

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Qu'est-ce que la gestion des accès ?
<a name="what-is-access-mgmt"></a>

La gestion des accès permet à AMS de protéger vos ressources en n'autorisant que les accès autorisés et authentifiés. AMS utilise un rôle d'utilisateur et un profil d'instance IAM par défaut, ainsi qu'une authentification multifactorielle, des groupes de sécurité, des noms de bastions compatibles avec le DNS, etc. pour protéger vos ressources.

AMS se concentre sur trois types d'accès nécessitant une gestion :
+ Accès à la console : grâce à la fédération, les utilisateurs de l'Active Directory du compte peuvent accéder à la console à l'aide de l'authentification unique (SSO). Si l'authentification multifactorielle est configurée pour ces comptes, vous pouvez continuer à avoir besoin de l'authentification MFA pour accéder à la console.
+ Accès aux instances via RDP ou SSH : en s'appuyant sur une approbation Active Directory, les utilisateurs de l'Active Directory existant du compte peuvent demander l'accès à une instance, puis s'authentifier avec succès auprès d'un bastion et de l'instance en utilisant leurs informations d'identification d'entreprise existantes. Si l'authentification multifactorielle est configurée pour ces comptes, vous pouvez continuer à avoir besoin de la MFA pour demander l'accès à une instance. AMS utilise sa propre solution MFA pour restreindre l'accès des ingénieurs AMS aux instances.
+ Accès aux applications : varie selon les cas d'utilisation.

**Topics**
+ [Pourquoi et quand AMS accède à votre compte](access-justification.md)

# Pourquoi et quand AMS accède à votre compte
<a name="access-justification"></a>

AWS Managed Services (AMS) gère votre infrastructure AWS et parfois, pour des raisons spécifiques, les opérateurs et administrateurs AMS accèdent à votre compte. Ces événements d'accès sont documentés dans vos journaux AWS CloudTrail (CloudTrail).

Pourquoi, quand et comment AMS accède à votre compte sont expliqués dans les rubriques suivantes.

## Déclencheurs d'accès au compte client AMS
<a name="access-mgmt-triggers"></a>

L'activité d'accès au compte client AMS est déterminée par des déclencheurs. Les déclencheurs actuels sont les AWS tickets créés dans notre système de gestion des problèmes en réponse aux alarmes et aux événements d'Amazon CloudWatch (CloudWatch), ainsi que les rapports d'incidents ou les demandes de service que vous soumettez. Plusieurs appels de service et activités au niveau de l'hôte peuvent être effectués pour chaque accès. 

La justification de l'accès, les déclencheurs et l'initiateur du déclencheur sont répertoriés dans le tableau suivant.


**déclencheurs d'accès**  
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/access-justification.html)

## Accès au compte client AMS \$1 Rôles IAM
<a name="access-mgmt-iam-roles"></a>

Lorsqu'il est déclenché, AMS accède aux comptes clients à l'aide de Gestion des identités et des accès AWS rôles (IAM). Comme pour toutes les activités de votre compte, les rôles et leur utilisation sont connectés CloudTrail.

**Important**  
Ne modifiez ni ne supprimez ces rôles.


**Rôles IAM pour l'accès AMS aux comptes clients**  
<a name="iam-access-roles-table"></a>[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/userguide/access-justification.html)

## Demande d'accès à une instance
<a name="req-instance-access"></a>

Pour accéder à une ressource, vous devez d'abord soumettre une demande de modification (RFC) pour cet accès. Vous pouvez demander deux types d'accès : administrateur (autorisations de lecture/écriture) et lecture seule (accès utilisateur standard). L'accès dure huit heures, par défaut. Ces informations sont obligatoires :
+ ID de pile, ou ensemble de piles IDs, pour l'instance ou les instances auxquelles vous souhaitez accéder.
+ Le nom de domaine complet de votre domaine approuvé par AMS.
+ Le nom d'utilisateur Active Directory de la personne qui souhaite y accéder.
+ L'ID du VPC où se trouvent les piles auxquelles vous souhaitez accéder.

Une fois que l'accès vous a été accordé, vous pouvez mettre à jour la demande selon vos besoins.

Pour des exemples de demande d'accès, voir [Stack Admin Access \$1 Grant](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-admin-access-grant.html) ou [Stack Read-only Access \$1](https://docs.aws.amazon.com/managedservices/latest/ctref/management-access-stack-read-only-access-grant.html) Grant.