Réaliser une tâche privilégiée sur un compte membre AWS Organizations - AWS Identity and Access Management
PrérequisEffectuer une action privilégiée sur un compte membre (console)Effectuer une action privilégiée sur un compte membre (AWS CLI)Effectuer une action privilégiée sur un compte membre (API AWS)

Réaliser une tâche privilégiée sur un compte membre AWS Organizations

Le compte de gestion AWS Organizations ou un compte d’administrateur délégué pour IAM peut effectuer certaines tâches de l’utilisateur racine sur les comptes membres en utilisant un accès racine à court terme. Ces tâches ne peuvent être effectuées que lorsque vous vous connectez en tant qu’utilisateur racine d’un compte. Les sessions privilégiées de courte durée vous fournissent des informations d’identification temporaires que vous pouvez définir pour effectuer des actions privilégiées sur un compte membre de votre organisation.

Une fois que vous avez lancé une session privilégiée, vous pouvez supprimer une politique de compartiment Amazon S3 mal configurée, supprimer une politique de file d’attente Amazon SQS mal configurée, supprimer les informations d’identification de l’utilisateur racine pour un compte membre et réactiver les informations d’identification de l’utilisateur racine pour un compte membre.

Note

Pour utiliser l’accès racine centralisé, vous devez vous connecter via un compte de gestion ou un compte d’administrateur délégué et disposer d’une autorisation sts:AssumeRoot explicitement accordée.

Prérequis

Avant de pouvoir lancer une session privilégiée, vous devez disposer des paramètres suivants :

  • Vous avez activé l’accès racine centralisé dans votre organisation. Pour savoir comment activer cette fonctionnalité, consultez Centralisation de l’accès racine pour les comptes membres.

  • Votre compte de gestion ou votre compte d’administrateur délégué dispose des autorisations suivantes : sts:AssumeRoot

Effectuer une action privilégiée sur un compte membre (console)

Pour lancer une session d’action privilégiée sur un compte membre dans la AWS Management Console

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la console, choisissez Gestion de l’accès racine.

  3. Sélectionnez un nom dans la liste des comptes membres, puis choisissez Effectuer une action privilégiée.

  4. Choisissez l’action privilégiée que vous souhaitez effectuer dans le compte membre.

    • Sélectionnez Supprimer la politique de compartiment Amazon S3 pour supprimer une politique de compartiment mal configurée qui empêche tous les principaux d’accéder au compartiment Amazon S3.

      1. Choisissez Naviguer dans S3 pour sélectionner un nom parmi les compartiments appartenant au compte membre, puis sélectionnez Choisir.

      2. Choisissez Supprimer la politique de compartiment.

      3. Utilisez la console Amazon S3 pour corriger la politique de compartiment après avoir supprimé la politique mal configurée. Pour plus d’informations, consultez Ajout d’une politique de compartiment à l’aide de la console Amazon S3 dans le Guide de l’utilisateur Amazon S3.

    • Sélectionnez Supprimer la politique Amazon SQS pour supprimer une politique Amazon Simple Queue Service qui refuse à tous les principaux l’accès à une file d’attente Amazon SQS.

      1. Saisissez le nom de la file d’attente dans le champ Nom de la file d’attente SQS, puis sélectionnez Supprimer la politique SQS.

      2. Utilisez la console Amazon SQS pour corriger la politique de la file d’attente après avoir supprimé la politique mal configurée. Pour plus d’informations, consultez Configuration de stratégie d’accès dans Amazon SQS dans le Guide du développeur Amazon SQS.

    • Sélectionnez Supprimer les informations d’identification racine pour supprimer l’accès racine d’un compte membre. La suppression des informations d’identification de l’utilisateur racine supprime le mot de passe de l’utilisateur racine, les clés d’accès, les certificats de signature et désactive l’authentification multifactorielle (MFA) pour le compte membre.

      1. Choisissez Supprimer les informations d’identification racine.

    • Sélectionnez Autoriser la récupération du mot de passe pour récupérer les informations d’identification de l’utilisateur racine pour un compte membre.

      Cette option est disponible uniquement lorsque le compte membre ne possède pas d’informations d’identification d’utilisateur racine.

      1. Choisissez Autoriser la récupération du mot de passe.

      2. Après avoir effectué cette action privilégiée, la personne ayant accès à la boîte de réception de l’utilisateur racine pour le compte membre peut réinitialiser le mot de passe de l’utilisateur racine et se connecter à l’utilisateur racine du compte membre.

Effectuer une action privilégiée sur un compte membre (AWS CLI)

Pour lancer une session d’action privilégiée sur un compte membre depuis l’AWS Command Line Interface

  1. Utilisez la commande suivante pour utiliser une session utilisateur racine : aws sts assume-root.

    Note

    Le point de terminaison global n’est pas pris en charge pour sts:AssumeRoot. Vous devez envoyer cette requête à un point de terminaison AWS STS régional. Pour de plus amples informations, consultez Gestion de AWS STS dans un Région AWS.

    Lorsque vous lancez une session utilisateur racine privilégiée pour un compte membre, vous devez définir task-policy-arn permettant d’étendre la session à l’action privilégiée à effectuer au cours de la session. Vous pouvez utiliser l’une des politiques gérées AWS suivantes pour définir les actions de session privilégiées.

    Pour limiter les actions qu’un compte de gestion ou un administrateur délégué peut effectuer au cours d’une session de l’utilisateur racine privilégié, vous pouvez utiliser la clé de condition AWS STS sts:TaskPolicyArn.

    Dans l’exemple suivant, l’administrateur délégué endosse le rôle racine pour supprimer les informations d’identification de l’utilisateur racine pour le compte membre ID 111122223333. 

    aws sts assume-root \
  --target-principal 111122223333 \
  --task-policy-arn arn=arn:aws:iam::aws:policy/root-task/IAMDeleteRootUserCredentials \
  --duration-seconds 900

  2. Utilisez SessionToken, AccessKeyId et SecretAccessKey depuis la réponse pour effectuer des actions privilégiées dans le compte membre. Vous pouvez omettre le nom d’utilisateur et le mot de passe dans la requête afin d’utiliser par défaut le compte membre.

Effectuer une action privilégiée sur un compte membre (API AWS)

Pour lancer une session d’action privilégiée sur un compte membre depuis l’API AWS

  1. Utilisez la commande suivante pour utiliser une session utilisateur racine : AssumeRoot.

    Note

    Le point de terminaison global n’est pas pris en charge pour AssumeRoot. Vous devez envoyer cette requête à un point de terminaison AWS STS régional. Pour de plus amples informations, consultez Gestion de AWS STS dans un Région AWS.

    Lorsque vous lancez une session utilisateur racine privilégiée pour un compte membre, vous devez définir TaskPolicyArn permettant d’étendre la session à l’action privilégiée à effectuer au cours de la session. Vous pouvez utiliser l’une des politiques gérées AWS suivantes pour définir les actions de session privilégiées.

    Pour limiter les actions qu’un compte de gestion ou un administrateur délégué peut effectuer au cours d’une session de l’utilisateur racine privilégié, vous pouvez utiliser la clé de condition AWS STS sts:TaskPolicyArn.

    Dans l’exemple suivant, l’administrateur délégué assume le rôle racine pour lire, modifier et supprimer une politique basée sur les ressources mal configurée pour un compartiment Amazon S3 pour le compte membre avec l’ID 111122223333.

    https://sts.us-east-2.amazonaws.com/
  ?Version=2011-06-15
  &Action=AssumeRoot
  &TargetPrincipal=111122223333
  &PolicyArns.arn=arn:aws:iam::aws:policy/root-task/S3UnlockBucketPolicy 
  &DurationSeconds 900

  2. Utilisez SessionToken, AccessKeyId et SecretAccessKey depuis la réponse pour effectuer des actions privilégiées dans le compte membre. Vous pouvez omettre le nom d’utilisateur et le mot de passe dans la requête afin d’utiliser par défaut le compte membre.

    • Vérifiez l’état des informations d’identification de l’utilisateur racine. Utilisez les commandes suivantes pour vérifier l’état des informations d’identification de l’utilisateur racine pour un compte membre.

    • Supprimez les informations d’identification de l’utilisateur racine. Utilisez les commandes suivantes pour supprimer l’accès racine. Vous pouvez supprimer le mot de passe d’utilisateur racine, les clés d’accès, les certificats de signature, ainsi que désactiver l’authentification multifactorielle (MFA) pour supprimer tout accès et toute récupération de l’utilisateur racine.

    • Supprimez le compartiment Amazon S. Utilisez les commandes suivantes pour lire, modifier et supprimer une politique de compartiment mal configurée qui empêche tous les principaux d’accéder au compartiment Amazon S3.

    • Supprimez la politique Amazon SQS. Utilisez les commandes suivantes pour afficher et supprimer une politique Amazon Simple Queue Service qui refuse à tous les principaux l’accès à une file d’attente Amazon SQS.

    • Autorisez la récupération du mot de passe. Utilisez les commandes suivantes pour afficher le nom d’utilisateur et récupérer les informations d’identification de l’utilisateur racine pour un compte membre.