins. L’IAM Access Analyzer vous aide à rationaliser la gestion des autorisations à chaque étape de ce cycle. La génération de stratégies à l'aide d'IAM Access Analyzer produit une stratégie précise basée sur l'activité d'accès capturée dans vos journaux. Cela signifie qu'après avoir créé et exécuté une application, vous pouvez générer des stratégies qui accordent uniquement les autorisations requises pour faire fonctionner l'application. La validation des stratégies à l'aide d'IAM Access Analyzer vous guide pour créer et valider des stratégies sûres et fonctionnelles avec plus de 100 vérifications de stratégies. Vous pouvez utiliser ces contrôles lors de la création de politiques ou pour valider des politiques existantes. Les vérifications de politiques personnalisées de l'analyseur d'accès IAM sont une fonctionnalité payante qui permet de vérifier que les politiques créées par les développeurs respectent les normes de sécurité que vous avez spécifiées avant les déploiements. Les vérifications des politiques personnalisées utilisent la puissance du raisonnement automatisé (une assurance de sécurité prouvée étayée par des preuves mathématiques) pour permettre aux équipes de sécurité de détecter de manière proactive les mises à jour non conformes des politiques.
Les résultats publics et entre comptes avec IAM Access Analyzer vous permettent de vérifier et d'affiner l'accès autorisé par vos politiques de ressources à partir de l'extérieur de votre organisation ou de votre compte AWS. Pour plus d'informations, voir Utilisation d'IAM Access Analyzer. IAM Access Analyzer analyse en permanence vos comptes pour identifier les accès non utilisés et crée un tableau de bord centralisé avec les résultats. Les résultats mettent en évidence les rôles non utilisés, les clés d'accès non utilisées des utilisateurs IAM et les mots de passe non utilisés des utilisateurs IAM. Dans le cas des utilisateurs et des rôles IAM actifs, les résultats indiquent quels services et quelles actions ne sont pas utilisés.
Comment puis-je supprimer les autorisations inutilisées ?
Il est possible que vous ayez des utilisateurs, des rôles et des autorisations IAM dont vous n’avez plus besoin dans votre compte AWS. Dans ce cas, nous vous recommandons de les supprimer afin d’obtenir un accès de moindre privilège. Pour les utilisateurs IAM, vous pouvez consulter les dernières informations utilisées de mot de passe et de clé d’accès. Pour les rôles, vous pouvez passer en revue les dernières informations de rôle utilisées. Ces informations sont disponibles via la console IAM, les API et les SDK. Les dernières informations utilisées vous aident à identifier les utilisateurs et les rôles qui ne sont plus utilisés et dont vous pouvez donc vous débarrasser. Vous pouvez également affiner les autorisations en examinant le service et les dernières informations consultées afin d’identifier les autorisations inutilisées. Pour plus d'informations, voir Affiner les autorisations dans AWS à l'aide des dernières informations consultées.
Si vous activez l'analyseur d'accès non utilisé en tant que fonctionnalité payante, IAM Access Analyzer analyse en permanence vos comptes pour identifier les accès non utilisés et crée un tableau de bord centralisé avec les résultats. Ce tableau de bord permet aux équipes de sécurité d'examiner les résultats dans un emplacement centralisé et de hiérarchiser les comptes en fonction du volume de résultats. Les équipes de sécurité peuvent utiliser le tableau de bord pour examiner les résultats de manière centralisée et hiérarchiser les comptes à examiner en fonction du volume des résultats. Les résultats mettent en évidence les rôles non utilisés, les clés d'accès non utilisées des utilisateurs IAM et les mots de passe non utilisés des utilisateurs IAM. Dans le cas des utilisateurs et des rôles IAM actifs, les résultats indiquent quels services et quelles actions ne sont pas utilisés, ce qui simplifie l'inspection des accès non utilisés pour vous guider vers le moindre privilège. Grâce à cette fonctionnalité, vous payez en fonction des rôles IAM ou des utilisateurs IAM analysés par mois.
Qu'est-ce que le simulateur de politiques IAM et quand dois-je l'utiliser ?
Le simulateur de politiques IAM évalue les politiques que vous choisissez et détermine les autorisations effectives pour chacune des actions que vous spécifiez. Utilisez le simulateur de politiques pour tester les politiques basées sur l'identité et les ressources, les limites d'autorisations IAM et les SCP, et pour éliminer les défauts. Pour plus d'informations, voir Tester les politiques IAM avec le simulateur de politiques IAM.
En quoi consistent les vérifications de politiques personnalisées de l'analyseur d'accès IAM ?
Les contrôles des politiques personnalisées de l'analyseur d'accès IAM permettent de vérifier avant les déploiements que les politiques IAM sont conformes à vos normes de sécurité. Les vérifications personnalisées des politiques utilisent la puissance du raisonnement automatisé (une assurance de sécurité prouvée étayée par des preuves mathématiques) pour permettre aux équipes de sécurité de détecter de manière proactive les mises à jour non conformes des politiques. Par exemple, les modifications de politique IAM sont plus permissives que leur version précédente. Les équipes de sécurité peuvent utiliser ces contrôles pour rationaliser leurs évaluations, en approuvant automatiquement les politiques conformes à leurs normes de sécurité et en effectuant des inspections plus approfondies lorsque ce n'est pas le cas. Ce nouveau type de validation offre une meilleure garantie de sécurité dans le cloud. Les équipes de sécurité et de développement peuvent automatiser les révisions des politiques à grande échelle en intégrant ces contrôles des politiques personnalisées dans les outils et les environnements dans lesquels les développeurs rédigent leurs politiques, tels que leurs pipelines CI/CD.
Qu'est-ce que l'accès non utilisé à l'analyseur d'accès IAM non utilisé ?
L'analyseur d'accès IAM simplifie l'inspection des accès non utilisés afin de vous orienter vers le moindre privilège. Les équipes de sécurité peuvent se servir de l'analyseur d'accès IAM pour bénéficier d'une visibilité sur les accès non utilisés au sein de leur organisation AWS et automatiser l'adaptation des autorisations. Lors que l'analyseur d'accès non utilisé est activé, IAM Access Analyzer analyse en permanence vos comptes pour identifier les accès non utilisés et crée un tableau de bord centralisé avec les résultats. Ce tableau de bord permet aux équipes de sécurité d'examiner les résultats dans un emplacement centralisé et de hiérarchiser les comptes en fonction du volume de résultats. Les équipes de sécurité peuvent utiliser le tableau de bord pour examiner les résultats de manière centralisée et hiérarchiser les comptes à examiner en fonction du volume des résultats. Les résultats mettent en évidence les rôles non utilisés, les clés d'accès non utilisées des utilisateurs IAM et les mots de passe non utilisés des utilisateurs IAM. Dans le cas des utilisateurs et des rôles IAM actifs, les résultats indiquent quels services et quelles actions ne sont pas utilisés.