Qu’est-ce qu’un utilisateur IAM?
AWS IAM est au cœur de la sécurité d’AWS car il vous permet de contrôler l’accès en créant des utilisateurs et des groupes, en attribuant des autorisations et des stratégies spécifiques à des utilisateurs spécifiques, en gérant les clés d’accès racine, en configurant l’authentification à plusieurs facteurs pour une sécurité accrue, et bien plus encore. Et, pour couronner le tout, IAM est entièrement gratuit!
AWS Identity And Access Management
IAM est une mesure de sécurité préventive.
Il a la capacité de créer et de gérer des utilisateurs et des groupes AWS, ainsi que d’utiliser des autorisations pour accorder ou refuser l’accès aux ressources AWS.
IAM porte sur quatre concepts: les utilisateurs, les groupes, les rôles et les stratégies.
Il gère les ressources API centralisées et à granularité fine, ainsi qu’une console de gestion.
Vous pouvez contrôler les opérations qu’un utilisateur ou un rôle peut effectuer sur les ressources AWS en spécifiant des autorisations.
L’accès à la Console de gestion AWS, à l’API AWS et à l’Interface de ligne de commande AWS est fourni par le service IAM (CLI).
Caractéristiques clés d’AWS IAM
Nous devrions considérer IAM comme la première étape pour garantir la sécurité de toutes vos administrations et ressources AWS.
- Authentification:
AWS IAM vous permet de créer et de gérer des identités telles que des utilisateurs, des groupes et des rôles, vous permettant d’émettre et de valider des autorisations pour les ressources, les individus, les services et les applications au sein de votre compte AWS.
- Autorisation:
Dans IAM, l’accès aux exécutifs ou l’autorisation est composé de deux composants critiques: les stratégies et les autorisations.
- Autorisations à granularité fine:
Considérez ceci: vous devez donner au groupe commercial de votre organisation un accès aux données de facturation, mais vous devez également donner au groupe informatique un accès complet au service EC2 et au groupe marketing un accès à des compartiments S3 spécifiques. Vous pouvez concevoir et ajuster ces autorisations en utilisant IAM pour répondre aux besoins de vos clients.
- Accès commun aux comptes AWS:
La plupart des organisations ont plusieurs comptes AWS et doivent parfois attribuer des autorisations entre eux. IAM vous permet de le faire sans partager vos identifiants, et AWS a récemment lancé ControlTower pour rationaliser davantage les configurations multi-comptes.
- AWS Organizations:
Vous pouvez utiliser AWS Organizations pour diviser les comptes en groupes et attribuer des limites d’autorisation pour un contrôle granulaire sur plusieurs comptes AWS.
- Fédération d’identité:
Dans de nombreux cas, votre organisation doit combiner l’accès à partir d’autres fournisseurs d’identité, tels que Okta, G Suite ou Active Directory. La fédération d’identité, une fonctionnalité d’IAM, vous permet de le faire.
Utilisateurs IAM
Les utilisateurs IAM peuvent être des individus, des systèmes ou des applications nécessitant des services AWS.
Un compte d’utilisateur est composé d’un nom unique et de justificatifs de sécurité tels qu’un mot de passe, une clé d’accès et/ou une authentification multifactorielle (MFA).
• Les utilisateurs IAM n’ont besoin de mots de passe que lorsqu’ils accèdent à la Console de gestion AWS.
• Stratégies IAM
Les groupes IAM sont un moyen d’attribuer des autorisations aux unités logiques et fonctionnelles de votre organisation. Les groupes IAM sont un outil pour aider à l’efficacité opérationnelle, à la gestion des autorisations en masse (évolutif) et aux modifications faciles des autorisations lorsque les individus changent d’équipe (portable).
Un groupe peut avoir de nombreux utilisateurs et un utilisateur peut être membre de plusieurs groupes.
Les groupes ne peuvent pas être imbriqués; ils ne peuvent contenir que des utilisateurs et non d’autres groupes.
Rôles IAM
Un rôle IAM, tout comme un utilisateur, est une identité AWS avec des stratégies d’autorisation régissant ce que l’identité peut et ne peut pas faire dans AWS.
Pour un accès spécifique à des services, vous pouvez autoriser des rôles à être assumés par des humains, des instances Amazon EC2, un code personnalisé ou d’autres services AWS.
Les rôles ne disposent pas d’informations d’identification à long terme standard associées, telles qu’un mot de passe ou des clés d’accès; plutôt, lorsque vous assumez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle.
AWS IAM Access Analyzer
Faites-vous une faveur et commencez à utiliser l’analyseur d’accès IAM pour la sécurité organisationnelle si vous avez deux comptes AWS ou plus. L’analyseur d’accès affiche toutes les ressources AWS accessibles en dehors de votre organisation AWS.
L’IAM Access Analyzer surveille en continu les stratégies de ressources pour les modifications, ce qui évite de devoir effectuer des vérifications manuelles sporadiques pour détecter les problèmes lors de l’ajout ou de la mise à jour des stratégies.
Il vous permet de créer un rapport complet pour toutes vos ressources AWS accessibles publiquement en utilisant Access Analyzer.
Access Analyzer fait partie de l’initiative de sécurité vérifiable d’Amazon visant à atteindre les plus hauts niveaux de sécurité en utilisant des technologies de raisonnement automatisé et de raisonnement analytique.