Gestion des identités et des accès

La gestion des identités et des accès est un élément essentiel d’un programme de protection des informations. En effet, elle garantit que seuls les utilisateurs et les composants autorisés et authentifiés sont en mesure d’accéder à vos ressources, et uniquement comme vous le décidez. Par exemple, vous devez définir des principaux (c’est-à-dire les comptes, les utilisateurs, les rôles et les services qui peuvent effectuer des actions dans votre compte), élaborer des stratégies conformes à ces principaux et mettre en œuvre une gestion solide des informations d’identification. Ces éléments de gestion des privilèges constituent la base de l’authentification et de l’autorisation.

Dans AWS, la gestion des privilèges est principalement prise en charge par le service AWS Identity and Access Management (IAM), qui vous permet de contrôler l’accès des utilisateurs et l’accès par programmation aux services et ressources AWS. Vous devez appliquer des stratégies précises qui attribuent des autorisations à un utilisateur, un groupe, un rôle ou une ressource. Vous avez également la possibilité d’exiger des pratiques de mot de passe rigoureuses, telles que le niveau de complexité, qui vous évitent de réutiliser les mêmes et permet d’appliquer l’authentification multifactorielle (MFA). Vous pouvez utiliser la fédération avec votre service de répertoire existant. Pour les charges de travail qui exigent des systèmes qu’ils disposent d’un accès à AWS, IAM permet un accès sécurisé via des rôles, des profils d’instance, une fédération d’identité, et des informations d’identification temporaires.

Les questions suivantes sont axées sur ces quelques considérations liées à la sécurité.

SÉC 2 : comment gérer les identités des personnes et des machines ?
Il existe deux types d’identités que vous devez gérer dans le cadre de l’exploitation de charges de travail AWS sécurisées. La compréhension du type d’identité que vous devez gérer et pour lequel vous devez autoriser l’accès vous permet de vérifier que les identités appropriées ont accès aux ressources adéquates, dans les bonnes conditions. Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d’une identité pour accéder à vos environnements et applications AWS. Il s’agit de membres de votre organisation ou d’utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos ressources AWS via un navigateur web, une application client ou des outils de ligne de commande interactifs. Identités des machines : vos applications de service, outils opérationnels et charges de travail nécessitent une identité pour envoyer des demandes aux services AWS, par exemple pour lire des données. Ces identités incluent les machines qui s’exécutent dans votre environnement AWS, comme les instances Amazon EC2 ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d’un accès. De plus, vous pouvez avoir des machines en dehors de AWS qui ont besoin d’accéder à votre environnement AWS.

SÉC 2 : comment gérer les identités des personnes et des machines ?

Il existe deux types d’identités que vous devez gérer dans le cadre de l’exploitation de charges de travail AWS sécurisées. La compréhension du type d’identité que vous devez gérer et pour lequel vous devez autoriser l’accès vous permet de vérifier que les identités appropriées ont accès aux ressources adéquates, dans les bonnes conditions.

Identités humaines : vos administrateurs, développeurs, opérateurs et utilisateurs finaux ont besoin d’une identité pour accéder à vos environnements et applications AWS. Il s’agit de membres de votre organisation ou d’utilisateurs externes avec lesquels vous collaborez et qui interagissent avec vos ressources AWS via un navigateur web, une application client ou des outils de ligne de commande interactifs.

Identités des machines : vos applications de service, outils opérationnels et charges de travail nécessitent une identité pour envoyer des demandes aux services AWS, par exemple pour lire des données. Ces identités incluent les machines qui s’exécutent dans votre environnement AWS, comme les instances Amazon EC2 ou les fonctions AWS Lambda. Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d’un accès. De plus, vous pouvez avoir des machines en dehors de AWS qui ont besoin d’accéder à votre environnement AWS.

SÉC 3 : comment gérer les autorisations des personnes et des machines ?
Gérez les autorisations des identités de personnes et de machines qui nécessitent un accès à AWS ainsi qu’à votre charge de travail. Les autorisations régissent les ressources accessibles et les conditions d’accès.

Les informations d’identification ne doivent être partagées entre aucun utilisateur ou système. L’accès utilisateur doit être accordé via une approche de moindre privilège, en suivant différentes bonnes pratiques comme les exigences de mot de passe et l’application de l’authentification multifacteur. L’accès par programmation, y compris les appels d’API adressés aux services AWS, doit être exécuté à l’aide d’informations d’identification temporaires et à privilèges limités, telles que celles émises par le service AWS Security Token Service.

Les utilisateurs ont besoin d’un accès programmatique s’ils souhaitent interagir avec AWS en dehors de la AWS Management Console. La manière d’octroyer un accès par programmation dépend du type d’utilisateur qui accède à AWS.

Pour accorder aux utilisateurs un accès programmatique, choisissez l’une des options suivantes.

Quel utilisateur a besoin d’un accès programmatique ?	Pour	Par
Identité de la main-d’œuvre (Utilisateurs gérés dans IAM Identity Center)	Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour l’AWS CLI, consultez la rubrique Configuration de l’AWS CLI pour l’utilisation d’AWS IAM Identity Center dans le Guide de l’utilisateur AWS Command Line Interface. Pour les kits SDK et les outils AWS ainsi que les API AWS, consultez la rubrique Authentification IAM Identity Center dans le Guide de référence des kits SDK et des outils AWS.
IAM	Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.	Suivez les instructions de la section Utilisation d’informations d’identification temporaires avec des ressources AWS dans le Guide de l’utilisateur IAM.
IAM	(Non recommandé) Utilisez des informations d’identification à long terme pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.	Suivez les instructions de l’interface que vous souhaitez utiliser. Pour l’AWS CLI, consultez la rubrique Authentification à l’aide des informations d’identification d’utilisateur IAM dans le Guide de l’utilisateur AWS Command Line Interface. Pour les kits SDK et les outils AWS, consultez la rubrique Authentification à l’aide d’informations d’identification à long terme dans le Guide de référence des kits SDK et des outils AWS. Pour les API AWS, consultez la rubrique Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur IAM.

Quel utilisateur a besoin d’un accès programmatique ?

Pour

Par

Identité de la main-d’œuvre

(Utilisateurs gérés dans IAM Identity Center)

Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Pour l’AWS CLI, consultez la rubrique Configuration de l’AWS CLI pour l’utilisation d’AWS IAM Identity Center dans le Guide de l’utilisateur AWS Command Line Interface.
Pour les kits SDK et les outils AWS ainsi que les API AWS, consultez la rubrique Authentification IAM Identity Center dans le Guide de référence des kits SDK et des outils AWS.

IAM

Utilisez des informations d’identification temporaires pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.

Suivez les instructions de la section Utilisation d’informations d’identification temporaires avec des ressources AWS dans le Guide de l’utilisateur IAM.

IAM

(Non recommandé)

Utilisez des informations d’identification à long terme pour signer des demandes par programmation destinées à la AWS CLI, aux AWS SDK ou aux API AWS.

Suivez les instructions de l’interface que vous souhaitez utiliser.

Pour l’AWS CLI, consultez la rubrique Authentification à l’aide des informations d’identification d’utilisateur IAM dans le Guide de l’utilisateur AWS Command Line Interface.
Pour les kits SDK et les outils AWS, consultez la rubrique Authentification à l’aide d’informations d’identification à long terme dans le Guide de référence des kits SDK et des outils AWS.
Pour les API AWS, consultez la rubrique Gestion des clés d’accès pour les utilisateurs IAM dans le Guide de l’utilisateur IAM.

AWS fournit des ressources qui peuvent vous aider avec la gestion des identités et des accès. Pour vous aider à découvrir les bonnes pratiques, explorez nos ateliers pratiques sur la gestion des informations d’identification et de l’authentification, le contrôle de l’accès humain et le contrôle de l’accès par programmation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Bases de la sécurité

Détection