Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# AWS informations d'identification de sécurité
Lorsque vous interagissez avec AWS, vous spécifiez vos *informations de AWS sécurité* pour vérifier qui vous êtes et si vous êtes autorisé à accéder aux ressources que vous demandez. AWS utilise les informations d'identification de sécurité pour authentifier et autoriser vos demandes.
Par exemple, si vous souhaitez télécharger un fichier protégé à partir d'un compartiment Amazon Simple Storage Service (Amazon S3), vos informations d'identification doivent autoriser cet accès. Si vos informations d'identification n'indiquent pas que vous êtes autorisé à télécharger le fichier, AWS refuse votre demande. Toutefois, vos informations d'identification de AWS sécurité ne sont pas nécessaires pour télécharger un fichier dans un compartiment Amazon S3 partagé publiquement.
Il existe différents types d'utilisateurs AWS, chacun possédant ses propres identifiants de sécurité :
+ **Titulaire du compte (utilisateur root)** — L'utilisateur qui a créé le Compte AWS et dispose d'un accès complet.
+ **AWS IAM Identity Center utilisateurs** : utilisateurs gérés dans AWS IAM Identity Center.
+ **Principaux fédérés** : utilisateurs de fournisseurs d'identité externes auxquels un accès temporaire est accordé par le AWS biais de la fédération. Pour plus d'informations sur les identités fédérées, consultez [Fournisseurs d'identité et fédération au sein de AWS](id_roles_providers.md).
+ Utilisateurs **IAM : utilisateurs** individuels créés au sein du service Gestion des identités et des accès AWS (IAM).
Les utilisateurs disposent d'informations d'identification de sécurité à long terme ou temporaires. L'utilisateur root, l'utilisateur IAM et les clés d'accès possèdent des informations d'identification de sécurité à long terme qui n'expirent pas. Pour protéger les informations d'identification à long terme, il convient de mettre en place des processus pour [gérer les clés d'accès](id_credentials_access-keys.md), [modifier les mots de passe](id_credentials_passwords.md) et [activer MFA](id_credentials_mfa.md).
Pour simplifier la gestion des informations d'identification de l'utilisateur root sur l'ensemble des comptes membres AWS Organizations, vous pouvez sécuriser de manière centralisée les informations d'identification de l'utilisateur root de votre compte Comptes AWS géré AWS Organizations. [Gestion centralisée de l’accès root pour les comptes membres](id_root-user.md#id_root-user-access-management)vous permet de supprimer de manière centralisée et d'empêcher la restauration à long terme des informations d'identification de l'utilisateur root, empêchant ainsi tout accès root involontaire à grande échelle.
Les rôles IAM et les utilisateurs dans AWS IAM Identity Center utilisateurs principaux AWS STS fédérés disposent d'informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires expirent après une période définie ou lorsque l'utilisateur met fin à sa session. Les informations d'identification temporaires fonctionnent de manière presque identique aux informations d'identification des clés d'accès à long terme, à quelques différences près :
+ Les informations d'identification de sécurité temporaires sont *à court terme*, comme leur nom l'indique. Elles peuvent être configurées pour être valides de quelques minutes à plusieurs heures. Une fois les informations d'identification AWS expirées, il ne les reconnaît plus ou n'autorise aucun type d'accès à partir des demandes d'API effectuées avec elles.
+ Les informations d'identification de sécurité temporaires ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Lorsque (ou même avant) les informations d'identification de sécurité temporaires arrivent à expiration, l'utilisateur peut en demander de nouvelles, tant qu'il y est autorisé.
Par conséquent, les informations d'identification temporaires présentent les avantages suivants par rapport aux informations d'identification à long terme :
+ Il n'est pas nécessaire de distribuer ou d'intégrer des informations d'identification AWS de sécurité à long terme dans une application.
+ Vous pouvez donner accès à vos AWS ressources aux utilisateurs sans avoir à définir leur AWS identité. Les informations d'identification temporaires servent de base aux [rôles et à la fédération d'identité](id_roles.md).
+ Les informations d'identification de sécurité temporaires ont une durée de vie limitée. Il n'est donc pas nécessaire de les mettre à jour ou de les révoquer explicitement lorsqu'elles deviennent obsolètes. Une fois que les informations d'identification de sécurité temporaires arrivent à expiration, elles ne peuvent pas être réutilisées. Vous pouvez spécifier le délai de validité des informations d'identification, jusqu'à une certaine limite.
## Considérations sur la sécurité
Nous vous recommandons de tenir compte des informations suivantes lorsque vous déterminez les mesures de sécurité pour votre Compte AWS :
+ Lorsque vous créez un Compte AWS, nous créons le compte utilisateur root. Les informations d'identification de l’utilisateur root (propriétaire du compte) permettent un accès complet à toutes les ressources du compte. La première tâche que vous effectuez avec l'utilisateur root consiste à accorder à un autre utilisateur des autorisations administratives Compte AWS afin de minimiser l'utilisation de l'utilisateur root.
+ L'authentification multi-facteurs (Multi-Factor Authentication, MFA) fournit un niveau de sécurité supplémentaire pour les utilisateurs pouvant accéder à votre Compte AWS. Pour plus de sécurité, nous vous recommandons d'exiger l'authentification MFA sur les Utilisateur racine d'un compte AWS informations d'identification et sur tous les utilisateurs IAM. Pour de plus amples informations, veuillez consulter [AWS Authentification multifactorielle dans IAM](id_credentials_mfa.md).
+ AWS nécessite différents types d'identifiants de sécurité, en fonction de votre mode d'accès AWS et du type d' AWS utilisateur que vous êtes. Par exemple, vous utilisez les informations de connexion AWS Management Console pendant que vous utilisez les touches d'accès pour effectuer des appels programmatiques à. AWS Pour obtenir de l'aide pour déterminer votre type d'utilisateur et votre page de connexion, consultez la section [Qu'est-ce que la AWS connexion](https://docs.aws.amazon.com/signin/latest/userguide/what-is-sign-in.html) dans le guide de l'*Connexion à AWS utilisateur*.
+ Vous ne pouvez pas utiliser des politiques IAM pour refuser l'accès aux ressources de manière explicite à l'utilisateur root. Vous ne pouvez utiliser une [politique AWS Organizations de contrôle des services (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_type-auth.html) que pour limiter les autorisations de l'utilisateur root.
+ Si vous oubliez ou perdez votre mot de passe root, vous devez avoir accès à l'adresse e-mail associée à votre compte pour le réinitialiser.
+ Si vous perdez vos clés d'accès de l’utilisateur root, vous devez vous connecter à votre compte en tant qu’utilisateur root pour en créer de nouvelles.
+ N'utilisez pas l’utilisateur root de vos tâches courantes. Optez pour effectuer les tâches que seul l’utilisateur root peut effectuer. Pour obtenir la liste complète des tâches qui nécessitent que vous vous connectiez en tant qu'utilisateur root, veuillez consulter [Tâches nécessitant les informations d'identification de l'utilisateur root](id_root-user.md#root-user-tasks).
+ Les informations d'identification de sécurité sont spécifiques au compte. Si vous avez accès à plusieurs Comptes AWS, vous disposez d'informations d'identification distinctes pour chaque compte.
+ Les [politiques](access_policies.md) déterminent les actions qu'un utilisateur, un rôle ou un membre d'un groupe d'utilisateurs peut effectuer, sur quelles AWS ressources et dans quelles conditions. À l'aide de politiques, vous pouvez contrôler en toute sécurité l'accès Services AWS et les ressources de votre Compte AWS. Si vous devez modifier ou révoquer des autorisations en réponse à un événement de sécurité, vous supprimez ou modifiez les politiques au lieu de modifier directement l'identité.
+ Veillez à enregistrer les informations de connexion de votre utilisateur IAM *Emergency Access* et toutes les clés d'accès que vous avez créées pour un accès programmatique dans un emplacement sécurisé. Si vous perdez vos clés d'accès, vous devez vous connecter à votre compte pour en créer de nouvelles.
+ Nous vous recommandons vivement d’utiliser les informations d’identification temporaires fournies par les rôles IAM et les principaux fédérés plutôt que les informations d’identification à long terme fournies par les utilisateurs IAM et les clés d’accès.
# Accès programmatique avec identifiants AWS de sécurité
Nous recommandons d'utiliser des touches d'accès à court terme dans la mesure du possible pour effectuer des appels programmatiques vers AWS ou pour utiliser le AWS Command Line Interface ou Outils AWS pour PowerShell. Toutefois, vous pouvez également utiliser des clés AWS d'accès à long terme à ces fins.
Lorsque vous créez une clé d'accès à long terme, vous générez l'ID de clé d'accès (par exemple, `AKIAIOSFODNN7EXAMPLE`) et la clé d'accès secrète (par exemple, `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`) sous la forme d'un ensemble. La clé d'accès secrète est accessible en téléchargement uniquement au moment de sa création. Si vous ne téléchargez pas votre clé d'accès secrète ou si vous la perdez, vous devrez la recréer.
Dans de nombreux cas, vous n'avez pas besoin de clés d'accès à long terme qui n'expirent jamais (comme lorsque vous créez des clés d'accès pour un utilisateur IAM). Au lieu de cela, vous pouvez créer des rôles IAM et générer des informations d'identification de sécurité temporaires. Les informations d'identification de sécurité temporaires comprennent non seulement un ID de clé d'accès et une clé d'accès secrète, mais également un jeton de sécurité qui indique la date d'expiration des informations d'identification. Après leur expiration, elles ne sont plus valides. Pour de plus amples informations, consultez [Alternatives aux clés d'accès à long terme](#security-creds-alternatives-to-long-term-access-keys).
Les clés d'accès IDs commençant par `AKIA` sont des clés d'accès à long terme pour un utilisateur IAM ou un utilisateur Compte AWS root. Les clés d'accès IDs commençant par `ASIA` sont des clés d'accès aux informations d'identification temporaires que vous créez à l'aide d' AWS STS opérations.
Les utilisateurs ont besoin d'un accès programmatique s'ils souhaitent interagir avec AWS l'extérieur du AWS Management Console. La manière d'accorder un accès programmatique dépend du type d'utilisateur qui y accède AWS.
Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.
****
| Quel utilisateur a besoin d’un accès programmatique ? | À | Méthode |
| --- | --- | --- |
| IAM | (Recommandé) Utilisez les informations d'identification de la console comme informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/security-creds-programmatic-access.html) |
| Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center) | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/security-creds-programmatic-access.html) |
| IAM | Utilisez des informations d'identification temporaires pour signer les demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de la section [Utilisation d'informations d'identification temporaires avec AWS les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) du Guide de l'utilisateur IAM. |
| IAM | (Non recommandé)Utilisez des informations d'identification à long terme pour signer des demandes programmatiques adressées au AWS CLI AWS SDKs, ou AWS APIs. | Suivez les instructions de l’interface que vous souhaitez utiliser. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/IAM/latest/UserGuide/security-creds-programmatic-access.html) |
## Alternatives aux clés d'accès à long terme
Pour de nombreux cas d'utilisation courants, il existe des alternatives aux clés d'accès à long terme. Pour améliorer la sécurité de votre compte, tenez compte des points suivants.
+ **N'intégrez pas de clés d'accès à long terme ni de clés d'accès secrètes dans le code de votre application ou dans un référentiel de code**. Utilisez AWS Secrets Manager plutôt une solution de gestion des secrets ou une autre solution de gestion des secrets, afin de ne pas avoir à coder les clés en dur en texte brut. L'application ou le client peut ensuite récupérer des secrets en cas de besoin. Pour plus d'informations, voir [Qu'est-ce que c'est AWS Secrets Manager ?](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) dans le *guide de AWS Secrets Manager l'utilisateur*.
+ **Utilisez les rôles IAM pour générer des informations d'identification de sécurité temporaires dans la mesure du possible :** utilisez toujours des mécanismes permettant de délivrer des identifiants de sécurité temporaires, lorsque cela est possible, plutôt que des clés d'accès à long terme. Les informations d'identification de sécurité temporaires sont plus sécurisées car elles ne sont pas stockées avec l'utilisateur, mais sont générées automatiquement et fournies à l'utilisateur sur demande. Les informations d'identification de sécurité temporaires ont une durée de vie limitée, ce qui vous évite d'avoir à les gérer ou à les mettre à jour. Les mécanismes qui fournissent des clés d'accès temporaires incluent les rôles IAM ou l'authentification d'un utilisateur d'IAM Identity Center. Pour les machines qui s'exécutent à l'extérieur, AWS vous pouvez utiliser [Gestion des identités et des accès AWS Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html).
+ **Utilisez des alternatives aux clés d'accès à long terme pour l’ AWS Command Line Interface (AWS CLI) ou `aws-shell` — ** Les alternatives incluent ce qui suit.
+ **Connectez-vous pour le développement AWS local à l'aide des informations d'identification de console**. Vous pouvez utiliser la AWS CLI version 2 et la `aws login` commande pour générer des informations d'identification à court terme afin d'exécuter des AWS CLI commandes à l'aide des informations d'identification de votre console. Pour en savoir plus, consultez la section [Connexion pour le développement AWS local](https://docs.aws.amazon.com//cli/latest/userguide/cli-authentication-user.html) dans le *guide de AWS Command Line Interface l'utilisateur*.
+ **AWS CloudShell**est un shell pré-authentifié basé sur un navigateur que vous pouvez lancer directement depuis le. AWS Management Console Vous pouvez exécuter AWS CLI des commandes par Services AWS le biais de votre shell préféré (shell Bash, Powershell ou Z). Dans ce cas, il n'est pas nécessaire de télécharger ou d'installer des outils de ligne de commande. Pour plus d’informations, consultez [Présentation de AWS CloudShell](https://docs.aws.amazon.com/cloudshell/latest/userguide/welcome.html) dans le *Guide de l’utilisateur AWS CloudShell *.
+ **Ne créez pas de clés d'accès à long terme pour les utilisateurs humains qui ont besoin d'accéder aux applications. Services AWS Sinon**, IAM Identity Center peut générer des informations d'accès temporaires auxquelles les utilisateurs externes de votre IdP peuvent accéder. Services AWS Il n'est donc plus nécessaire de créer et de gérer des informations d'identification à long terme dans IAM. Dans IAM Identity Center, créez un ensemble d'autorisations IAM Identity Center qui accorde l'accès aux utilisateurs IdP externes. Attribuez ensuite un groupe d'IAM Identity Center aux autorisations définies dans le champ sélectionné Comptes AWS. Pour plus d'informations, consultez les sections [Qu'est-ce que c'est AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html), [Se connecter à votre fournisseur d'identité externe](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) et [Ensembles d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html) dans le *guide de AWS IAM Identity Center l'utilisateur*.
+ **Ne stockez pas de clés d'accès à long terme dans un service AWS informatique**. Attribuez plutôt un rôle IAM aux ressources informatiques. Cela fournit automatiquement des informations d'identification temporaires pour accorder l'accès. Par exemple, lorsque vous créez un profil d'instance attaché à une instance Amazon EC2, vous pouvez attribuer un AWS rôle à l'instance et le rendre disponible pour toutes ses applications. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance Amazon EC2 d'obtenir des informations d'identification temporaires. Pour en savoir plus, consultez [Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html).