Authentification à l'aide des informations d'identification utilisateur IAM pour AWS CLI - AWS Command Line Interface
Étape 1 : création de votre utilisateur IAMÉtape 2 : récupération de vos clés d’accèsÉtape 3 : configurer le AWS CLI(Facultatif) Utilisation de l'authentification multifactorielle avec vos informations d'identification utilisateur IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Authentification à l'aide des informations d'identification utilisateur IAM pour AWS CLI

Avertissement

Afin d’éviter les risques de sécurité, n’employez pas les utilisateurs IAM pour l’authentification lorsque vous développez des logiciels spécialisés ou lorsque vous travaillez avec des données réelles. Préférez la fédération avec un fournisseur d’identité tel que AWS IAM Identity Center.

Cette section explique comment configurer les paramètres de base avec un utilisateur IAM. Il s’agit notamment de vos informations d’identification de sécurité à l’aide des fichiers config et credentials. Pour afficher plutôt les instructions de configuration pour AWS IAM Identity Center, consultez Configuration de l’authentification IAM Identity Center à l’aide de l’AWS CLI.

Étape 1 : création de votre utilisateur IAM

Créez votre utilisateur IAM en suivant la procédure Création d’utilisateurs IAM (console) du Guide de l’utilisateur IAM.

  • Pour Options d’autorisation, choisissez Attacher directement les politiques pour définir la manière dont vous souhaitez affecter des autorisations à cet utilisateur.

  • La plupart des didacticiels du kit SDK « Démarrage » utilisent le service Amazon S3 comme exemple. Pour fournir à votre application un accès complet à Amazon S3, sélectionnez la politique AmazonS3FullAccess à attacher à cet utilisateur.

Étape 2 : récupération de vos clés d’accès

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le volet de navigation de la console IAM, sélectionnez Utilisateurs, puis le User name de l’utilisateur que vous avez créé précédemment.

  3. Sur la page de l’utilisateur, sélectionnez la page Informations d’identification de sécurité. Ensuite, sous Clés d’accès, sélectionnez Créer une clé d’accès.

  4. Pour Créer une clé d’accès – Étape 1, sélectionnez Interface de ligne de commande (CLI).

  5. Pour Créer une clé d’accès – Étape 2, saisissez une balise facultative, puis cliquez sur Suivant.

  6. Pour Créer une clé d’accès – Étape 3, sélectionnez Télécharger le fichier .csv afin d’enregistrer le fichier .csv contenant la clé d’accès et la clé d’accès secrète de l’utilisateur IAM. Vous aurez besoin de ces informations ultérieurement.

  7. Sélectionnez Terminé.

Étape 3 : configurer le AWS CLI

Pour une utilisation générale, les AWS CLI informations suivantes sont nécessaires :

  • ID de clé d’accès

  • Clé d’accès secrète

  • AWS Région

  • Format de sortie

AWS CLI Stocke ces informations dans un profil (un ensemble de paramètres) nommé default dans le credentials fichier. Par défaut, les informations de ce profil sont utilisées lorsque vous exécutez une AWS CLI commande qui ne spécifie pas explicitement le profil à utiliser. Pour plus d’informations sur le fichier credentials, consultez Paramètres des fichiers de configuration et d’informations d’identification dans l’ AWS CLI.

Pour configurer le AWS CLI, appliquez l'une des procédures suivantes :

Utilisation de aws configure

Pour une utilisation générale, la aws configure commande est le moyen le plus rapide de configurer votre AWS CLI installation. Cet assistant de configuration vous invite à saisir toutes les informations dont vous avez besoin pour commencer. Sauf indication contraire à l'aide de l'--profileoption, cette information est AWS CLI stockée dans le default profil.

L’exemple suivant configure un profil default à l’aide d’exemples de valeurs. Remplacez-les par vos propres valeurs comme décrit dans les sections suivantes.

$ aws configure
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

L’exemple suivant configure un profil nommé userprod à l’aide d’exemples de valeurs. Remplacez-les par vos propres valeurs comme décrit dans les sections suivantes.

$ aws configure --profile userprod
AWS Access Key ID [None]: AKIAIOSFODNN7EXAMPLE
AWS Secret Access Key [None]: wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
Default region name [None]: us-west-2
Default output format [None]: json

Importation de clés d’accès au moyen d’un fichier .CSV

Au lieu de saisir des clés d’accès à l’aide de aws configure, vous pouvez importer le fichier .csv texte brut que vous avez téléchargé après avoir créé vos clés d’accès.

Le fichier .csv doit comporter les en-têtes suivants.

  • Nom d’utilisateur : cette colonne doit être ajoutée à votre fichier .csv. Ceci permet de créer le nom de profil utilisé dans les fichiers config et credentials lors de l’importation.

  • ID de clé d’accès

  • Clé d’accès secrète

Note

Lors de la création initiale des clés d’accès, après avoir fermé la boîte de dialogue Télécharger le fichier .csv, vous ne pouvez plus accéder à votre clé d’accès secrète. Si vous avez besoin d’un fichier .csv, vous devez en créer un vous-même avec les en-têtes requis et les informations relatives à vos clés d’accès enregistrées. Si vous n’avez pas accès aux informations relatives à vos clés d’accès, vous devez créer des clés d’accès.

Importez le fichier .csv à l’aide de la commande aws configure import avec l’option --csv comme suit :

$ aws configure import --csv file://credentials.csv

Pour de plus amples informations, veuillez consulter aws_configure_import.

Modification directe des fichiers config et credentials

Pour modifier directement les fichiers config et credentials, procédez comme suit.

  1. Créez ou ouvrez le fichier AWS credentials partagé. Ce fichier est ~/.aws/credentials sous Linux et macOS, et %USERPROFILE%\.aws\credentials sous Windows. Pour de plus amples informations, veuillez consulter Paramètres des fichiers de configuration et d’informations d’identification dans l’ AWS CLI.

  2. Ajoutez le texte suivant au fichier credentials partagé. Remplacez les exemples de valeurs dans le fichier .csv que vous avez téléchargé précédemment et enregistrez le fichier. 

    [default] 
aws_access_key_id = AKIAIOSFODNN7EXAMPLE 
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

(Facultatif) Utilisation de l'authentification multifactorielle avec vos informations d'identification utilisateur IAM

Pour plus de sécurité, vous pouvez utiliser une clé à usage unique générée à partir d'un appareil d'authentification multifactorielle (MFA), d'un appareil U2F ou d'une application mobile lorsque vous tentez de passer un appel.

Avec votre utilisateur IAM compatible MFA, exécutez la aws configure mfa-logincommande pour configurer un nouveau profil à utiliser avec l'authentification multifactorielle (MFA) pour le profil spécifié. Si aucun profil n'est spécifié, le MFA est basé sur le default profil. Si aucun profil par défaut n'est configuré, la mfa-login commande vous invite à entrer vos AWS informations d'identification avant de demander les informations de votre MFA. L'exemple de commande suivant utilise votre configuration par défaut et crée un profil MFA.

$ aws configure mfa-login
MFA serial number or ARN: arn:aws:iam::123456789012:mfa/MFADeviceName
MFA token code: 123456
Profile to update [session-MFADeviceName]:
Temporary credentials written to profile 'session-MFADeviceName'
Credentials will expire at 2023-05-19 18:06:10 UTC
To use these credentials, specify --profile session-MFADeviceName when running AWS CLI commands

Pour mettre à jour un profil existant, utilisez le --update-profile paramètre.

$ aws configure mfa-login --profile myprofile --update-profile mfaprofile
MFA token code: 123456
Temporary credentials written to profile 'mfaprofile'
Credentials will expire at 2023-05-19 18:06:10 UTC
To use these credentials, specify --profile mfaprofile when running AWS CLI commands

Cette commande ne prend actuellement en charge que les authentificateurs par mot de passe à usage unique (OTP) matériels ou logiciels. Les clés d'accès et les appareils U2F ne sont actuellement pas pris en charge avec cette commande.

Pour utiliser votre profil MFA, utilisez l'--profileoption avec vos commandes.

$ aws s3 ls --profile mfaprofile

Pour plus d'informations sur l'utilisation de l'authentification multifacteur avec IAM, notamment sur la manière d'attribuer une authentification MFA à un utilisateur IAM, consultez la section Authentification àAWS facteurs multiples dans IAM dans le guide de l'utilisateur.Gestion des identités et des accès AWS