Qu’est-ce que l’IAM et comment fonctionne l’IAM dans AWS ?

IAM (Identity and Access Management) fait partie du service « Security, Identity, & Compliance » d’AWS (Amazon Web Services). Il nous permet de gérer l’accès aux services et ressources AWS en toute sécurité. Grâce à IAM, nous pouvons créer et gérer des utilisateurs, des groupes et des rôles AWS et utiliser des permissions pour autoriser ou refuser leur accès aux ressources AWS.

IAM est livré« sans frais supplémentaires » et nous ne sommes facturés que pour les autres services AWS que nous utilisons.

AWS IAM nous aide à :

  • Gérer les utilisateurs et leur accès :
    Nous pouvons créer des utilisateurs dans IAM, leur attribuer des identifiants de sécurité individuels. Nous pouvons gérer les permissions pour contrôler les opérations qu’un utilisateur peut effectuer ou non.
  • Gérer les rôles et leurs permissions :
    Nous pouvons créer des rôles dans IAM et gérer les permissions pour contrôler quelles opérations peuvent être effectuées par l’entité, ou le service AWS, qui assume le rôle.
  • Gérer les utilisateurs fédérés et leurs permissions :
    Nous pouvons activer la fédération d’identité pour permettre aux utilisateurs, groupes et rôles existants dans notre entreprise d’accéder au service AWS Management.

Pour comprendre le service IAM plus en détail, tu peux te référer à la documentation officielle d’AWS.

Dans cet article, nous verrons comment créer un utilisateur IAM, un groupe, un rôle IAM, attribuer une permission et créer une politique personnalisée.

Remarque : IAM n’appartient pas à une région particulière et s’étend sur l’ensemble du compte AWS.

Pré-requis

  1. Compte AWS (Créer si tu n’en as pas).

Ce que nous allons faire

  1. Connecte-toi à AWS.
  2. Créer un utilisateur IAM.
  3. Créer un groupe IAM et y ajouter un utilisateur.
  4. Créer un rôle IAM.
  5. Créer une politique IAM.

Connecte-toi à AWS

  1. Clique sur ici pour aller sur la page de connexion d’AWS.

Lorsque nous cliquons sur le lien ci-dessus, nous voyons apparaître une page Web comme suit où nous devons nous connecter à l’aide de nos informations de connexion.

Connexion à AWS

Une fois que nous nous sommes connectés à AWS avec succès, nous verrons la console principale avec tous les services répertoriés comme suit.

AWS Management Console

Créer un utilisateur IAM

Un utilisateur (IAM) est une entité que nous créons sur AWS pour représenter la personne ou l’application qui l’utilise pour interagir avec AWS. Un utilisateur dans AWS se compose d’un nom et d’informations d’identification.

Clique sur « Services » dans le coin supérieur gauche et tu verras un écran avec tous les services. Repère « IAM » sous « Sécurité, identité et conformité » et clique sur « IAM« .

Créer un utilisateur IAM

Tu verras un tableau de bord. C’est la page d’accueil d’IAM. Clique sur « Utilisateurs » dans le panneau de gauche.

Gestion d'identité et d'accès

Clique sur « Ajouter un utilisateur » pour créer un nouvel utilisateur.

Ajouter un utilisateur

Ici, donne un nom à l’utilisateur à créer. Nous pouvons créer un utilisateur avec deux types d’accès différents.

  1. Accès programmatique :
    Nous pouvons effectuer l’opération sur le compte AWS à partir de l’API AWS, du CLI, du SDK et d’autres outils de développement en utilisant ce type d’accès.
  2. Accès à la console de gestion AWS :
    Ce type d’accès permet de se connecter à l’AWS Management Console.

Dans cet article, nous allons créer un utilisateur ayant un « accès à la console de gestion AWS« .

Une fois que tu as cliqué sur « Accès à la console de gestion AWS« , tu obtiens un champ pour attribuer un mot de passe à l’utilisateur.

Nous pouvons choisir entre un « mot de passe généré automatiquement » et un « mot de passe personnalisé« . Ici, nous allons sélectionner « Mot de passe personnalisé » et attribuer un mot de passe à l’utilisateur. Selon les besoins, nous pouvons obliger un utilisateur à changer son mot de passe lors de sa prochaine connexion. Ici, garde-le tel quel. Clique sur « Suivant : Permission » pour continuer et attribuer les permissions.

Définir les détails de l'utilisateur

Sur l’écran suivant, clique sur « Attacher directement les politiques existantes » et cherche « readonlyaccess » et coche la case comme indiqué dans l’écran suivant. En donnant « ReadOnlyAccess« , l’utilisateur ne pourra créer aucune des ressources AWS. Tu peux parcourir la liste des permissions pour les comprendre. Clique sur « Next : Étiquette » pour continuer.

Set Permissions

L’attribution de balises est facultative mais aide à organiser, suivre ou contrôler l’accès de cet utilisateur. Clique sur « Suivant : Revoir » pour continuer et créer un utilisateur.

Ajoute les tags

Vérifie la configuration et clique sur « Créer un utilisateur » pour créer un utilisateur.

Réviser les détails de l'utilisateur

Clique sur « Télécharger .csv » qui contient le « Lien de connexion à la console« . En cas de création d’un utilisateur avec un « accès programmé« , ce fichier est très important car il contient l' »ID de la clé d’accès » et la « clé d’accès secrète » nécessaires pour obtenir l’accès. Maintenant, tu peux cliquer sur « Fermer » car nous avons créé notre premier utilisateur.

L'utilisateur a été ajouté avec succès

Créer un rôle IAM

Un rôle IAM est une identité IAM que nous pouvons créer dans notre compte AWS et qui dispose de permissions spécifiques. Il est similaire à un utilisateur IAM avec des politiques de permission qui déterminent ce que l’identité peut et ne peut pas faire dans AWS. Le rôle IAM permet aux services AWS d’effectuer des actions en notre nom.

Sur la page d’accueil d’IAM, clique sur « Rôles » dans le panneau de gauche. Clique sur « Créer un rôle« .

Créer un rôle IAM

Dans cet article, nous allons créer un rôle pour le service Lambda. Clique sur « Lambda » et clique sur « Suivant : Permissions« .

Lamda > Permissions

Dans le champ de recherche, cherche « ec2readonlyaccess » et coche la case de la politique « AmazonEC2ReadyOnlyAccess« . Cela donnera un accès « en lecture seule » à la fonction Lambda sur le service EC2. Clique sur « Suivant : Balises« .

AmazonEC2ReadyOnlyAccess

L’ajout de balises est facultatif mais peut être utilisé pour organiser, suivre ou contrôler l’accès à ce rôle. Clique sur « Suivant : Révision » pour continuer.

Créer un rôle

Donne un nom au rôle, ajoute une description et clique sur « Créer un rôle« . Cela créera un rôle qui permettra aux fonctions Lambda d’appeler les services AWS en ton nom avec « ReadOnlyAccess » sur le service « EC2« .

Rôle en lecture seule

Crée un groupe IAM

Un groupe IAM est une collection d’utilisateurs IAM. Nous pouvons spécifier des autorisations pour plusieurs utilisateurs à l’aide de rôles, ce qui peut faciliter la gestion des autorisations pour ces utilisateurs.

Sur la page d’accueil d’IAM, clique sur « Groupes » dans le panneau de gauche. Clique sur « Créer un nouveau groupe« .

Créer un groupe IAM

Indique un nom et clique sur « Étape suivante « .

Définir le nom du groupe

Cherche « readonlyaccess« , fais défiler jusqu’en bas et coche la case. Clique sur « Étape suivante« .

Attache une politique

Vérifie la configuration et clique sur « Créer un groupe« .

Maintenant, nous avons un groupe avec « ReadOnlyAccess« , ce qui signifie que les utilisateurs appartenant à ce groupe n’auront qu’un accès en « lecture seule » aux ressources/services AWS.

Paramètres de révision

Retourne sur la page d’accueil IAM et sélectionne le groupe que nous venons de créer. Clique sur « Ajouter des utilisateurs au groupe » pour ajouter notre utilisateur à ce groupe.

Ajoute des utilisateurs au groupe

Sélectionne l’utilisateur que nous avons créé à l’étape précédente et clique sur « Ajouter des utilisateurs« . Cela ajoutera notre utilisateur au groupe que nous avons créé avec « ReadOnlyAccess« .

Utilisateurs en lecture seule

Crée une politique IAM

Une politique IAM est une entité qui est attachée à une identité ou à une ressource pour définir leurs permissions.

Sur la page d’accueil d’IAM, clique sur « Politiques » dans le panneau de gauche. Clique sur « Créer une politique« .

Créer une politique IAM

Clique sur « Service » pour sélectionner un service pour lequel la politique doit être créée. Recherche un service dans le champ de recherche et sélectionne le service.

Service

Tu obtiendras une liste des permissions qui peuvent être attribuées, ici sélectionne« Liste« . Clique sur « Réviser la politique« .

Politique de révision

Donne un nom à la politique et clique sur « Créer la politique« . Cette politique peut maintenant être attachée à un utilisateur pour lui donner uniquement des autorisations de type « Liste » sur le service EC2. Nous pouvons suivre les mêmes étapes que nous avons suivies pour joindre une politique en créant un utilisateur pour joindre cette politique.

Créer une nouvelle politique

Conclusion :

Dans cet article, nous avons créé un utilisateur, un rôle et leur avons attaché une politique, créé un groupe et y avons ajouté un utilisateur, créé une politique personnalisée qui peut être ajoutée à l’utilisateur.

Vous aimerez aussi...