En quoi consiste IAM ?

AWS Identity and Access Management (IAM) est un service web qui vous permet de contrôler l'accès aux ressources AWS. Avec IAM, vous pouvez gérer les autorisations qui contrôlent les ressources AWS auxquelles les utilisateurs peuvent accéder. Vous pouvez utiliser IAM pour contrôler les personnes qui s’authentifient (sont connectées) et sont autorisées (disposent d’autorisations) à utiliser des ressources. IAM fournit l'infrastructure nécessaire au contrôle de l'authentification et des autorisations de votre compte Comptes AWS.

Identités

Lorsque vous créez un Compte AWS, vous commencez avec une seule identité de connexion disposant d’un accès complet à tous les Services AWS et ressources du compte. Cette identité est appelée utilisateur racine du Compte AWS. Vous pouvez y accéder en vous connectant à l’aide de l’adresse électronique et du mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l’utilisateur racine pour vos tâches quotidiennes. Protégez vos informations d’identification d’utilisateur racine et utilisez-les pour effectuer les tâches que seul l’utilisateur racine peut effectuer. Pour obtenir la liste complète des tâches qui vous imposent de vous connecter en tant qu’utilisateur racine, consultez Tâches nécessitant des informations d’identification d’utilisateur racine dans le Guide de l’utilisateur IAM.

Utilisez IAM pour configurer d’autres identités en plus de votre utilisateur racine, telles que les administrateurs, les analystes et les développeurs, et leur accorder l’accès aux ressources dont ils ont besoin pour mener à bien leurs tâches.

Gestion des accès

Une fois qu’un utilisateur est configuré dans IAM, il utilise ses informations d’identification de connexion pour s’authentifier auprès d’AWS. L'authentification fonctionne en faisant correspondre les informations de connexion à un principal (un utilisateur IAM, un utilisateur fédéré, un rôle IAM ou une application) approuvé par le Compte AWS. Ensuite, une demande est effectuée pour accorder au principal l'accès aux ressources. L’accès est accordé en réponse à une demande d’autorisation si l’utilisateur a obtenu une autorisation pour accéder à la ressource. Par exemple, lorsque vous vous connectez à la console pour la première fois et que vous vous trouvez sur sa page d’accueil, vous n’accédez à aucun service spécifique. Lorsque vous sélectionnez un service, la demande d'autorisation est envoyée à ce service et celui-ci vérifie si votre identité figure sur la liste des utilisateurs autorisés, les stratégies appliquées pour contrôler le niveau d'accès accordé et toutes les autres stratégies susceptibles d'être en vigueur. Les demandes d'autorisation peuvent être effectuées par des principaux au sein de votre Compte AWS ou d'un autre Compte AWS approuvé.

Une fois autorisé, le principal peut prendre des mesures ou effectuer des opérations sur les ressources de votre Compte AWS. Par exemple, le principal peut lancer une nouvelle instance Amazon Elastic Compute Cloud, modifier l'appartenance à un groupe IAM ou supprimer des compartiments Amazon Simple Storage Service.

Astuce

AWS Training and Certification fournit une introduction vidéo de 10 minutes à IAM :

Introduction à AWS Identity and Access Management

Disponibilité du service

IAM, comme d'autres services AWS, est éventuellement cohérent. IAM garantit une haute disponibilité en répliquant les données sur plusieurs serveurs dans les centres de données d'Amazon du monde entier. Si une demande de modification de certaines données aboutit, la modification est validée et stockée en toute sécurité. En revanche, cette modification doit être répliquée dans IAM, ce qui peut prendre un certain temps. Les modifications peuvent être la création ou la mise à jour d'utilisateurs, de groupes, de rôles ou de politiques. Nous vous recommandons de ne pas inclure ce type de modifications IAM dans les chemins de code critique et haute disponibilité de votre application. Au lieu de cela, procédez aux modifications IAM dans une routine d'initialisation ou d'installation distincte que vous exécutez moins souvent. Veillez également à vérifier que les modifications ont été propagées avant que les processus de production en dépendent. Pour en savoir plus, consultez Les modifications que j'apporte ne sont pas toujours visibles immédiatement.

Informations sur les coûts des services

AWS Identity and Access Management (IAM), AWS IAM Identity Center et AWS Security Token Service (AWS STS) sont des fonctionnalités de votre compte AWS proposée sans frais supplémentaires. Vous êtes facturé uniquement lorsque vous accédez à d'autres services AWS au moyen de vos informations d'identification de sécurité temporaires d'utilisateurs IAM ou AWS STS.

L’analyseur d’accès IAM propose une analyse des accès externes sans frais supplémentaires. Cependant, des frais vous seront facturés pour les analyses des accès non utilisées et les vérifications des politiques des clients. Pour une liste complète des frais et des prix pour l’analyseur d’accès IAM, consultez la Tarification de l’analyseur d’accès IAM.

Pour obtenir des informations sur la tarification d'autres produits AWS, veuillez consulter la page de tarification Amazon Web Services.

Vous pouvez exploiter facilement d'autres services AWS

IAM est intégré à de nombreux services AWS. Pour obtenir la liste des services AWS qui fonctionnent avec IAM et les fonctionnalités IAM que les services prennent en charge, consultez Services AWS qui fonctionnent avec IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Pourquoi utiliser IAM ?