Création d’un utilisateur IAM pour l’accès d’urgence - AWS Identity and Access Management
Pour créer un utilisateur IAM pour l’accès d’urgence

Création d’un utilisateur IAM pour l’accès d’urgence

Un utilisateur IAM est une identité dans votre Compte AWS qui dispose d’autorisations spécifiques pour une seule personne ou application.

Avoir un utilisateur IAM pour un accès d’urgence est l’une des raisons recommandées pour créer un utilisateur IAM afin que vous puissiez accéder à votre compte Compte AWS si votre fournisseur d’identité n’est pas accessible.

Note

Une bonne pratique en matière de sécurité consiste à fournir un accès à vos ressources par le biais de la fédération d’identité plutôt que de créer des utilisateurs IAM. Pour en savoir plus sur les situations spécifiques dans lesquelles un utilisateur IAM est nécessaire, veuillez consulter Quand créer un utilisateur IAM (au lieu d'un rôle).

Pour créer un utilisateur IAM pour l’accès d’urgence

Autorisations minimales

Pour effectuer les étapes suivantes, vous devez au moins disposer des autorisations IAM suivantes :

  • access-analyzer:ValidatePolicy

  • iam:AddUserToGroup

  • iam:AttachGroupPolicy

  • iam:CreateGroup

  • iam:CreateLoginProfile

  • iam:CreateUser

  • iam:GetAccountPasswordPolicy

  • iam:GetLoginProfile

  • iam:GetUser

  • iam:ListAttachedGroupPolicies

  • iam:ListAttachedUserPolicies

  • iam:ListGroupPolicies

  • iam:ListGroups

  • iam:ListGroupsForUser

  • iam:ListPolicies

  • iam:ListUserPolicies

  • iam:ListUsers

Afficher plusAfficher moins
Console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d’accueil de la console IAM, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte Rechercher sur IAM.

  3. Dans le volet de navigation, sélectionnez Utilisateurs, puis Créer un utilisateur.

    Note

    Si IAM Identity Center est activé, AWS Management Console affiche un rappel indiquant qu'il est préférable de gérer l'accès des utilisateurs dans IAM Identity Center. Dans le cadre de cette procédure, l’utilisateur IAM que vous créez est spécifiquement destiné à n’être utilisé que lorsque votre fournisseur d’identité n’est pas disponible.

  4. Sur la page Spécifier les détails de l'utilisateur, sous Détails de l'utilisateur, dans Nom d'utilisateur, entrez le nom du nouvel utilisateur. Il s'agit de son nom de connexion pour AWS. Pour cet exemple, entrez EmergencyAccess.

    Note

    Les noms d’utilisateur peuvent combiner jusqu’à 64 lettres, chiffres et caractères suivants : plus (+), égal (=), virgule (,), point (.), arobase (@), trait de soulignement (_) et tiret (-). Les noms doivent être uniques dans un compte. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux utilisateurs nommés TESTUSER et testuser. Lorsqu'un nom d'utilisateur est utilisé dans une politique ou dans le cadre d'un ARN, il est sensible à la casse. Lorsqu'un nom d'utilisateur apparaît aux clients dans la console, par exemple lors du processus de connexion, il n'est pas sensible à la casse.

  5. Cochez la case située en regard de Fournir un accès utilisateur à l’AWS Management Console – facultatif, puis sélectionnez Je souhaite créer un utilisateur IAM.

  6. Sous Mot de passe de la console, sélectionnez Mot de passe généré automatiquement.

  7. Décochez la case située en regard de l’option L’utilisateur doit générer un nouveau mot de passe à la prochaine connexion (recommandé). Comme cet utilisateur IAM est destiné à un accès d'urgence, un administrateur de confiance conserve le mot de passe et ne le fournit qu'en cas de besoin.

  8. Sur la page Définir les autorisations, sous Options d'autorisations, sélectionnez Ajouter un utilisateur au groupe. Ensuite, sous Groupes d'utilisateurs, sélectionnez Créer un groupe.

  9. Sur la page Créer un groupe d'utilisateurs, saisissez EmergencyAccessGroup dans le champ Nom du groupe d'utilisateurs. Ensuite, sous Politiques d'autorisations, sélectionnez AdministratorAccess.

  10. Choisissez Créer un groupe d’utilisateurs pour revenir à la page Définir les autorisations.

  11. Sous Groupes d'utilisateurs, sélectionnez le nom du groupe EmergencyAccessGroup précédemment créé.

  12. Sélectionnez Suivant pour accéder à la page Vérifier et créer.

  13. Sur la page Vérifier et créer, examinez la liste des appartenances aux groupes à attribuer au nouvel utilisateur. Une fois que vous êtes prêt à continuer, sélectionnez Créer l'utilisateur.

  14. Sur la page Récupérer le mot de passe, sélectionnez Télécharger le fichier .csv pour enregistrer le fichier .csv contenant les informations d’identification de l’utilisateur (URL de connexion, nom d’utilisateur et mot de passe).

  15. Enregistrez ce fichier pour l’utiliser si vous devez vous connecter à IAM et que vous n’avez pas accès à votre fournisseur d’identité.

Le nouvel utilisateur IAM apparaît dans la liste Utilisateurs. Cliquez sur le lien Nom d'utilisateur pour afficher les détails de l'utilisateur.

AWS CLI

  1. Créez un utilisateur nommé EmergencyAccess.

    
aws iam create-user \
   --user-name EmergencyAccess

  2. (Facultatif) Donnez à utilisateur l'accès à l’interface AWS Management Console. Un mot de passe est requis. Pour créer un mot de passe pour un utilisateur IAM, vous pouvez utiliser le paramètre --cli-input-json pour transmettre un fichier JSON contenant le mot de passe. Vous devez également fournir à l’utilisateur l’URL de la page de connexion de votre compte.

    • aws iam create-login-profile

       
aws iam create-login-profile \
   --generate-cli-skeleton > create-login-profile.json

    • Ouvrez le fichier create-login-profile.json dans un éditeur de texte et saisissez un mot de passe conforme à votre politique en matière de mots de passe, puis enregistrez le fichier. Par exemple : 

      
{
 "UserName": "EmergencyAccess",
 "Password": "Ex@3dRA0djs",
 "PasswordResetRequired": false
}

    • Réutilisez la commande aws iam create-login-profile en passant le paramètre --cli-input-json pour spécifier votre fichier JSON.

      
aws iam create-login-profile \
   --cli-input-json file://create-login-profile.json
    Note

    Si le mot de passe que vous avez fourni dans le fichier JSON enfreint la politique de mot de passe de votre compte, vous recevrez une erreur PassworPolicyViolation. Dans ce cas, consultez la politique de mot de passe de votre compte et mettez à jour le mot de passe dans le fichier JSON afin de respecter les exigences.

  3. Créez le EmergencyAccessGroup, associez la politique AdministratorAccess gérée par AWS au groupe et ajoutez l’utilisateur EmergencyAccess au groupe.

    Note

    Une politique gérée par AWS est une politique autonome qui est créée et gérée par AWS. Chaque politique possède son propre Amazon Resource Name (ARN) dans lequel figure le nom de la politique. Par exemple, arn:aws:iam::aws:policy/IAMReadOnlyAccess est une politique gérée par AWS. Pour plus d'informations sur les ARN , consultez ARN IAM. Pour obtenir une liste des politiques gérées par AWS pour Services AWS, consultez Politiques gérées par AWS.

    • aws iam create-group 

      
aws iam create-group \
   --group-name EmergencyAccessGroup

    • aws iam attach-group-policy

      
aws iam attach-group-policy \
   --policy-arn arn:aws:iam::aws:policy/AdministratorAccess \
   --group-name >EmergencyAccessGroup

    • aws iam add-user-to-group 

      
aws iam add-user-to-group \
   --user-name EmergencyAccess \
   --group-name EmergencyAccessGroup

    • Exécutez la commande aws iam get-group afficher la liste de EmergencyAccessGroup et de ses membres.

      
aws iam get-group \
   --group-name EmergencyAccessGroup