Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Utilisation de clés AWS d'accès pour l'authentification AWS SDKs et d'outils
<a name="access-users"></a>

L'utilisation de clés d' AWS accès est une option d'authentification lors de l'utilisation AWS SDKs d'outils.

## Utiliser des identifiants à court terme
<a name="credentials-temporary"></a>

 Nous vous recommandons de configurer votre SDK ou outil à utiliser [Utilisation d'IAM Identity Center pour authentifier le AWS SDK et les outils](access-sso.md) pour utiliser les options de durée de session prolongée. 

Toutefois, pour configurer directement les informations d'identification temporaires du SDK ou de l'outil, consultez[Utilisation d'informations d'identification à court terme pour l'authentification AWS SDKs et d'outilsInformations d’identification à court terme](access-temp-idc.md).

## Utilisez des identifiants à long terme
<a name="credentials-long-term"></a>

**Avertissement**  
Afin d’éviter les risques de sécurité, n’employez pas les utilisateurs IAM pour l’authentification lorsque vous développez des logiciels spécialisés ou lorsque vous travaillez avec des données réelles. Préférez la fédération avec un fournisseur d’identité tel que [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

### Gérez l'accès à travers Comptes AWS
<a name="manage-access-accounts"></a>

En tant que bonne pratique en matière de sécurité, nous vous recommandons AWS Organizations d'utiliser IAM Identity Center pour gérer l'accès de tous vos Comptes AWS utilisateurs. Pour plus d’informations, consultez [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) dans le *Guide de l’utilisateur IAM*.

Vous pouvez créer des utilisateurs dans IAM Identity Center, utiliser Microsoft Active Directory, utiliser un fournisseur d'identité (IdP) SAML 2.0 ou fédérer individuellement votre IdP avec. Comptes AWS En utilisant l'une de ces approches, vous pouvez proposer une expérience d'authentification unique à vos utilisateurs. Vous pouvez également appliquer l'authentification multifactorielle (MFA) et utiliser des informations d'identification Compte AWS temporaires pour l'accès. Cela diffère d'un utilisateur IAM, qui est un identifiant à long terme qui peut être partagé et qui peut augmenter le risque de sécurité pour vos AWS ressources.

### Création d'utilisateurs IAM pour les environnements sandbox uniquement
<a name="create-iam-user-sandbox"></a>

Si vous débutez dans ce domaine AWS, vous pouvez créer un utilisateur IAM de test, puis l'utiliser pour exécuter des didacticiels et découvrir ce qui AWS a à offrir. Vous pouvez utiliser ce type d'identifiant lorsque vous apprenez, mais nous vous recommandons d'éviter de l'utiliser en dehors d'un environnement sandbox.

Pour les cas d'utilisation suivants, il peut être judicieux de commencer avec les utilisateurs IAM dans AWS :
+ Démarrage avec votre AWS SDK ou outil et exploration Services AWS dans un environnement sandbox.
+ Exécution de scripts, de tâches et d'autres processus automatisés planifiés qui ne prennent pas en charge un processus de connexion assisté par un humain dans le cadre de votre apprentissage.

Si vous utilisez des utilisateurs IAM en dehors de ces cas d'utilisation, passez à IAM Identity Center ou fédérez votre fournisseur d'identité Comptes AWS dès que possible. Pour plus d'informations, consultez la section [Fédération des identités dans AWS](https://aws.amazon.com/identity/federation/).

### Clés d'accès utilisateur IAM sécurisées
<a name="secure-iam-access-keys"></a>

Vous devez régulièrement alterner les clés d'accès utilisateur IAM. Suivez les instructions de la section [Rotation des touches d'accès](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) du *guide de l'utilisateur IAM*. Si vous pensez avoir accidentellement partagé vos clés d'accès utilisateur IAM, faites pivoter vos clés d'accès.

Les clés d'accès utilisateur IAM doivent être stockées dans le AWS `credentials` fichier partagé sur la machine locale. Ne stockez pas les clés d'accès utilisateur IAM dans votre code. N'incluez aucun fichier de configuration contenant vos clés d'accès utilisateur IAM dans un logiciel de gestion de code source. Des outils externes, tels que le projet open source [git-secrets](https://github.com/awslabs/git-secrets), peuvent vous aider à éviter de transférer par inadvertance des informations sensibles dans un dépôt Git. Pour plus d’informations, consultez [Identités IAM (utilisateurs, groupes et rôles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) dans le *Guide de l’utilisateur  IAM*.

Pour configurer un utilisateur IAM pour qu'il démarre, voir[Utilisation d'informations d'identification à long terme pour l'authentification AWS SDKs et d'outils](access-iam-users.md).

# Utilisation d'informations d'identification à court terme pour l'authentification AWS SDKs et d'outils
<a name="access-temp-idc"></a>

 Nous vous recommandons de configurer votre AWS SDK ou votre outil pour l'utiliser [Utilisation d'IAM Identity Center pour authentifier le AWS SDK et les outils](access-sso.md) avec des options de durée de session prolongée. Toutefois, vous pouvez copier et utiliser les informations d'identification temporaires disponibles sur le portail AWS d'accès. De nouvelles informations d’identification devront être copiées à leur expiration. Vous pouvez utiliser les informations d’identification temporaires dans un profil ou les utiliser comme valeurs pour les propriétés système et les variables d’environnement.

Bonne pratique : au lieu de gérer manuellement les clés d'accès et un jeton dans le fichier d'informations d'identification, nous recommandons que votre application utilise des informations d'identification temporaires fournies par : 
+ Un service de AWS calcul, tel que l'exécution de votre application sur Amazon Elastic Compute Cloud ou dans AWS Lambda.
+ Une autre option de la chaîne des fournisseurs d'informations d'identification, telle que[Utilisation d'IAM Identity Center pour authentifier le AWS SDK et les outils](access-sso.md).
+ Vous pouvez également utiliser le [Fournisseur d'identifiants de processus](feature-process-credentials.md) pour récupérer des informations d'identification temporaires.

**Configuration d'un fichier d'informations d'identification à l'aide d'informations d'identification à court terme extraites du portail AWS d'accès**

1. [Créez un fichier d'informations d'identification partagé](https://docs.aws.amazon.com/sdkref/latest/guide/file-location.html).

1. Dans le fichier d'informations d'identification, collez le texte d'espace réservé suivant jusqu'à ce que vous y colliez des informations d'identification temporaires fonctionnelles.

   ```
   [default]
   aws_access_key_id=<value from AWS access portal>
   aws_secret_access_key=<value from AWS access portal>
   aws_session_token=<value from AWS access portal>
   ```

1. Enregistrez le fichier. Le fichier `~/.aws/credentials` devrait maintenant exister sur votre système de développement local. Ce fichier contient le [profil [par défaut]](https://docs.aws.amazon.com/sdkref/latest/guide/file-format.html#file-format-profile) utilisé par le SDK ou l'outil si aucun profil nommé spécifique n'est spécifié. 

1. [Connectez-vous au portail d' AWS accès](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosignin.html).

1. Suivez ces instructions pour l'[actualisation manuelle des informations d'identification](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtogetcredentials.html#how-to-get-temp-credentials) afin de copier les informations d'identification du rôle IAM depuis le portail d' AWS accès.

   1. Pour l'étape 4 des instructions liées, choisissez le nom du rôle IAM qui accorde l'accès pour vos besoins de développement. Ce rôle porte généralement un nom tel que **PowerUserAccess**« **Développeur** ».

   1. Pour l'étape 7 des instructions liées, sélectionnez l'option **Ajouter manuellement un profil à votre fichier AWS d'informations d'identification** et copiez le contenu.

1. Collez les informations d'identification copiées dans votre `credentials` fichier local. Le nom de profil généré n'est pas nécessaire si vous utilisez le `default` profil. Votre fichier doit ressembler à ce qui suit.

   ```
   [default]
   aws_access_key_id=AKIAIOSFODNN7EXAMPLE
   aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   aws_session_token=IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZ2luX2IQoJb3JpZVERYLONGSTRINGEXAMPLE
   ```

1. Enregistrez le fichier `credentials`.

Lorsque le kit SDK crée un client de service, il accède à ces informations d’identification temporaires et les utilise pour chaque demande. Les paramètres du rôle IAM choisi à l'étape 5a déterminent [la durée de validité des informations d'identification temporaires](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtosessionduration.html). La durée maximale est de douze heures.

Une fois les informations d'identification temporaires expirées, répétez les étapes 4 à 7.

# Utilisation d'informations d'identification à long terme pour l'authentification AWS SDKs et d'outils
<a name="access-iam-users"></a>

**Avertissement**  
Afin d’éviter les risques de sécurité, n’employez pas les utilisateurs IAM pour l’authentification lorsque vous développez des logiciels spécialisés ou lorsque vous travaillez avec des données réelles. Préférez la fédération avec un fournisseur d’identité tel que [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html).

Si vous utilisez un utilisateur IAM pour exécuter votre code, le SDK ou l'outil de votre environnement de développement s'authentifie en utilisant les informations d'identification utilisateur IAM à long terme dans le fichier partagé. AWS `credentials` Consultez la rubrique [Bonnes pratiques de sécurité dans IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) et passez à IAM Identity Center ou à d'autres informations d'identification temporaires dès que possible.

## Avertissements et conseils importants concernant les informations d'identification
<a name="iam-warnings-and-guidelines"></a>

**Avertissements concernant les informations d'identification**
+ ***N'utilisez PAS*** les informations d'identification root de votre compte pour accéder aux ressources AWS . Ces informations d’identification offrent un accès illimité au compte et sont difficiles à révoquer.
+ ***N’incluez PAS*** de clés d’accès littérales ou d’informations d’identification dans vos fichiers d’application. Vous risqueriez en effet d’exposer accidentellement vos informations d’identification si, par exemple, vous chargiez le projet sur un référentiel public.
+ ***N’incluez PAS*** de fichiers contenant des informations d’identification dans votre zone de projet.
+ Sachez que toutes les informations d'identification stockées dans le AWS `credentials` fichier partagé sont stockées en texte brut.

**Conseils supplémentaires pour gérer les informations d'identification en toute sécurité**

Pour une discussion générale sur la manière de gérer les AWS informations d'identification en toute sécurité, consultez la section [Meilleures pratiques pour la gestion des clés AWS d'accès](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html) dans le [Références générales AWS](https://docs.aws.amazon.com/general/latest/gr/). En plus de cette discussion, envisagez de prendre les mesures suivantes :
+ Utilisez des [rôles IAM](https://docs.aws.amazon.com/AmazonECS/latest/developerguide/task-iam-roles.html) pour les tâches Amazon Elastic Container Service (Amazon ECS).
+ Utilisez des [rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) pour les applications qui s'exécutent sur des instances Amazon EC2.

## Prérequis : créer un compte AWS
<a name="signup"></a>

Pour utiliser un utilisateur IAM pour accéder aux AWS services, vous avez besoin d'un AWS compte et d' AWS informations d'identification.

1. **Créez un compte.**

   Pour créer un AWS compte, consultez [Commencer : êtes-vous un nouvel AWS utilisateur ?](https://docs.aws.amazon.com/accounts/latest/reference/welcome-first-time-user.html) dans le *guide Gestion de compte AWS de référence*.

1. **Créez un utilisateur administratif.**

   Évitez d'utiliser votre compte utilisateur root (le compte initial que vous créez) pour accéder à la console de gestion et aux services. Au lieu de cela, créez un compte utilisateur administratif, comme décrit à la section [Création d'un utilisateur administratif](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-set-up.html#create-an-admin) du *Guide de l’utilisateur IAM*.

   Après avoir créé le compte utilisateur administratif et enregistré les informations de connexion, **veillez à vous déconnecter de votre compte utilisateur root** et reconnectez-vous à l'aide du compte administratif.

Aucun de ces comptes n'est approprié pour le développement AWS ou l'exécution d'applications AWS. La meilleure pratique consiste à créer des utilisateurs, des ensembles d'autorisations ou des rôles de service adaptés à ces tâches. Pour en savoir plus, consultez [Appliquer les autorisations de moindre privilège](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) dans le *Guide de l’utilisateur IAM*.

## Étape 1 : création de votre utilisateur IAM
<a name="step1authIamUser"></a>
+ Créez votre utilisateur IAM en suivant la procédure [Création d’utilisateurs IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_create.html#id_users_create_console) du *Guide de l’utilisateur IAM*. Lors de la création de votre utilisateur IAM :
  + Nous vous recommandons de sélectionner **Fournir un accès utilisateur au AWS Management Console**. Cela vous permet d'afficher les Services AWS informations relatives au code que vous exécutez dans un environnement visuel, par exemple en consultant les journaux de AWS CloudTrail diagnostic ou en téléchargeant des fichiers sur Amazon Simple Storage Service, ce qui est utile lors du débogage de votre code.
  + Pour **Définir les autorisations** - **Options d'autorisation**, sélectionnez **Joindre directement les politiques** pour définir la manière dont vous souhaitez attribuer les autorisations à cet utilisateur. 
    + La plupart des didacticiels du kit SDK « Démarrage » utilisent le service Amazon S3 comme exemple. Pour fournir à votre application un accès complet à Amazon S3, sélectionnez la politique `AmazonS3FullAccess` à attacher à cet utilisateur.
  + Vous pouvez ignorer les étapes facultatives de cette procédure concernant la définition des limites d'autorisation ou des balises. 

## Étape 2 : récupération de vos clés d’accès
<a name="stepGetKeys"></a>

1. Dans le volet de navigation de la console IAM, sélectionnez **Utilisateurs**, puis le **User name** de l’utilisateur que vous avez créé précédemment.

1. Sur la page de l’utilisateur, sélectionnez la page **Informations d’identification de sécurité**. Ensuite, sous **Clés d’accès**, sélectionnez **Créer une clé d’accès**.

1. Pour l'**étape 1 de création d'une clé d'accès**, choisissez soit **l'interface de ligne de commande (CLI)**, soit **le code local**. Les deux options génèrent le même type de clé à utiliser à la fois avec le AWS CLI et le SDKs.

1. Pour **Créer une clé d’accès – Étape 2**, saisissez une balise facultative, puis cliquez sur **Suivant**.

1. Pour **Créer une clé d’accès – Étape 3**, sélectionnez **Télécharger le fichier .csv** afin d’enregistrer le fichier `.csv` contenant la clé d’accès et la clé d’accès secrète de l’utilisateur IAM. Vous aurez besoin de ces informations ultérieurement.
**Avertissement**  
Utilisez les mesures de sécurité appropriées pour protéger ces informations d'identification.

1. Sélectionnez **Done (Terminé)**. 

## Étape 3 : mettre à jour le `credentials` fichier partagé
<a name="stepauthIamUser"></a>

1. Créez ou ouvrez le fichier AWS `credentials` partagé. Ce fichier est `~/.aws/credentials` sous Linux et macOS, et `%USERPROFILE%\.aws\credentials` sous Windows. Pour plus d'informations, voir [Emplacement des fichiers d'informations d'identification](https://docs.aws.amazon.com/credref/latest/refdocs/file-location.html).

1. Ajoutez le texte suivant au fichier `credentials` partagé. Remplacez l'exemple de valeur d'ID et l'exemple de valeur de clé par les valeurs du `.csv` fichier que vous avez téléchargé précédemment. 

   ```
   [default]
   aws_access_key_id = AKIAIOSFODNN7EXAMPLE
   aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
   ```

   

1. Enregistrez le fichier.

Le `credentials` fichier partagé est le moyen le plus courant de stocker les informations d'identification. Elles peuvent également être définies en tant que variables d'environnement, voir [AWS clés d'accès](feature-static-credentials.md) pour les noms des variables d'environnement. C'est une façon de démarrer, mais nous vous recommandons de passer à IAM Identity Center ou à d'autres informations d'identification temporaires dès que possible. Après avoir cessé d'utiliser des informations d'identification à long terme, pensez à supprimer ces informations d'identification du `credentials` fichier partagé.