Contrôler l’utilisation des clés d’accès en associant une politique en ligne à un utilisateur IAM

Nous recommandons, à titre de bonne pratique, que les charges de travail utilisent des informations d’identification temporaires avec des rôles IAM pour accéder à AWS. Les utilisateurs IAM disposant de clés d’accès doivent se voir attribuer un accès de moindre privilège et bénéficier d’une authentification multifactorielle (MFA). Pour plus d’informations sur l’endossement des rôles IAM, consultez Méthodes pour assumer un rôle.

Toutefois, si vous créez un test de validation d’un service d’automatisation ou un autre cas d’utilisation à court terme, et que vous choisissez d’exécuter des charges de travail à l’aide d’un utilisateur IAM disposant de clés d’accès, nous vous recommandons d’utiliser des conditions de politique pour restreindre davantage l’accès aux informations d’identification de cet utilisateur IAM.

Dans cette situation, vous pouvez soit créer une politique à durée limitée qui fait expirer les informations d’identification après le délai spécifié, soit, si vous exécutez une charge de travail à partir d’un réseau sécurisé, utiliser une politique de restriction IP.

Pour ces deux cas d’utilisation, vous pouvez utiliser une politique en ligne associée à l’utilisateur IAM qui dispose des clés d’accès.

Pour configurer une politique limitée dans le temps pour un utilisateur IAM

Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.
Dans le volet de navigation, choisissez Utilisateurs, puis sélectionnez l’utilisateur pour le cas d’utilisation à court terme. Si vous n’avez pas encore créé l’utilisateur, vous pouvez le créer maintenant.
Sur la page Détails de l’utilisateur, choisissez l’onglet Autorisations.
Sélectionnez Ajouter des autorisations, puis Créer la politique en ligne.
Dans la section Éditeur de politiques, sélectionnez JSON pour afficher l’éditeur JSON.
Dans l’éditeur JSON, saisissez la politique suivante en remplaçant la valeur de l’horodatage aws:CurrentTime par la date et l’heure d’expiration souhaitées :
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "DateGreaterThan": { "aws:CurrentTime": "2025-03-01T00:12:00Z" } } } ] }
Cette politique utilise l’effet Deny pour restreindre toutes les actions sur toutes les ressources après la date spécifiée. La condition DateGreaterThan compare l’heure actuelle avec l’horodatage que vous avez défini.
Sélectionnez Suivant pour accéder à la page Vérifier et créer. Dans Détails de la politique, sous Nom de la politique, saisissez un nom pour la politique, puis sélectionnez Créer une politique.

Une fois la politique créée, elle s’affiche dans l’onglet Autorisations de l’utilisateur. Lorsque l’heure actuelle est supérieure ou égale à l’heure spécifiée dans la politique, l’utilisateur n’aura plus accès aux ressources AWS. Veillez à informer les développeurs de charge de travail de la date d’expiration que vous avez spécifiée pour ces clés d’accès.

Pour configurer une politique de restriction IP pour un utilisateur IAM

Connectez-vous à la AWS Management Console, puis ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Dans le volet de navigation, sélectionnez Utilisateurs, puis sélectionnez l’utilisateur qui exécutera la charge de travail à partir du réseau sécurisé. Si vous n’avez pas encore créé l’utilisateur, vous pouvez le créer maintenant.
Sur la page Détails de l’utilisateur, choisissez l’onglet Autorisations.
Sélectionnez Ajouter des autorisations, puis Créer la politique en ligne.
Dans la section Éditeur de politiques, sélectionnez JSON pour afficher l’éditeur JSON.
Copiez la politique IAM suivante dans l’éditeur JSON et modifiez les adresses IPv4 ou IPv6 publiques, ou les plages, selon vos besoins. Vous pouvez utiliser https://checkip.amazonaws.com/ pour déterminer votre adresse IP publique actuelle. Vous pouvez spécifier des adresses IP individuelles ou des plages d’adresses IP à l’aide de la notation oblique. Pour de plus amples informations, consultez aws:SourceIp.

Note
Les adresses IP ne doivent pas être masquées par un VPN ou un serveur proxy.
JSON
{ "Version":"2012-10-17", "Statement": [ { "Sid":"IpRestrictionIAMPolicyForIAMUser", "Effect": "Deny", "Action": "*", "Resource": "*", "Condition": { "NotIpAddress": { "aws:SourceIp": [ "203.0.113.0/24", "2001:DB8:1234:5678::/64", "203.0.114.1" ] }, "BoolIfExists": { "aws:ViaAWSService": "false" } } } ] }
Cet exemple de politique refuse l’utilisation des clés d’accès d’un utilisateur IAM auquel cette politique s’applique, sauf si la demande provient des réseaux (spécifiés en notation CIDR) « 203.0.113.0/24 », « 2001:DB8:1234:5678::/64 » ou l’adresse IP spécifique « 203.0.114.1 ».
Sélectionnez Suivant pour accéder à la page Vérifier et créer. Dans Détails de la politique, sous Nom de la politique, saisissez un nom pour la politique, puis sélectionnez Créer une politique.

Une fois la politique créée, elle s’affiche dans l’onglet Autorisations de l’utilisateur.

Vous pouvez également appliquer cette politique en tant que politique de contrôle des services (SCP) à plusieurs comptes AWS. Dans AWS Organizations, nous vous recommandons d’utiliser une condition supplémentaire, aws:PrincipalArn afin que cette instruction de politique ne s’applique qu’aux utilisateurs IAM des comptes AWS soumis à cette SCP. La politique suivante inclut cette mise à jour :

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gérer des clés d'accès

Autorisations requises pour gérer les clés d'accès

Contrôler l’utilisation des clés d’accès en associant une politique en ligne à un utilisateur IAM

Pour configurer une politique limitée dans le temps pour un utilisateur IAM

Pour configurer une politique de restriction IP pour un utilisateur IAM

Note