Informations d’identification spécifiques au service pour les utilisateurs IAM
Les informations d’identification spécifiques à un service sont des mécanismes d’authentification spécialisés conçus pour des services AWS spécifiques. Ces informations d’identification offrent une authentification simplifiée par rapport aux informations d’identification AWS standard et sont adaptées aux exigences d’authentification de chaque service AWS. Contrairement aux clés d’accès, qui peuvent être utilisées pour plusieurs services AWS, les informations d’identification spécifiques à un service sont conçues pour être utilisées uniquement avec le service pour lequel elles ont été créées. Cette approche ciblée améliore la sécurité en limitant la portée des informations d’identification.
Les informations d’identification spécifiques à un service se composent généralement d’un nom d’utilisateur et d’un mot de passe ou de clés d’API spécialisées dont le format est conforme aux exigences du service concerné. Lorsque vous créez des informations d’identification spécifiques à un service, celles-ci sont actives par défaut et peuvent être utilisées immédiatement. Vous pouvez avoir un maximum de deux ensembles d’informations d’identification spécifiques au service pour chaque service pris en charge par utilisateur IAM. Cette limite vous permet de conserver un ensemble actif tout en passant à un nouvel ensemble lorsque cela est nécessaire. AWS prend actuellement en charge les informations d’identification spécifiques aux services suivants :
Changement des informations d’identification spécifiques au service
En tant que bonne pratique en matière de sécurité, renouvelez régulièrement les informations d’identification spécifiques aux services. Pour changer les informations d’identification sans perturber vos applications :
-
Créez un deuxième ensemble d’informations d’identification spécifiques au service pour le même service et le même utilisateur IAM
-
Mettez à jour toutes les applications afin qu’elles utilisent les nouvelles informations d’identification et vérifiez qu’elles fonctionnent correctement
-
Modifiez le statut des informations d’identification d’origine en « Inactif »
-
Vérifiez que toutes les applications fonctionnent toujours correctement
-
Supprimez les informations d’identification spécifiques au service inactif lorsque vous êtes certain qu’elles ne sont plus nécessaires.
Surveillance des informations d’identification spécifiques au service
Vous pouvez utiliser AWS CloudTrail pour surveiller l’utilisation des informations d’identification spécifiques au service dans votre compte AWS. Pour afficher les événements CloudTrail liés à l’utilisation d’informations d’identification spécifiques à un service, consultez les journaux CloudTrail pour les événements provenant du service où les informations d’identification sont utilisées. Pour de plus amples informations, consultez Journalisation des appels d'API AWS STS et IAM avec AWS CloudTrail.
Pour plus de sécurité, pensez à configurer des alarmes CloudWatch afin d’être averti de certains modèles d’utilisation des informations d’identification qui pourraient indiquer un accès non autorisé ou d’autres problèmes de sécurité. Pour plus d’informations sur CloudWatch Logs, veuillez consulter Surveillande des fichiers journaux CloudTrail avec Amazon CloudWatch Logs dans le Guide de l’utilisateur AWS CloudTrail.
Les rubriques suivantes fournissent des informations sur les informations d’identification spécifiques au service.
Rubriques
