Je souhaite que plusieurs utilisateurs aient accès aux ressources et aux fonctions dont ils ont besoin dans un seul et même compte AWS. Comment AWS Identity and Access Management (IAM) peut-il m'aider à atteindre cet objectif ?

IAM vous permet de limiter l'accès d'utilisateurs spécifiques pour effectuer des actions ou afficher des informations relatives à votre compte et à vos ressources. Chaque utilisateur dispose de ses propres informations d'identification et se connecte à votre compte via une URL spécialisée que vous définissez. Vous devez spécifier ou sélectionner un ensemble d'autorisations (ou stratégie IAM) que vous pouvez associer à des utilisateurs spécifiques ou à des groupes d'utilisateurs. Pour de plus amples informations sur ce qu'IAM vous permet de faire, consultez la section Qu'est-ce qu'IAM +?

Voici quelques points à garder à l'esprit lorsque vous débutez avec IAM :

  • Quel est le profil de vos utilisateurs ? Si le groupe qui a besoin d'accéder à votre compte contient peu de membres, envisagez de définir des stratégies pour chacun d'eux. S'il est grand ou si vous prévoyez une augmentation conséquente du nombre de membres, définissez une stratégie pour les groupes (« Ingénieurs »,« Designers Web », « Finance », etc.), puis ajoutez les utilisateurs aux groupes qui correspondent à leurs besoins.
  • Concevez les stratégies pour qu'elles soient logiques et cohérentes, surtout si vous en avez beaucoup. La logique d'évaluation IAM détermine si la requête d'un utilisateur spécifique est autorisée ou refusée. Par exemple, si deux stratégies différentes sont associées à un utilisateur et si l'un d'elles l'autorise explicitement à accéder à une ressource spécifique alors que l'autre l'en empêche, la ressource sera inaccessible. Si ce comportement est voulu, cela est votre choix. Toutefois, il est essentiel de comprendre le fonctionnement de la logique d'évaluation IAM pour vous assurer que les utilisateurs ont uniquement accès aux services et aux ressources souhaités.
  • Comprenez la différence entre un utilisateur racine et un utilisateur IAM. L'utilisateur racine d'un compte AWS peut changer, supprimer ou mettre à jour n'importe quel aspect d'un compte AWS et de ses ressources. Il peut également administrer les utilisateurs IAM. Nous recommandons d'éviter autant que possible les interactions avec un compte ou ses ressources via l'utilisateur racine ou les clés d'accès associées à un utilisateur racine. Au lieu de cela, créez des rôles, des groupes et des utilisateurs IAM avec des stratégies d'accès offrant un minimum de privilèges. Pour consulter une explication détaillée de la différence entre les utilisateurs racines et IAM, reportez-vous à la section Informations d'identification du compte racine et informations d'identification de l'utilisateur IAM.

Identity and Access Management, IAM, racine, informations d'identification, accès


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 21/04/2016