Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des clés d’accès pour les utilisateurs IAM
<a name="id_credentials_access-keys"></a>

**Important**  
Les [bonnes pratiques](best-practices.md) consistent à utiliser des informations d'identification de sécurité temporaires (comme des rôles IAM) plutôt que de créer des informations d'identification à long terme comme des clés d'accès. Avant de créer des clés d'accès, passez en revue les [alternatives aux clés d'accès à long terme](security-creds-programmatic-access.md#security-creds-alternatives-to-long-term-access-keys).

Les clés d'accès sont les informations d'identification à long terme d'un utilisateur IAM ou du Utilisateur racine d'un compte AWS. Vous pouvez utiliser les clés d'accès pour signer des demandes programmatiques adressées à l' AWS API AWS CLI or (directement ou à l'aide du AWS SDK). Pour de plus amples informations, veuillez consulter [Accès programmatique avec identifiants AWS de sécurité](security-creds-programmatic-access.md).

Les clés d'accès se composent de deux parties : un ID de clé d'accès (par exemple, `AKIAIOSFODNN7EXAMPLE`) et une clé d'accès secrète (par exemple, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Vous devez utiliser à la fois l'ID de la clé d'accès et la clé d'accès secrète pour authentifier vos demandes.



Lorsque vous créez une paire de clé d'accès, enregistrez l'ID de clé d'accès et la clé d'accès secrète dans un emplacement sécurisé. La clé d’accès secrète ne peut être récupérée qu’au moment de sa création. Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. Pour plus d’informations, consultez [Mise à jour des clés d’accès](id-credentials-access-keys-update.md).

Vous pouvez avoir un maximum de deux clés d'accès par utilisateur.

**Important**  
Les utilisateurs IAM dotés de clés d’accès constituent un risque pour la sécurité des comptes. Gérez vos clés d’accès en toute sécurité. Ne communiquez pas vos clés d’accès à des tiers non autorisés, même pour vous aider à trouver les [identifiants de votre compte](https://docs.aws.amazon.com/general/latest/gr/acct-identifiers.html). Ce faisant, vous pouvez donner à quelqu'un un accès permanent à votre compte.  
Lorsque vous utilisez des clés d’accès, soyez conscient de ce qui suit :  
**N’utilisez PAS** les informations d’identification racine de votre compte pour créer des clés d’accès.
**N’incluez PAS** de clés d’accès ou d’informations d’identification dans vos fichiers d’application. 
**N’incluez PAS** de fichiers contenant des clés d’accès ou des informations d’identification dans votre zone de projet.
Les clés d'accès ou les informations d'identification stockées dans le fichier AWS d'informations d'identification partagé sont stockées en texte brut.

## Recommandations de surveillance
<a name="monitor-access-keys"></a>

Après avoir créé les clés d’accès :
+  AWS CloudTrail À utiliser pour surveiller l'utilisation des clés d'accès et détecter toute tentative d'accès non autorisée. Pour de plus amples informations, veuillez consulter [Journalisation des appels IAM et AWS STS API avec AWS CloudTrail](cloudtrail-integration.md).
+ Configurez des CloudWatch alarmes pour avertir les administrateurs en cas de tentative de refus d'accès afin de détecter les activités malveillantes. Pour plus d'informations, consultez le [guide de CloudWatch l'utilisateur Amazon](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/).
+ Vérifiez, mettez à jour et supprimez régulièrement les clés d’accès selon les besoins.

Les rubriques suivantes détaillent les tâches de gestion associées aux clés d'accès.

**Topics**
+ [Recommandations de surveillance](#monitor-access-keys)
+ [Contrôler l’utilisation des clés d’accès en associant une politique en ligne à un utilisateur IAM](access-keys_inline-policy.md)
+ [Autorisations requises pour gérer les clés d'accès](access-keys_required-permissions.md)
+ [Gestion par les utilisateurs IAM de leurs propres clés d’accès](access-key-self-managed.md)
+ [Gestion des clés d’accès d’un utilisateur IAM par un administrateur IAM](access-keys-admin-managed.md)
+ [Mise à jour des clés d’accès](id-credentials-access-keys-update.md)
+ [Sécurisation des clés d’accès](securing_access-keys.md)

# Contrôler l’utilisation des clés d’accès en associant une politique en ligne à un utilisateur IAM
<a name="access-keys_inline-policy"></a>

Nous recommandons, à titre de bonne pratique, que les [charges de travail utilisent des informations d’identification temporaires avec des rôles IAM](best-practices.md#bp-workloads-use-roles) pour accéder à AWS. Les utilisateurs IAM disposant de clés d’accès doivent se voir attribuer un accès de moindre privilège et bénéficier d’une [authentification multifactorielle (MFA)](id_credentials_mfa.md). Pour plus d’informations sur l’endossement des rôles IAM, consultez [Méthodes pour assumer un rôle](id_roles_manage-assume.md).

Toutefois, si vous créez un test de validation d’un service d’automatisation ou un autre cas d’utilisation à court terme, et que vous choisissez d’exécuter des charges de travail à l’aide d’un utilisateur IAM disposant de clés d’accès, nous vous recommandons d’[utiliser des conditions de politique pour restreindre davantage l’accès](best-practices.md#use-policy-conditions) aux informations d’identification de cet utilisateur IAM.

Dans cette situation, vous pouvez soit créer une politique à durée limitée qui fait expirer les informations d’identification après le délai spécifié, soit, si vous exécutez une charge de travail à partir d’un réseau sécurisé, utiliser une politique de restriction IP.

Pour ces deux cas d’utilisation, vous pouvez utiliser une politique en ligne associée à l’utilisateur IAM qui dispose des clés d’accès.

**Pour configurer une politique limitée dans le temps pour un utilisateur IAM**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le volet de navigation, choisissez **Utilisateurs**, puis sélectionnez l’utilisateur pour le cas d’utilisation à court terme. Si vous n’avez pas encore créé l’utilisateur, vous pouvez [le créer](getting-started-workloads.md) maintenant.

1. Sur la page **Détails** de l’utilisateur, choisissez l’onglet **Autorisations**.

1. Sélectionnez **Ajouter des autorisations**, puis **Créer la politique en ligne**.

1. Dans la section **Éditeur de politiques**, sélectionnez **JSON** pour afficher l’éditeur JSON.

1. Dans l’éditeur JSON, saisissez la politique suivante en remplaçant la valeur de l’horodatage `aws:CurrentTime` par la date et l’heure d’expiration souhaitées :

------
#### [ JSON ]

****  

   ```
   {
   "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
         "DateGreaterThan": {
         "aws:CurrentTime": "2025-03-01T00:12:00Z"
           }
         }
       }
     ]
   }
   ```

------

   Cette politique utilise l’effet `Deny` pour restreindre toutes les actions sur toutes les ressources après la date spécifiée. La condition `DateGreaterThan` compare l’heure actuelle avec l’horodatage que vous avez défini.

1. Sélectionnez **Suivant** pour accéder à la page **Vérifier et créer**. Dans **Détails de la politique**, sous **Nom de la politique**, saisissez un nom pour la politique, puis sélectionnez **Créer une politique**.

Une fois la politique créée, elle s’affiche dans l’onglet **Autorisations** de l’utilisateur. Lorsque l'heure actuelle est supérieure ou égale à l'heure spécifiée dans la politique, l'utilisateur n'aura plus accès aux AWS ressources. Veillez à informer les développeurs de charge de travail de la date d’expiration que vous avez spécifiée pour ces clés d’accès. 

**Pour configurer une politique de restriction IP pour un utilisateur IAM**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le volet de navigation, sélectionnez **Utilisateurs**, puis sélectionnez l’utilisateur qui exécutera la charge de travail à partir du réseau sécurisé. Si vous n’avez pas encore créé l’utilisateur, vous pouvez [le créer](getting-started-workloads.md) maintenant.

1. Sur la page **Détails** de l’utilisateur, choisissez l’onglet **Autorisations**.

1. Sélectionnez **Ajouter des autorisations**, puis **Créer la politique en ligne**.

1. Dans la section **Éditeur de politiques**, sélectionnez **JSON** pour afficher l’éditeur JSON.

1. Copiez la politique IAM suivante dans l'éditeur JSON et modifiez le public, les IPv6 adresses IPv4 ou les plages selon vos besoins. Vous pouvez utiliser [https://checkip.amazonaws.com/](https://checkip.amazonaws.com/)pour déterminer votre adresse IP publique actuelle. Vous pouvez spécifier des adresses IP individuelles ou des plages d’adresses IP à l’aide de la notation oblique. Pour de plus amples informations, veuillez consulter [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip). 
**Note**  
Les adresses IP ne doivent pas être masquées par un VPN ou un serveur proxy.

------
#### [ JSON ]

****  

   ```
   {
     "Version":"2012-10-17",		 	 	 
     "Statement": [
       {
         "Sid":"IpRestrictionIAMPolicyForIAMUser",
         "Effect": "Deny",
         "Action": "*",
         "Resource": "*",
         "Condition": {
           "NotIpAddress": {
             "aws:SourceIp": [
               "203.0.113.0/24",
               "2001:DB8:1234:5678::/64",
               "203.0.114.1"
             ]
           },
           "BoolIfExists": {
             "aws:ViaAWSService": "false"
           }
         }
       }
     ]
   }
   ```

------

   Cet exemple de politique refuse l'utilisation des clés d'accès d'un utilisateur IAM lorsque cette politique est appliquée, sauf si la demande provient des réseaux (spécifiés en notation CIDR) « 203.0.113.0/24 », « 2001 : : 1234:5678 DB8 : :/64 » ou de l'adresse IP spécifique « 203.0.114.1 » 

1. Sélectionnez **Suivant** pour accéder à la page **Vérifier et créer**. Dans **Détails de la politique**, sous **Nom de la politique**, saisissez un nom pour la politique, puis sélectionnez **Créer une politique**.

Une fois la politique créée, elle s’affiche dans l’onglet **Autorisations** de l’utilisateur. 

Vous pouvez également appliquer cette politique en tant que politique de contrôle des services (SCP) à plusieurs AWS comptes. Nous vous recommandons d'utiliser une condition supplémentaire, `aws:PrincipalArn` afin que cette déclaration de politique ne s'applique qu'aux utilisateurs IAM des AWS comptes soumis à ce SCP. AWS Organizations La politique suivante inclut cette mise à jour :

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "IpRestrictionServiceControlPolicyForIAMUsers",
      "Effect": "Deny",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "NotIpAddress": {
          "aws:SourceIp": [
            "203.0.113.0/24",
            "2001:DB8:1234:5678::/64",
            "203.0.114.1"
          ]
        },
        "BoolIfExists": {
          "aws:ViaAWSService": "false"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam::*:user/*"
        }
      }
    }
  ]
}
```

------

# Autorisations requises pour gérer les clés d'accès
<a name="access-keys_required-permissions"></a>

**Note**  
`iam:TagUser` est une autorisation facultative permettant d'ajouter et de modifier des descriptions pour la clé d'accès. Pour de plus amples informations, consultez [Balisage des utilisateurs IAM](id_tags_users.md).

Pour créer des clés d'accès pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

Pour mettre à jour des clés d'accès pour votre propre utilisateur IAM, vous devez disposer des autorisations de la politique suivante :

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "ManageOwnAccessKeys",
            "Effect": "Allow",
            "Action": [
                "iam:CreateAccessKey",
                "iam:DeleteAccessKey",
                "iam:GetAccessKeyLastUsed",
                "iam:GetUser",
                "iam:ListAccessKeys",
                "iam:UpdateAccessKey",
                "iam:TagUser"
            ],
            "Resource": "arn:aws:iam::*:user/${aws:username}"
        }
    ]
}
```

------

# Gestion par les utilisateurs IAM de leurs propres clés d’accès
<a name="access-key-self-managed"></a>

Les administrateurs IAM peuvent accorder aux utilisateurs IAM l’autorisation de gérer eux-mêmes leurs clés d’accès en attachant la politique décrite dans [Autorisations requises pour gérer les clés d'accès](access-keys_required-permissions.md).

Avec ces autorisations, l’utilisateur IAM peut utiliser les procédures suivantes pour créer, activer, désactiver et supprimer les clés d’accès associées à son nom d’utilisateur.

**Topics**
+ [Création d’une clé d’accès pour vous-même (console)](#Using_CreateAccessKey)
+ [Désactivation de votre clé d’accès (console)](#deactivate-access-key-seccreds)
+ [Activation de votre clé d’accès (console)](#activate-access-key-seccreds)
+ [Suppression de votre clé d’accès (console)](#delete-access-key-seccreds)

## Création d’une clé d’accès pour vous-même (console)
<a name="Using_CreateAccessKey"></a>

Si les autorisations appropriées vous ont été accordées, vous pouvez les utiliser AWS Management Console pour créer des clés d'accès pour vous-même.

**Pour créer vos propres clés d’accès (console)**

1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**  
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.

   Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.

1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).   
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Dans la section **Clés d’accès**, choisissez **Créer une clé d’accès**. Si vous avez déjà deux clés d'accès, ce bouton est désactivé et vous devez supprimer une clé d'accès avant de pouvoir en créer une nouvelle.

1. Sur la page des **bonnes pratiques et alternatives en matière de clés d'accès**, choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez **Other** (Autre), puis **Next** (Suivant).

1. (Facultatif) Définissez une valeur de balise de description pour la clé d'accès. Cela permet d'ajouter une paire clé-valeur de balise à votre utilisateur IAM. Cela peut vous aider à identifier et à mettre à jour les clés d'accès par la suite. La clé de balise est définie sur l'identifiant de la clé d'accès. La valeur de balise est définie selon la description de la clé d'accès que vous spécifiez. Lorsque vous avez terminé, sélectionnez **Create access key** (Créer la clé d'accès).

1. Sur la page **Retrieve access keys** (Récupérer les clés d'accès), choisissez **Show** (Afficher) (pour révéler la valeur de la clé d'accès secrète de votre utilisateur) ou **Download .csv file** (Télécharger le fichier .csv). C'est le seul moment où vous pouvez enregistrer votre clé d'accès secrète. Après avoir enregistré votre clé d'accès secrète dans un emplacement sécurisé, sélectionnez **Done** (Terminé).

## Désactivation de votre clé d’accès (console)
<a name="deactivate-access-key-seccreds"></a>

Si les autorisations appropriées vous ont été accordées, vous pouvez les utiliser AWS Management Console pour désactiver votre clé d'accès.

**Pour désactiver une clé d'accès**

1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**  
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.

   Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.

1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).   
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Dans la section **Access keys** (Clés d'accès), recherchez la clé que vous souhaitez désactiver, puis choisissez **Actions**, puis **Deactivate** (Désactiver). À l'invite de confirmation, cliquez sur **Deactivate** (Désactiver). Une clé d'accès désactivée compte toujours dans votre limite de deux clés d'accès.

## Activation de votre clé d’accès (console)
<a name="activate-access-key-seccreds"></a>

Si vous avez obtenu les autorisations appropriées, vous pouvez utiliser le AWS Management Console pour activer votre clé d'accès.

**Pour activer une clé d'accès**

1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**  
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.

   Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.

1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).   
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Dans la section **Access keys** (Clés d'accès), recherchez la clé que vous souhaitez activer, puis choisissez **Actions**, puis **Activate** (Activer).

## Suppression de votre clé d’accès (console)
<a name="delete-access-key-seccreds"></a>

Si les autorisations appropriées vous ont été accordées, vous pouvez les utiliser AWS Management Console pour supprimer votre clé d'accès.

**Pour supprimer une clé d'accès dont vous n'avez plus besoin**

1. Utilisez votre AWS identifiant ou alias de compte, votre nom d'utilisateur IAM et votre mot de passe pour vous connecter à la console [IAM](https://console.aws.amazon.com/iam).
**Note**  
Pour votre commodité, la page de AWS connexion utilise un cookie de navigateur pour mémoriser votre nom d'utilisateur IAM et les informations de votre compte. Si vous vous êtes déjà connecté en tant qu'utilisateur différent, sélectionnez **Sign in to a different account** (Se connecter à un compte différent) en bas de la page pour revenir à la page de connexion principale. À partir de là, vous pouvez saisir votre identifiant de AWS compte ou votre alias de compte pour être redirigé vers la page de connexion utilisateur IAM de votre compte.

   Pour obtenir votre Compte AWS identifiant, contactez votre administrateur.

1. Dans la barre de navigation, en haut à droite, choisissez votre nom d'utilisateur, puis **Security credentials** (Informations d'identification de sécurité).   
![\[AWS Lien vers les identifiants de sécurité de la console de gestion\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/security-credentials-user.shared.console.png)

1. Dans la section **Access keys** (Clés d'accès), recherchez la clé que vous souhaitez suprimer, puis choisissez **Actions**, puis **Delete** (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord **désactiver**, puis confirmer la suppression. Nous vous recommandons de vérifier que la clé d'accès n'est plus utilisée avant de la supprimer définitivement.

# Gestion des clés d’accès d’un utilisateur IAM par un administrateur IAM
<a name="access-keys-admin-managed"></a>

Les administrateurs IAM peuvent créer, activer, désactiver et supprimer les clés d’accès associées à des utilisateurs IAM individuels. Ils peuvent également répertorier les utilisateurs IAM du compte qui possèdent des clés d’accès et localiser quel utilisateur IAM possède une clé d’accès spécifique.

**Topics**
+ [Pour créer une clé d’accès pour un utilisateur IAM](#admin-create-access-key)
+ [Pour désactiver une clé d’accès pour un utilisateur IAM](#admin-deactivate-access-key)
+ [Pour activer une clé d’accès pour un utilisateur IAM](#admin-activate-access-key)
+ [Pour supprimer une clé d’accès d’un utilisateur IAM](#admin-delete-access-key)
+ [Pour lister les clés d’accès d’un utilisateur IAM](#admin-list-access-key)
+ [Pour afficher toutes les clés d'accès IDs des utilisateurs de votre compte](#admin-list-all-access-keys)
+ [Pour rechercher un utilisateur à l’aide d’un ID de clé d’accès](#admin-find-user-access-keys)
+ [Pour recherche l’utilisation la plus récente d’un ID de clé d’accès](#admin-find-most-recent-use-access-keys)

## Pour créer une clé d’accès pour un utilisateur IAM
<a name="admin-create-access-key"></a>

------
#### [ Console ]

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.

1. Dans l’onglet **Informations** d’identification, dans la section **Clés d’accès**, sélectionnez **Créer une clé d’accès**.

   Si le bouton est désactivé, vous devez supprimer l'une des clés existantes avant de pouvoir en créer une nouvelle.

1. Sur la page **Bonnes pratiques et alternatives en matière de clés d'accès**, passez en revue les bonnes pratiques et alternatives. Choisissez votre cas d'utilisation pour découvrir les options supplémentaires qui peuvent vous aider à éviter de créer une clé d'accès à long terme.

1. Si vous déterminez que votre cas d'utilisation nécessite toujours une clé d'accès, choisissez **Other** (Autre), puis **Next** (Suivant).

1. **(Facultatif)** Sur la page **Définir une balise de description**, vous pouvez ajouter une balise de description à la clé d’accès pour faciliter le suivi de votre clé d’accès. Sélectionnez **Créer une clé d’accès**.

1. Sur la page **Retrieve access key page** (Récupérer les clés d'accès), choisissez **Show** (Afficher) pour révéler la valeur de la clé d'accès secrète de votre utilisateur.

1. Pour enregistrer l'ID de clé d'accès et la clé d'accès secrète dans un fichier `.csv`, dans un emplacement sécurisé sur votre ordinateur, sélectionnez le bouton **Download .csv file** (Télécharger un fichier .csv).
**Important**  
Ce sera votre seule occasion de consulter ou télécharger la clé d’accès nouvellement créée et vous ne pourrez pas la récupérer. Assurez-vous de conserver votre clé d’accès en sécurité.

Lorsque vous créez une clé d'accès pour votre utilisateur, cette paire de clés est activée par défaut et votre utilisateur peut immédiatement l'utiliser.

------
#### [ AWS CLI ]

Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

------
#### [ API ]

Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html) 

------

## Pour désactiver une clé d’accès pour un utilisateur IAM
<a name="admin-deactivate-access-key"></a>

------
#### [ Console ]

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.

1. Dans l’onglet **Informations d’identification de sécurité**, dans la section **Clés d’accès**, choisissez le menu déroulant **Actions**, puis sélectionnez **Désactiver**.

1. Dans la boîte de dialogue **Désactiver**, confirmez que vous souhaitez désactiver la clé d’accès en sélectionnant **Désactiver**

Une fois qu’une clé d’accès est désactivée, elle ne peut plus être utilisée par les appels d’API. Vous pouvez la réactiver si nécessaire.

------
#### [ AWS CLI ]

Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Pour activer une clé d’accès pour un utilisateur IAM
<a name="admin-activate-access-key"></a>

------
#### [ Console ]

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.

1. Dans l’onglet **Informations d’identification de sécurité**, dans la section **Clés d’accès**, choisissez le menu déroulant **Actions**, puis sélectionnez **Activer**.

Une fois qu’une clé d’accès est activée, elle peut être utilisée par les appels d’API. Vous pouvez la désactiver à nouveau si nécessaire.

------
#### [ AWS CLI ]

Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

------
#### [ API ]

Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html) 

------

## Pour supprimer une clé d’accès d’un utilisateur IAM
<a name="admin-delete-access-key"></a>

Une fois qu’une clé d’accès a été désactivée, supprimez-la si elle n’est plus nécessaire.

------
#### [ Console ]

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.

1. Dans l’onglet **Informations d’identification de sécurité**, dans la section **Clés d’accès**, choisissez le menu déroulant **Actions** pour la clé d’accès inactive, puis sélectionnez **Supprimer**.

1. Dans la boîte de dialogue **Supprimer**, confirmez que vous souhaitez supprimer la clé d’accès en saisissant son ID dans le champ de saisie de texte, puis en sélectionnant **Supprimer**.

Une fois que la clé d’accès est supprimée, elle ne peut pas être récupérée.

------
#### [ AWS CLI ]

Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

------
#### [ API ]

Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html) 

------

## Pour lister les clés d’accès d’un utilisateur IAM
<a name="admin-list-access-key"></a>

Vous pouvez consulter la liste des clés d'accès IDs associées à un utilisateur IAM. 

------
#### [ Console ]

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.

1. Dans l'onglet **Informations d'identification de sécurité**, la section **Clés** d'accès répertorie la clé IDs d'accès de l'utilisateur, y compris le statut de chaque clé affichée.
**Note**  
Seul l'ID de clé d'accès de l'utilisateur est visible. La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.

Chaque utilisateur IAM peut avoir deux clés d’accès.

------
#### [ AWS CLI ]

Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-access-keys.html)

------
#### [ API ]

Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) 

------

## Pour afficher toutes les clés d'accès IDs des utilisateurs de votre compte
<a name="admin-list-all-access-keys"></a>

Vous pouvez consulter la liste des clés d'accès IDs pour les utilisateurs de votre Compte AWS. 

------
#### [ Console ]

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.

1. Au besoin, ajoutez la colonne **ID de clé d'accès** à la table des utilisateurs en procédant comme suit :

   1. Au-dessus de la table à l’extrême droite, choisissez l’icône des **Préférences** (![\[Preferences icon\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Dans la boîte de dialogue **Préférences**, sous **Sélectionner les colonnes visibles**, activez l’**ID de clé d’accès**.

   1. Choisissez **Confirmer** pour revenir à la liste des utilisateurs. La liste est mise à jour pour inclure l’ID de clé d’accès.

1. La colonne **ID de clé d’accès** indique l’état de chaque clé d’accès, suivi de son ID ; par exemple, **`Active - AKIAIOSFODNN7EXAMPLE`** ou **`Inactive - AKIAI44QH8DHBEXAMPLE`**. 

   Vous pouvez utiliser ces informations pour afficher et copier les clés d'accès IDs des utilisateurs possédant une ou deux clés d'accès. La colonne affiche **`-`** pour les utilisateurs ne disposant pas d’une clé d’accès.
**Note**  
La clé d'accès secrète peut être récupérée uniquement au moment de la création de la clé.

Chaque utilisateur IAM peut avoir deux clés d’accès.

------

## Pour rechercher un utilisateur à l’aide d’un ID de clé d’accès
<a name="admin-find-user-access-keys"></a>

Vous pouvez utiliser un ID de clé d’accès pour rechercher un utilisateur dans votre Compte AWS. 

------
#### [ Console ]

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le volet de navigation, dans la zone de recherche, saisissez l’**ID de clé d’accès**, par exemple AKIAI44QH8DHBEXAMPLE. 

1. L’utilisateur IAM auquel l’ID de clé d’accès est associé apparaît dans le volet de navigation. Choisissez le nom d’utilisateur pour accéder à la page des détails de l’utilisateur.

------

## Pour recherche l’utilisation la plus récente d’un ID de clé d’accès
<a name="admin-find-most-recent-use-access-keys"></a>

L’utilisation la plus récente d’une clé d’accès est affichée dans la liste des utilisateurs sur la page des utilisateurs IAM, sur la page détaillée de l’utilisateur, et fait partie du rapport d’informations d’identification. 

------
#### [ Console ]

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans la liste des utilisateurs, consultez la colonne **Dernière utilisation de clé d’accès**.

   Si la colonne n’est pas affichée, cliquez sur l’icône **Préférences** (![\[Preferences icon\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-settings-icon.console.png)) et sous **Sélectionner les colonnes visibles**, activez **Dernière utilisation de clé d’accès** pour afficher la colonne.

1. (facultatif) Dans le volet de navigation, sous **Rapports d’accès**, sélectionnez **Rapport d’informations d’identification** pour télécharger un rapport qui inclut les informations relatives aux dernières utilisations de clé d’accès pour tous les utilisateurs IAM de votre compte.

1. (facultatif) Sélectionnez l’utilisateur IAM pour afficher les détails de l’utilisateur. La section **Résumé** inclut la clé d'accès IDs, leur statut et la date de leur dernière utilisation.

------
#### [ AWS CLI ]

Exécutez la commande suivante :
+ [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

------
#### [ API ]

Appelez l’opération suivante :
+ [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html) 

------

# Mise à jour des clés d’accès
<a name="id-credentials-access-keys-update"></a>

Comme [bonne pratique](best-practices.md#update-access-keys) en matière de sécurité, nous vous recommandons de mettre à jour les clés d'accès de l'utilisateur IAM en cas de besoin, par exemple lorsqu'un employé quitte votre entreprise. Les utilisateurs IAM peuvent mettre à jour leurs propres clés d'accès s'ils ont obtenu les autorisations nécessaires.

Pour plus d'informations concernant l'octroi aux utilisateurs IAM d'autorisations de mise à jour de leurs propres clés d'accès, veuillez consulter [AWS : autorise les utilisateurs IAM à gérer leurs propres mot de passe, clés d’accès et clés publiques SSH sur la page Informations d’identification de sécurité](reference_policies_examples_aws_my-sec-creds-self-manage-pass-accesskeys-ssh.md). Vous pouvez également appliquer une politique de mots de passe à votre compte pour exiger que tous vos utilisateurs IAM mettent périodiquement à jour leurs mots de passe et la fréquence à laquelle ils doivent le faire. Pour de plus amples informations, veuillez consulter [Définition d’une politique de mot de passe du compte pour les utilisateurs IAM](id_credentials_passwords_account-policy.md). 

**Note**  
Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. La clé d’accès secrète ne peut être récupérée qu’au moment de sa création. Utilisez cette procédure pour désactiver puis remplacer les clés d’accès perdues par de nouvelles informations d’identification.

**Topics**
+ [Mise à jour des clés d'accès pour un utilisateur IAM (console)](#rotating_access_keys_console)
+ [Mise à jour des clés d'accès (AWS CLI)](#rotating_access_keys_cli)
+ [Mise à jour des clés d'accès (AWS API)](#rotating_access_keys_api)

## Mise à jour des clés d'accès pour un utilisateur IAM (console)
<a name="rotating_access_keys_console"></a>

Vous pouvez mettre à jour les clés d'accès à partir de l' AWS Management Console.

**Pour mettre à jour les clés d'accès pour un utilisateur IAM sans interrompre vos applications (console)**

1. Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès.

   1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

   1. Dans le panneau de navigation, choisissez **utilisateurs**.

   1. Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet **Informations d'identification de sécurité**.

   1. Dans la section **Clés d'accès**, choisissez **Créer une clé d'accès**. Sur la page des **bonnes pratiques et alternatives en matière de clés d'accès**, choisissez **Other** (Autre), puis **Next** (Suivant).

   1. (Facultatif) Définissez une valeur de balise de description pour la clé d'accès afin d'ajouter une paire clé-valeur de balise à cet utilisateur IAM. Cela peut vous aider à identifier et à mettre à jour les clés d'accès par la suite. La clé de balise est définie sur l'identifiant de la clé d'accès. La valeur de balise est définie selon la description de la clé d'accès que vous spécifiez. Lorsque vous avez terminé, sélectionnez **Create access key** (Créer la clé d'accès).

   1. Sur la page **Retrieve access keys** (Récupérer les clés d'accès), choisissez **Show** (Afficher) (pour révéler la valeur de la clé d'accès secrète de votre utilisateur) ou **Download .csv file** (Télécharger le fichier .csv). C'est le seul moment où vous pouvez enregistrer votre clé d'accès secrète. Après avoir enregistré votre clé d'accès secrète dans un emplacement sécurisé, sélectionnez **Done** (Terminé).

      Lorsque vous créez une clé d'accès pour votre utilisateur, cette paire de clés est activée par défaut et votre utilisateur peut immédiatement l'utiliser. À ce stade, l'utilisateur dispose de deux clés d'accès actives.

1. Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.

1. <a name="id_credentials_access-keys-key-still-in-use"></a>Déterminez si la première clé d'accès est toujours utilisée en consultant les informations **Dernière utilisation** de la clé d'accès la plus ancienne. Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.

1. Même si la valeur des informations **Dernière utilisation** indique que l'ancienne clé n'a jamais été utilisée, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. À la place, sélectionnez **Actions**, puis **Deactivate** (Désactiver) pour désactiver la première clé d'accès.

1. Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. Toutes les applications et tous les outils qui utilisent encore la clé d'accès d'origine cesseront de fonctionner à ce stade car ils n'ont plus accès aux AWS ressources. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez réactiver la première clé d'accès. Revenez ensuite à [Step 3](#id_credentials_access-keys-key-still-in-use) et mettez à jour cette application afin d'utiliser la nouvelle clé.

1. Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès:

   1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

   1. Dans le panneau de navigation, choisissez **utilisateurs**.

   1. Choisissez le nom utilisateur concerné, puis sélectionnez l'onglet **Informations d'identification de sécurité**.

   1. Dans la section **Access keys** (Clés d'accès) correspondant à la clé d'accès que vous souhaitez supprimer, choisissez **Actions**, puis **Delete** (Supprimer). Suivez les instructions de la boîte de dialogue pour tout d'abord **désactiver**, puis confirmer la suppression.

**Pour déterminer quelles clés d'accès doivent être mises à jour ou supprimées (console)**

1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)l'adresse.

1. Dans le panneau de navigation, choisissez **utilisateurs**.

1. Au besoin, ajoutez la colonne **Access key age (Âge de la clé d'accès)** à la table des utilisateurs en procédant comme suit :

   1. Au-dessus de la table à l'extrême droite, choisissez l'icône des paramètres (![\[Settings icon\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/images/console-settings-icon.console.png)).

   1. Dans **Manage columns (Gérer les colonnes)**, sélectionnez **Access key age (Âge de la clé d'accès)**.

   1. Choisissez **Fermer** pour revenir à la liste des utilisateurs.

1. La colonne **Access key age (Âge de la clé d'accès)** affiche le nombre de jours écoulés depuis la création de la clé d'accès active la plus ancienne. Vous pouvez utiliser ces informations pour trouver les utilisateurs dont les clés d'accès doivent être mises à jour ou supprimées. La colonne affiche **Aucun** pour les utilisateurs sans clé d'accès.

## Mise à jour des clés d'accès (AWS CLI)
<a name="rotating_access_keys_cli"></a>

Vous pouvez mettre à jour les clés d'accès à partir de l' AWS Command Line Interface.

**Pour mettre à jour les clés d'accès sans interrompre vos applications (AWS CLI)**

1. Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès qui est active par défaut. Exécutez la commande suivante :
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-access-key.html)

     À ce stade, l'utilisateur dispose de deux clés d'accès actives.

1. <a name="step-update-apps"></a>Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.

1. <a name="step-determine-use"></a>Déterminez si la première clé d'accès est toujours utilisée à l'aide de cette commande :
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)

   Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.

1. Même si l'étape [Step 3](#step-determine-use) n'indique aucune utilisation de l'ancienne clé, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. Définissez plutôt l'état de la première clé d'accès sur `Inactive` à l'aide de cette commande :
   +  [https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-access-key.html)

1. Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. Toutes les applications et tous les outils qui utilisent encore la clé d'accès d'origine cesseront de fonctionner à ce stade car ils n'ont plus accès aux AWS ressources. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez définir à nouveau son état sur `Active` pour réactiver la première clé d'accès. Revenez ensuite à l'étape [Step 2](#step-update-apps) et mettez à jour cette application afin d'utiliser la nouvelle clé.

1. Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès à l'aide de cette commande :
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-access-key.html)

## Mise à jour des clés d'accès (AWS API)
<a name="rotating_access_keys_api"></a>

Vous pouvez mettre à jour les clés d'accès à l'aide de l' AWS API.

**Pour mettre à jour les clés d'accès sans interrompre vos applications (AWS API)**

1. Pendant que la première clé d'accès est encore active, créez une seconde clé d'accès qui est active par défaut. Appelez l’opération suivante :
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateAccessKey.html)

     À ce stade, l'utilisateur dispose de deux clés d'accès actives.

1. <a name="step-update-apps-2"></a>Mettez à jour toutes les applications et tous les outils pour utiliser la nouvelle clé d'accès.

1. <a name="step-determine-use-2"></a>Déterminez si la première clé d'accès est toujours utilisée en appelant cette opération :
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)

   Une des approches possibles consiste à attendre plusieurs jours, puis à vérifier si l'ancienne clé d'accès a été utilisée avant de poursuivre.

1. Même si l'étape [Step 3](#step-determine-use-2) n'indique aucune utilisation de l'ancienne clé, nous vous recommandons de ne pas supprimer immédiatement la première clé d'accès. Définissez plutôt l'état de la première clé d'accès sur `Inactive` en appelant cette opération :
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateAccessKey.html)

1. Utilisez uniquement la nouvelle clé d'accès pour confirmer que vos applications fonctionnent. Toutes les applications et tous les outils qui utilisent encore la clé d'accès d'origine cesseront de fonctionner à ce stade car ils n'ont plus accès aux AWS ressources. Si vous rencontrez l'une de ces applications ou l'un de ces outils, vous pouvez définir à nouveau son état sur `Active` pour réactiver la première clé d'accès. Revenez ensuite à l'étape [Step 2](#step-update-apps-2) et mettez à jour cette application afin d'utiliser la nouvelle clé.

1. Après avoir attendu un certain temps pour vous assurer que toutes les applications et tous les outils ont été mis à jour, vus pouvez supprimer la première clé d'accès en appelant cette opération :
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteAccessKey.html)

# Sécurisation des clés d’accès
<a name="securing_access-keys"></a>

Toute personne disposant de vos clés d'accès a le même niveau d'accès à vos AWS ressources que vous. Par conséquent, AWS elle met tout en œuvre pour protéger vos clés d'accès et, conformément à notre [modèle de responsabilité partagée](https://aws.amazon.com/compliance/shared-responsibility-model/), vous devriez faire de même. 

Développez les sections suivantes pour obtenir des conseils qui vous aideront à protéger vos clés d'accès. 

**Note**  
Votre organisation peut avoir des exigences de sécurité et des stratégies différentes de celles décrites dans cette rubrique. Les suggestions fournies ici doivent être considérées comme des directives générales. 

## Supprimer (ou ne pas générer) les clés Utilisateur racine d'un compte AWS d'accès
<a name="root-password"></a>

**Le meilleur moyen de protéger votre compte est de n'avoir aucune clé d'accès pour votre Utilisateur racine d'un compte AWS.** À moins d'avoir impérativement besoin des clés d'accès de l'utilisateur root (ce qui est rare), il est préférable de ne pas les générer. Créez plutôt un utilisateur administratif pour les tâches administratives quotidiennes. AWS IAM Identity Center Pour plus d'informations sur la création d'un utilisateur administratif dans IAM Identity Center, voir [Getting started](https://docs.aws.amazon.com//singlesignon/latest/userguide/getting-started.html) dans le guide de l'utilisateur d'*IAM Identity* Center.

Si vous disposez déjà de clés d'accès d'utilisateur root pour votre compte, nous vous recommandons ce qui suit : recherchez dans vos applications les endroits où vous utilisez actuellement des clés d'accès (le cas échéant) et remplacez les clés d'accès de l'utilisateur root par celles de l'utilisateur IAM. Ensuite, désactivez et supprimez les clés d'accès de l'utilisateur root. Pour plus d'informations sur les modalités de mise à jour des clés d'accès, veuillez consulter [Mise à jour des clés d’accès](id-credentials-access-keys-update.md).



## Utiliser les informations d'identification de sécurité temporaires (rôles IAM) au lieu des clés d'accès à long terme
<a name="use-roles"></a>

Dans de nombreux cas, vous n'avez pas besoin d'une clé d'accès à long terme qui n'expire jamais (comme dans le cas d'un utilisateur IAM). Au lieu de cela, vous pouvez créer des rôles IAM et générer des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires consistent en un ID de clé d'accès et une clé d'accès secrète, mais elles comprennent également un jeton de sécurité qui indique la date d'expiration des informations d'identification. 

Les clés d'accès à long terme, telles que celles associées aux utilisateurs IAM et à l'utilisateur root, demeurent valides jusqu'à ce que vous les révoquiez manuellement. Toutefois, les informations d'identification de sécurité temporaires obtenues via les rôles IAM et d'autres fonctionnalités de l'IAM AWS Security Token Service expirent après un court laps de temps. Utilisez les informations d'identification de sécurité temporaires pour vous aider à réduire les risques en cas de compromission accidentelle des informations d'identification.

Utilisez un rôle IAM et les informations d'identification de sécurité temporaires dans les cas suivants :
+ **Vous avez une application ou AWS CLI des scripts exécutés sur une instance Amazon EC2.** N'utilisez pas les clés d'accès directement dans votre application. Ne transmettez pas les clés d'accès à l'application, ne les intégrez pas à l'application et ne laissez pas l'application les lire depuis n'importe quelle source. Définissez plutôt un rôle IAM qui dispose des autorisations adéquates pour votre application et lancez l'instance Amazon Elastic Compute Cloud (Amazon EC2) avec des [rôles pour EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html). Cela permet d'associer un rôle IAM à l'instance Amazon EC2. Cette pratique permet également à l'application d'obtenir des informations d'identification de sécurité temporaires qu'elle peut à son tour utiliser pour effectuer des appels à AWS. Le AWS SDKs et le AWS Command Line Interface (AWS CLI) peuvent obtenir automatiquement des informations d'identification temporaires à partir du rôle. 
+ **Vous devez accorder l'accès entre comptes.** Utilisez un rôle IAM pour établir une relation d'approbation entre les comptes, puis accordez aux utilisateurs d'un compte des autorisations limitées pour accéder au compte approuvé. Pour de plus amples informations, veuillez consulter [Tutoriel IAM : déléguer l'accès entre AWS comptes à l'aide de rôles IAM](tutorial_cross-account-with-roles.md).
+ **Vous disposez d'une application mobile.** N'intégrez pas les clés d'accès à l'application, même dans un espace de stockage chiffré. Au lieu de cela, utilisez [Amazon Cognito](https://aws.amazon.com/cognito/) pour gérer les identités de l'utilisateur dans votre application. Ce service vous permet d'authentifier les utilisateurs à l'aide de Login with Amazon, Facebook, Google ou tout autre fournisseur d'identité compatible avec OpenID Connect (OIDC). Vous pouvez ensuite utiliser le fournisseur d'informations d'identification d'Amazon Cognito pour gérer les informations d'identification que votre application utilise pour effectuer des requêtes à AWS.
+ **Vous souhaitez vous fédérer dans le protocole SAML AWS 2.0 et votre organisation le prend en charge.** Si vous travaillez pour une organisation disposant d'un fournisseur d'identité prenant en charge SAML 2.0, configurez le fournisseur pour qu'il utilise SAML. Vous pouvez utiliser le protocole SAML pour échanger des informations d'authentification avec un ensemble d'informations d'identification de sécurité temporaires AWS et en récupérer un. Pour de plus amples informations, veuillez consulter [Fédération SAML 2.0](id_roles_providers_saml.md).
+ **Vous souhaitez vous fédérer dans un magasin d'identités sur site AWS et votre organisation dispose d'un magasin d'identités.** Si les utilisateurs peuvent s'authentifier au sein de votre organisation, vous pouvez créer une application qui peut leur délivrer des informations d'identification de sécurité temporaires pour accéder aux AWS ressources. Pour de plus amples informations, veuillez consulter [Permettre à un courtier d'identité personnalisé d'accéder à la AWS console](id_roles_providers_enable-console-custom-url.md).
+ **Utilisez les conditions des politiques IAM pour n’autoriser l’accès qu’à partir des réseaux attendus.** Vous pouvez limiter où et comment vos clés d'accès sont utilisées en mettant en œuvre des [politiques IAM avec des conditions](reference_policies_elements_condition_operators.md) qui spécifient et n'autorisent que les réseaux attendus, tels que vos adresses IP publiques ou vos clouds privés virtuels (VPCs). De cette façon, vous savez que les clés d’accès ne peuvent être utilisées qu’à partir de réseaux attendus et acceptables. 

**Note**  
Utilisez-vous une instance Amazon EC2 avec une application qui nécessite un accès programmatique aux ressources ? AWS Dans ce cas, utilisez les [rôles IAM pour EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).

## Gérer correctement les clés d'accès d'un utilisateur IAM
<a name="iam-user-access-keys"></a>

Si vous devez créer des clés d'accès pour un accès programmatique AWS, créez-les pour les utilisateurs IAM, en leur accordant uniquement les autorisations dont ils ont besoin.

Respectez les précautions suivantes pour protéger les clés d'accès des utilisateurs IAM :
+ **N'intégrez pas de clés d'accès directement dans le code.** Les outils de [ligne de AWS commande [AWS SDKs](https://aws.amazon.com/tools/#sdk)et les outils](https://aws.amazon.com/tools/#cli) de ligne de commande vous permettent de placer les clés d'accès à des emplacements connus afin de ne pas avoir à les conserver dans le code. 

  Placez les clés d'accès à l'un des emplacements suivants :
  + **Le fichier AWS d'informations d'identification.** Les AWS SDKs et utilisent AWS CLI automatiquement les informations d'identification que vous stockez dans le fichier AWS d'informations d'identification. 

    Pour plus d'informations sur l'utilisation du fichier AWS d'informations d'identification, consultez la documentation de votre SDK. Les exemples incluent [Définir les AWS informations d'identification et la région](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) dans le *guide du AWS SDK pour Java développeur* et les [fichiers de configuration et d'identification](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) dans le *guide de l'AWS Command Line Interface utilisateur*.

    Pour stocker les informations d'identification des AWS SDK pour .NET et AWS Tools for Windows PowerShell, nous vous recommandons d'utiliser le SDK Store. Pour plus d'informations, veuillez consulter la rubrique [Using the SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) dans le *Guide du développeur AWS SDK pour .NET *.
  + **Variables d'environnement.** Sur un système à locataires multiples, choisissez des variables d'environnement utilisateur, et non pas des variables d'environnement système. 

    Pour plus d'informations sur l'utilisation des variables d'environnement pour stocker les informations d'identification, veuillez consulter la rubrique [Environment Variables](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-envvars.html) dans le *Guide de l'utilisateur AWS Command Line Interface *. 
+ **Utilisez des clés d'accès différentes pour chaque application.** Procédez ainsi afin de pouvoir isoler les autorisations et révoquer les clés d'accès pour des applications individuelles si elles sont compromises. Le fait d'avoir des clés d'accès distinctes pour différentes applications génère également des entrées distinctes dans les fichiers journaux [AWS CloudTrail](https://aws.amazon.com/cloudtrail/). Cette configuration vous permet d'identifier plus facilement quelle application a effectué des actions spécifiques. 
+ **Mettez à jour les clés d'accès en cas de besoin.** Si la clé d'accès risque d'être compromise, mettez-la à jour et supprimez la clé d'accès précédente. Pour plus d’informations, consultez [Mise à jour des clés d’accès](id-credentials-access-keys-update.md). 
+ **Supprimez les clés d'accès inutilisées.** Si un utilisateur quitte votre organisation, supprimez l'utilisateur IAM correspondant afin qu'il ne puisse plus accéder à vos ressources. Pour savoir quand une clé d'accès a été utilisée pour la dernière fois, utilisez l'[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetAccessKeyLastUsed.html)API (AWS CLI command : [https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-access-key-last-used.html)).
+ **Utilisez des informations d'identification temporaires et configurez l'authentification multifactorielle pour vos opérations d'API les plus sensibles.** Avec les politiques IAM, vous pouvez spécifier quelles opérations d'API un utilisateur est autorisé à appeler. Dans certains cas, vous souhaiterez peut-être bénéficier d'une sécurité supplémentaire en exigeant que les utilisateurs soient authentifiés par le biais de la AWS MFA avant de les autoriser à effectuer des actions particulièrement sensibles. Par exemple, vous disposez peut-être d'une politique qui autorise l'utilisateur à exécuter les actions Amazon EC2 `RunInstances`, `DescribeInstances` et `StopInstances`. Mais vous souhaiterez peut-être restreindre une action destructrice telle que `TerminateInstances` et vous assurer que les utilisateurs ne peuvent effectuer cette action que s'ils s'authentifient auprès d'un périphérique AWS MFA. Pour de plus amples informations, veuillez consulter [Accès sécurisé aux API avec MFA](id_credentials_mfa_configure-api-require.md).

## Accédez à l'application mobile à l'aide des touches AWS d'accès
<a name="access-keys-mobile-app"></a>

Vous pouvez accéder à un ensemble limité de AWS services et de fonctionnalités à l'aide de l'application AWS mobile. L'application mobile vous aide à prendre en charge la réponse aux incidents pendant vos déplacements. Pour de plus amples informations et pour télécharger l'application, veuillez consulter [Console AWS pour les applications mobiles](https://aws.amazon.com/console/mobile/).

Vous pouvez vous connecter à l'application mobile à l'aide du mot de passe de votre console ou de vos clés d'accès. En guise de bonne pratique, n'utilisez pas les clés d'accès de l'utilisateur root. Nous vous recommandons vivement, en plus d'utiliser un mot de passe ou un verrou biométrique sur votre appareil mobile, de créer un utilisateur IAM spécifiquement chargé de gérer les AWS ressources à l'aide de l'application mobile. Si vous perdez votre appareil mobile, vous pouvez supprimer l'accès de l'utilisateur IAM.

**Pour vous connecter à l'aide des clés d'accès (application mobile)**

1. Ouvrez l'application sur votre appareil mobile.

1. Si c'est la première fois que vous ajoutez une identité à l'appareil, choisissez **Ajouter une identité**, puis cliquez sur **Clés d'accès**.

   Si vous vous êtes déjà connecté à l'aide d'une autre identité, choisissez l'icône de menu et choisissez **Changer d'identité**. Choisissez ensuite **Se connecter en tant qu'identité différente**, puis **Clés d'accès**.

1. Sur la page **Clés d'accès**, saisissez vos informations :
   + **ID de clé d'accès** : saisissez votre ID de clé d'accès.
   + **Clé d'accès secrète** : saisissez votre clé d'accès secrète.
   + **Nom de l'identité** : saisissez le nom de l'identité qui apparaîtra dans l'application mobile. Elle ne doit pas nécessairement correspondre à votre nom d'utilisateur IAM.
   + **Code PIN d'identité** : créez un numéro d'identification personnel (PIN) que vous utiliserez pour les prochaines connexions.
**Note**  
Si vous activez la biométrie pour l'application AWS mobile, vous serez invité à utiliser votre empreinte digitale ou votre reconnaissance faciale pour la vérification au lieu du code PIN. Si la biométrie échoue, vous pouvez être invité à entrer le code PIN à la place.

1. Choisissez **Vérifier et ajouter des clés**.

   Vous pouvez désormais accéder à un ensemble sélectionné de vos ressources à l'aide de l'application mobile.

## Informations connexes
<a name="more-resources"></a>

Les rubriques suivantes fournissent des conseils pour configurer AWS SDKs et utiliser AWS CLI les clés d'accès :
+ [Définissez AWS les informations d'identification et la région](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/setup-credentials.html) dans le *guide du AWS SDK pour Java développeur*
+ [Using the SDK Store](https://docs.aws.amazon.com/sdk-for-net/v3/developer-guide/sdk-store.html) dans le *Guide du développeur AWS SDK pour .NET *
+ [Providing Credentials to the SDK](https://docs.aws.amazon.com/aws-sdk-php/v2/guide/credentials.html) dans le *Guide du développeur AWS SDK pour PHP *
+ [Configuration](https://boto3.amazonaws.com/v1/documentation/api/latest/guide/quickstart.html#configuration) dans la documentation de Boto 3 (AWS SDK pour Python)
+ [Using AWS Credentials](https://docs.aws.amazon.com/powershell/latest/userguide/specifying-your-aws-credentials.html) dans le *Guide de l'utilisateur AWS Tools for Windows PowerShell * 
+ [Configuration and credential files](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-files.html) dans le *Guide de l'utilisateur AWS Command Line Interface * 
+ [Granting access using an IAM role](https://docs.aws.amazon.com/sdk-for-net/latest/developer-guide/net-dg-hosm.html) dans le *Guide du développeur AWS SDK pour .NET *
+ [Configure IAM roles for Amazon EC2](https://docs.aws.amazon.com/sdk-for-java/latest/developer-guide/java-dg-roles.html) dans le *AWS SDK for Java 2.x*

## Utilisation des clés d’accès et des informations d’identification de clé secrète pour l’accès à la console
<a name="console-access-security-keys"></a>

Il est possible d’utiliser des informations d’identification de clé d’accès et de clé secrète pour un accès à l’ AWS Management Console direct, et pas seulement l’ AWS CLI. Cela peut être réalisé à l'aide de l'appel d' AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)API. En créant une URL de console à l’aide des informations d’identification temporaires et du jeton fournis par `GetFederationToken`, les principaux IAM peuvent accéder à la console. Pour de plus amples informations, veuillez consulter [Permettre à un courtier d'identité personnalisé d'accéder à la AWS console](id_roles_providers_enable-console-custom-url.md).

Il convient de préciser que lorsque vous vous connectez directement à la console à l’aide des informations d’identification IAM ou utilisateur racine avec la MFA activée, cette dernière sera requise. Toutefois, si la méthode décrite ci-dessus (en utilisant des informations d’identification temporaires avec `GetFederationToken`) est utilisée, la MFA ne sera PAS requise.



## Audit des clés d'accès
<a name="Using_access-keys-audit"></a>

Vous pouvez vérifier les clés AWS d'accès contenues dans votre code pour déterminer si elles proviennent d'un compte que vous possédez. Vous pouvez transmettre un identifiant de clé d'accès à l'aide de la [https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html](https://docs.aws.amazon.com/cli/latest/reference/sts/get-access-key-info.html) AWS CLI commande ou de l'opération [https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetAccessKeyInfo.html) AWS API.

Les opérations AWS CLI et AWS API renvoient l'ID du Compte AWS auquel appartient la clé d'accès. Les clés d'accès IDs commençant par `AKIA` sont des informations d'identification à long terme pour un utilisateur IAM ou un Utilisateur racine d'un compte AWS. Les clés d'accès IDs commençant par `ASIA` sont des informations d'identification temporaires créées à l'aide d' AWS STS opérations. Si le compte de la réponse vous appartient, vous pouvez vous connecter en tant qu'utilisateur racine et vérifier vos clés d'accès d'utilisateur racine. Ensuite, vous pouvez extraire un [rapport d'informations d'identification](id_credentials_getting-report.md) pour savoir quel utilisateur IAM possède les clés. Pour savoir qui a demandé les informations d'identification temporaires pour une clé d'`ASIA`accès, consultez les AWS STS événements dans vos CloudTrail journaux.

Pour des raisons de sécurité, vous pouvez [consulter AWS CloudTrail les journaux](cloudtrail-integration.md#cloudtrail-integration_signin-tempcreds) pour savoir qui a effectué une action dans AWS. Vous pouvez utiliser la clé de condition `sts:SourceIdentity` dans la politique d'approbation de rôle pour exiger des utilisateurs qu'ils spécifient une identité lorsqu'ils endossent un rôle. Par exemple, vous pouvez exiger que les utilisateurs IAM spécifient leur propre nom d'utilisateur comme identité de source. Cela peut vous aider à déterminer quel utilisateur a effectué une action spécifique dans AWS. Pour de plus amples informations, veuillez consulter [`sts:SourceIdentity`](reference_policies_iam-condition-keys.md#ck_sourceidentity).

Cette opération n'indique pas l'état de la clé d'accès. La clé peut être active, inactive ou supprimée. Les clés actives peuvent ne pas avoir les autorisations nécessaires pour effectuer une opération. La fourniture d'une clé d'accès supprimée peut renvoyer une erreur indiquant que la clé n'existe pas.