Public ciblé Authentification par des identités Gestion des accès à l’aide de politiques

Gestion des identités et des accès pour Amazon S3

AWS Identity and Access Management (IAM) est un Service AWS qui aide un administrateur à contrôler en toute sécurité l’accès aux ressources AWS. Les administrateurs IAM contrôlent les personnes qui peuvent être authentifiées (connectées) et autorisées (disposant des autorisations requises) à utiliser des ressources Amazon S3. IAM est un Service AWS que vous pouvez utiliser sans frais supplémentaires.

Pour plus d’informations sur les autorisations relatives aux opérations d’API S3 par type de ressource S3, consultez Autorisations requises pour les opérations d’API Amazon S3.

Note

Pour plus d’informations sur l’utilisation de la classe de stockage Amazon S3 Express One Zone avec des compartiments de répertoires, consultez S3 Express One Zone et Utilisation des compartiments de répertoires.

Rubriques

Public ciblé

La façon dont vous utilisez AWS Identity and Access Management (IAM) varie en fonction de votre rôle :

Utilisateur du service : demandez des autorisations à votre administrateur si vous ne pouvez pas accéder aux fonctionnalités (voir Résolution des problèmes d’identité et d’accès Amazon S3)
Administrateur du service : déterminez l’accès des utilisateurs et soumettez les demandes d’autorisation (voir Fonctionnement d’Amazon S3 avec IAM)
Administrateur IAM : rédigez des politiques pour gérer l’accès (voir Politiques basées sur l’identité pour Amazon S3)

Authentification par des identités

L’authentification correspond au processus par lequel vous vous connectez à AWS avec vos informations d’identification. Vous devez vous authentifier en tant qu’Utilisateur racine d'un compte AWS, en tant qu’utilisateur IAM ou en endossant un rôle IAM.

Vous pouvez vous connecter en tant qu’identité fédérée en utilisant les informations d’identification provenant d’une source d’identité telle que AWS IAM Identity Center (IAM Identity Center), l’authentification unique ou les informations d’identification Google/Facebook. Pour plus d’informations sur la connexion, consultez Connexion à votre Compte AWS dans le Guide de l’utilisateur Connexion à AWS.

Pour l’accès par programmation, AWS fournit un kit SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez Signature AWS Version 4 pour les demandes d’API dans le Guide de l’utilisateur IAM.

Utilisateur racine Compte AWS

Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion nommée utilisateur racine du Compte AWS, qui bénéficie d’un accès complet à tous les Services AWS et toutes les ressources du compte. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez Tâches qui requièrent les informations d’identification de l’utilisateur racine dans le Guide de l’utilisateur IAM.

Identité fédérée

Nous vous recommandons vivement d’exiger de vos utilisateurs humains qu’ils utilisent une fédération liée à un fournisseur d’identité pour accéder à Services AWS avec des informations d’identification temporaires.

Une identité fédérée est un utilisateur provenant de l’annuaire de votre entreprise, de votre fournisseur d’identité Web ou Directory Service qui y accède à Services AWS l’aide d’informations d’identification provenant d’une source d’identité. Les identités fédérées assument des rôles qui fournissent des informations d’identification temporaires.

Pour une gestion des accès centralisée, nous vous recommandons d’utiliser AWS IAM Identity Center. Pour plus d’informations, consultez Qu’est-ce que IAM Identity Center ? dans le Guide de l’utilisateur AWS IAM Identity Center.

Utilisateurs et groupes IAM

Un utilisateur IAM est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d’informations, consultez Exiger des utilisateurs humains qu’ils utilisent une fédération avec un fournisseur d’identité pour accéder à AWS en utilisant des informations d’identification temporaires dans le Guide de l’utilisateur IAM.

Les groupes IAM spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez la section Cas d’utilisation pour les utilisateurs IAM dans le Guide de l’utilisateur IAM.

Rôles IAM

Un rôle IAM est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Pour endosser un rôle, passez d’un utilisateur à un rôle IAM (console) ou appelez une AWS CLI ou une opération d’API AWS. Pour plus d’informations, consultez Méthodes pour endosser un rôle dans le Guide de l’utilisateur IAM.

Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès entre comptes, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez Accès intercompte aux ressources dans IAM dans le Guide de l’utilisateur IAM.

Gestion des accès à l’aide de politiques

Vous contrôlez les accès dans AWS en créant des politiques et en les attachant à des identités AWS ou à des ressources. Une politique définit les autorisations lorsqu’elles sont associées à une identité ou une ressource. AWS évalue ces politiques lorsqu’un principal effectue une demande. La plupart des politiques sont stockées dans AWS en tant que documents JSON. Pour plus d’informations les documents de politique JSON, consultez Vue d’ensemble des politiques JSON dans le Guide de l’utilisateur IAM.

À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.

Politiques basées sur l’identité

Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez Définition d’autorisations IAM personnalisées avec des politiques gérées par le client dans le Guide de l’utilisateur IAM.

Les politiques basées sur l’identité peuvent être des politiques intégrées (intégrées directement dans une seule identité) ou des politiques gérées (politiques autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez Choix entre les politiques gérées et les politiques en ligne dans le Guide de l’utilisateur IAM.

Politiques basées sur les ressources

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent les politiques de confiance de rôle IAM et les stratégies de compartiment Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez spécifier un principal dans une politique basée sur les ressources.

Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques gérées AWS depuis IAM dans une politique basée sur une ressource.

Autres types de politique

AWS prend en charge des types de politiques supplémentaires qui peuvent définir le nombre maximum d’autorisations qui vous sont accordées par des types de politiques plus courants :

Limites d’autorisations : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.
Politiques de contrôle de service (SCP) : spécifient les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, veuillez consulter Politiques de contrôle de service du Guide de l’utilisateur AWS Organizations.
Politiques de contrôle des ressources (RCP) : définissent les autorisations maximales disponibles pour les ressources de votre organisation. Pour plus d’informations, consultez Politiques de contrôle des ressources (RCP) dans le Guide de l’utilisateur AWS Organizations.
Politiques de session : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez Politiques de session dans le Guide de l’utilisateur IAM.

Plusieurs types de politique

Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour découvrir la façon dont AWS détermine s’il convient d’autoriser une demande en présence de plusieurs types de politiques, consultez Logique d’évaluation de politiques dans le Guide de l’utilisateur IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Contrôle d’accès

Fonctionnement d’Amazon S3 avec IAM