Identity and Access Management pour Amazon VPC - Amazon Virtual Private Cloud
Public cibléS'authentifier avec des identitésGérer l'accès à l'aide de stratégies

Identity and Access Management pour Amazon VPC

AWS Identity and Access Management (IAM) est un Service AWS qui aide un administrateur à contrôler en toute sécurité l’accès aux ressources AWS. Des administrateurs IAM contrôlent les personnes qui peuvent être authentifiées (connectées) et autorisées (disposant d'autorisations) pour utiliser des ressources Amazon VPC. IAM est un Service AWS que vous pouvez utiliser sans frais supplémentaires.

Table des matières

Public ciblé

Votre utilisation d'AWS Identity and Access Management (IAM) diffère selon la tâche que vous accomplissez dans Amazon VPC.

Utilisateur du service : Si vous utilisez le service Amazon VPC pour effectuer vos tâches, votre administrateur vous fournira les informations d'identification et les autorisations nécessaires. Vous pourrez avoir besoin d'autorisations supplémentaires si vous utilisez davantage de fonctionnalités Amazon VPC. Comprendre la gestion des accès peut vous aider à demander à votre administrateur les autorisations appropriées. Si vous ne pouvez pas accéder à une fonctionnalité dans Amazon VPC, veuillez consulter Résoudre les problèmes d'identité et d'accès Amazon VPC.

Administrateur du service : Si vous êtes le responsable des ressources Amazon VPC de votre entreprise, vous bénéficiez probablement d'un accès total à ce service. C'est à vous de déterminer les fonctionnalités et les ressources Amazon VPC auxquelles vos employés pourront accéder. Vous envoyez les demandes à votre administrateur IAM pour modifier les autorisations des utilisateurs du service. Consultez les informations sur cette page pour comprendre les concepts de base d'IAM. Pour découvrir la façon dont votre entreprise peut utiliser IAM avec Amazon VPC, veuillez consulter Fonctionnement d'Amazon VPC avec IAM.

Administrateur IAM : Si vous êtes un administrateur IAM, vous souhaiterez peut-être obtenir des informations sur la façon dont vous pouvez écrire des stratégies pour gérer l'accès à Amazon VPC. Pour afficher des exemples de stratégies, veuillez consulter Exemples de stratégie Amazon VPC.

S'authentifier avec des identités

L'authentification correspond au processus par lequel vous vous connectez à AWS via vos informations d'identification. Vous devez vous authentifier en tant qu’Utilisateur racine d'un compte AWS, en tant qu’utilisateur IAM ou en endossant un rôle IAM.

Vous pouvez vous connecter en tant qu’identité fédérée en utilisant les informations d’identification provenant d’une source d’identité telle que AWS IAM Identity Center (IAM Identity Center), l’authentification unique ou les informations d’identification Google/Facebook. Pour plus d’informations sur la connexion, consultez Connexion à votre Compte AWS dans le Guide de l’utilisateur Connexion à AWS.

Pour l’accès par programmation, AWS fournit un kit SDK et une CLI pour signer les demandes de manière cryptographique. Pour plus d’informations, consultez Signature AWS Version 4 pour les demandes d’API dans le Guide de l’utilisateur IAM.

Utilisateur racine Compte AWS

Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion nommée utilisateur racine du Compte AWS, qui bénéficie d’un accès complet à tous les Services AWS et toutes les ressources du compte. Il est vivement déconseillé d’utiliser l’utilisateur racine pour vos tâches quotidiennes. Pour les tâches qui requièrent des informations d’identification de l’utilisateur racine, consultez Tâches qui requièrent les informations d’identification de l’utilisateur racine dans le Guide de l’utilisateur IAM.

Utilisateurs et groupes IAM

Un utilisateur IAM est une identité qui dispose d’autorisations spécifiques pour une seule personne ou application. Nous vous recommandons d’utiliser ces informations d’identification temporaires au lieu des utilisateurs IAM avec des informations d’identification à long terme. Pour plus d’informations, consultez Exiger des utilisateurs humains qu’ils utilisent une fédération avec un fournisseur d’identité pour accéder à AWS en utilisant des informations d’identification temporaires dans le Guide de l’utilisateur IAM.

Les groupes IAM spécifient une collection d’utilisateurs IAM et permettent de gérer plus facilement les autorisations pour de grands ensembles d’utilisateurs. Pour plus d’informations, consultez la section Cas d’utilisation pour les utilisateurs IAM dans le Guide de l’utilisateur IAM.

Rôles IAM

Un rôle IAM est une identité dotée d’autorisations spécifiques qui fournit des informations d’identification temporaires. Pour endosser un rôle, passez d’un utilisateur à un rôle IAM (console) ou appelez une AWS CLI ou une opération d’API AWS. Pour plus d’informations, consultez Méthodes pour endosser un rôle dans le Guide de l’utilisateur IAM.

Les rôles IAM sont utiles pour l’accès des utilisateurs fédérés, les autorisations temporaires des utilisateurs IAM, les accès entre comptes, les accès entre services et les applications exécutées sur Amazon EC2. Pour plus d’informations, consultez Accès intercompte aux ressources dans IAM dans le Guide de l’utilisateur IAM.

Gérer l'accès à l'aide de stratégies

Vous contrôlez les accès dans AWS en créant des politiques et en les attachant à des identités AWS ou à des ressources. Une politique définit les autorisations lorsqu’elles sont associées à une identité ou une ressource. AWS évalue ces politiques lorsqu’un principal effectue une demande. La plupart des politiques sont stockées dans AWS en tant que documents JSON. Pour plus d’informations les documents de politique JSON, consultez Vue d’ensemble des politiques JSON dans le Guide de l’utilisateur IAM.

À l’aide de politiques, les administrateurs précisent qui a accès à quoi en définissant quel principal peut effectuer des actions sur quelles ressources et dans quelles conditions.

Par défaut, les utilisateurs et les rôles ne disposent d’aucune autorisation. Un administrateur IAM crée des politiques IAM et les ajoute aux rôles, que les utilisateurs peuvent ensuite assumer. Les politiques IAM définissent les autorisations quelle que soit la méthode que vous utilisez pour exécuter l’opération.

Politiques basées sur l’identité

Les stratégies basées sur l’identité sont des documents de stratégie d’autorisations JSON que vous attachez à une identité (utilisateur, groupe ou rôle). Ces politiques contrôlent les actions que peuvent exécuter ces identités, sur quelles ressources et dans quelles conditions. Pour découvrir comment créer une politique basée sur l’identité, consultez Définition d’autorisations IAM personnalisées avec des politiques gérées par le client dans le Guide de l’utilisateur IAM.

Les politiques basées sur l’identité peuvent être des politiques intégrées (intégrées directement dans une seule identité) ou des politiques gérées (politiques autonomes associées à plusieurs identités). Pour découvrir comment choisir entre des politiques gérées et en ligne, consultez Choix entre les politiques gérées et les politiques en ligne dans le Guide de l’utilisateur IAM.

Politiques basées sur les ressources

Les politiques basées sur les ressources sont des documents de politique JSON que vous attachez à une ressource. Les exemples incluent les politiques de confiance de rôle IAM et les politiques de compartiment Amazon S3. Dans les services qui sont compatibles avec les politiques basées sur les ressources, les administrateurs de service peuvent les utiliser pour contrôler l’accès à une ressource spécifique. Vous devez spécifier un principal dans une politique basée sur les ressources.

Les politiques basées sur les ressources sont des politiques en ligne situées dans ce service. Vous ne pouvez pas utiliser les politiques gérées par AWS depuis l’IAM dans une politique basée sur une ressource.

Listes de contrôle d’accès (ACL)

Les listes de contrôle d’accès (ACL) vérifie quels principaux (membres de compte, utilisateurs ou rôles) ont l’autorisation d’accéder à une ressource. Les listes de contrôle d’accès sont similaires aux politiques basées sur les ressources, bien qu’elles n’utilisent pas le format de document de politique JSON.

Amazon S3, AWS WAF et Amazon VPC sont des exemples de services prenant en charge les ACL. Pour en savoir plus sur les listes de contrôle d’accès, consultez Vue d’ensemble des listes de contrôle d’accès (ACL) dans le Guide du développeur Amazon Simple Storage Service.

Autres types de politique

AWS prend en charge des types de politiques supplémentaires qui peuvent définir le nombre maximum d’autorisations qui vous sont accordées par des types de politiques plus courants :

  • Limites d’autorisations : une limite des autorisations définit le nombre maximum d’autorisations qu’une politique basée sur l’identité peut accorder à une entité IAM. Pour plus d’informations, consultez Limites d’autorisations pour des entités IAM dans le Guide de l’utilisateur IAM.

  • Politiques de contrôle de service (SCP) : spécifient les autorisations maximales pour une organisation ou une unité organisationnelle dans AWS Organizations. Pour plus d’informations, veuillez consulter Politiques de contrôle de service du Guide de l’utilisateur AWS Organizations.

  • Politiques de contrôle des ressources (RCP) : définissent les autorisations maximales disponibles pour les ressources de votre organisation. Pour plus d’informations, consultez Politiques de contrôle des ressources (RCP) dans le Guide de l’utilisateur AWS Organizations.

  • Politiques de session : politiques avancées que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Pour plus d’informations, consultez Politiques de session dans le Guide de l’utilisateur IAM.

Plusieurs types de politique

Lorsque plusieurs types de politiques s’appliquent à la requête, les autorisations en résultant sont plus compliquées à comprendre. Pour découvrir la façon dont AWS détermine s'il convient d'autoriser une demande en présence de plusieurs types de stratégies, veuillez consulter Logique d'évaluation de stratégies dans le Guide de l'utilisateur IAM.