Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # Contrôler l’utilisation des clés d’accès en associant une politique en ligne à un utilisateur IAM Nous recommandons, à titre de bonne pratique, que les [charges de travail utilisent des informations d’identification temporaires avec des rôles IAM](best-practices.md#bp-workloads-use-roles) pour accéder à AWS. Les utilisateurs IAM disposant de clés d’accès doivent se voir attribuer un accès de moindre privilège et bénéficier d’une [authentification multifactorielle (MFA)](id_credentials_mfa.md). Pour plus d’informations sur l’endossement des rôles IAM, consultez [Méthodes pour assumer un rôle](id_roles_manage-assume.md). Toutefois, si vous créez un test de validation d’un service d’automatisation ou un autre cas d’utilisation à court terme, et que vous choisissez d’exécuter des charges de travail à l’aide d’un utilisateur IAM disposant de clés d’accès, nous vous recommandons d’[utiliser des conditions de politique pour restreindre davantage l’accès](best-practices.md#use-policy-conditions) aux informations d’identification de cet utilisateur IAM. Dans cette situation, vous pouvez soit créer une politique à durée limitée qui fait expirer les informations d’identification après le délai spécifié, soit, si vous exécutez une charge de travail à partir d’un réseau sécurisé, utiliser une politique de restriction IP. Pour ces deux cas d’utilisation, vous pouvez utiliser une politique en ligne associée à l’utilisateur IAM qui dispose des clés d’accès. **Pour configurer une politique limitée dans le temps pour un utilisateur IAM** 1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le volet de navigation, choisissez **Utilisateurs**, puis sélectionnez l’utilisateur pour le cas d’utilisation à court terme. Si vous n’avez pas encore créé l’utilisateur, vous pouvez [le créer](getting-started-workloads.md) maintenant. 1. Sur la page **Détails** de l’utilisateur, choisissez l’onglet **Autorisations**. 1. Sélectionnez **Ajouter des autorisations**, puis **Créer la politique en ligne**. 1. Dans la section **Éditeur de politiques**, sélectionnez **JSON** pour afficher l’éditeur JSON. 1. Dans l’éditeur JSON, saisissez la politique suivante en remplaçant la valeur de l’horodatage `aws:CurrentTime` par la date et l’heure d’expiration souhaitées : ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2025-03-01T00:12:00Z" } } } ] } ``` ------ Cette politique utilise l’effet `Deny` pour restreindre toutes les actions sur toutes les ressources après la date spécifiée. La condition `DateGreaterThan` compare l’heure actuelle avec l’horodatage que vous avez défini. 1. Sélectionnez **Suivant** pour accéder à la page **Vérifier et créer**. Dans **Détails de la politique**, sous **Nom de la politique**, saisissez un nom pour la politique, puis sélectionnez **Créer une politique**. Une fois la politique créée, elle s’affiche dans l’onglet **Autorisations** de l’utilisateur. Lorsque l'heure actuelle est supérieure ou égale à l'heure spécifiée dans la politique, l'utilisateur n'aura plus accès aux AWS ressources. Veillez à informer les développeurs de charge de travail de la date d’expiration que vous avez spécifiée pour ces clés d’accès. **Pour configurer une politique de restriction IP pour un utilisateur IAM** 1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse. 1. Dans le volet de navigation, sélectionnez **Utilisateurs**, puis sélectionnez l’utilisateur qui exécutera la charge de travail à partir du réseau sécurisé. Si vous n’avez pas encore créé l’utilisateur, vous pouvez [le créer](getting-started-workloads.md) maintenant. 1. Sur la page **Détails** de l’utilisateur, choisissez l’onglet **Autorisations**. 1. Sélectionnez **Ajouter des autorisations**, puis **Créer la politique en ligne**. 1. Dans la section **Éditeur de politiques**, sélectionnez **JSON** pour afficher l’éditeur JSON. 1. Copiez la politique IAM suivante dans l'éditeur JSON et modifiez le public, les IPv6 adresses IPv4 ou les plages selon vos besoins. Vous pouvez utiliser [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/)pour déterminer votre adresse IP publique actuelle. Vous pouvez spécifier des adresses IP individuelles ou des plages d’adresses IP à l’aide de la notation oblique. Pour de plus amples informations, veuillez consulter [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). **Note** Les adresses IP ne doivent pas être masquées par un VPN ou un serveur proxy. ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid":"IpRestrictionIAMPolicyForIAMUser", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" } } } ] } ``` ------ Cet exemple de politique refuse l'utilisation des clés d'accès d'un utilisateur IAM lorsque cette politique est appliquée, sauf si la demande provient des réseaux (spécifiés en notation CIDR) « 203.0.113.0/24 », « 2001 : : 1234:5678 DB8 : :/64 » ou de l'adresse IP spécifique « 203.0.114.1 » 1. Sélectionnez **Suivant** pour accéder à la page **Vérifier et créer**. Dans **Détails de la politique**, sous **Nom de la politique**, saisissez un nom pour la politique, puis sélectionnez **Créer une politique**. Une fois la politique créée, elle s’affiche dans l’onglet **Autorisations** de l’utilisateur. Vous pouvez également appliquer cette politique en tant que politique de contrôle des services (SCP) à plusieurs AWS comptes. Nous vous recommandons d'utiliser une condition supplémentaire, `aws:PrincipalArn` afin que cette déclaration de politique ne s'applique qu'aux utilisateurs IAM des AWS comptes soumis à ce SCP. AWS Organizations La politique suivante inclut cette mise à jour : ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "IpRestrictionServiceControlPolicyForIAMUsers", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" }, "ArnLike": { "aws:PrincipalArn": "arn:aws:iam::*:user/*" } } } ] } ``` ------