Gestion des clés d’accès pour les utilisateurs IAM

Important

Les bonnes pratiques consistent à utiliser des informations d'identification de sécurité temporaires (comme des rôles IAM) plutôt que de créer des informations d'identification à long terme comme des clés d'accès. Avant de créer des clés d'accès, passez en revue les alternatives aux clés d'accès à long terme.

Les clés d'accès sont les informations d'identification à long terme d'un utilisateur IAM ou du Utilisateur racine d'un compte AWS. Vous pouvez utiliser des clés d'accès pour signer des demandes par programmation auprès de l’interface AWS CLI ou de l'API AWS (directement ou à l'aide du kit SDK AWS). Pour de plus amples informations, consultez Accès par programmation avec des informations d’identification de sécurité AWS.

Les clés d'accès se composent de deux parties : un ID de clé d'accès (par exemple, AKIAIOSFODNN7EXAMPLE) et une clé d'accès secrète (par exemple, wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY). Vous devez utiliser à la fois l'ID de la clé d'accès et la clé d'accès secrète pour authentifier vos demandes.

Lorsque vous créez une paire de clé d'accès, enregistrez l'ID de clé d'accès et la clé d'accès secrète dans un emplacement sécurisé. La clé d’accès secrète ne peut être récupérée qu’au moment de sa création. Si vous perdez votre clé d'accès secrète, vous devez supprimer la clé d'accès et en créer une nouvelle. Pour plus d’informations, consultez Mise à jour des clés d’accès.

Vous pouvez avoir un maximum de deux clés d'accès par utilisateur.

Important

Les utilisateurs IAM dotés de clés d’accès constituent un risque pour la sécurité des comptes. Gérez vos clés d'accès en toute sécurité. Ne communiquez pas vos clés d'accès à des tiers non autorisés, même pour vous aider à trouver les identifiants de votre compte. En effet, vous lui accorderiez ainsi un accès permanent à votre compte.

Lorsque vous utilisez des clés d’accès, soyez conscient de ce qui suit :

N’utilisez PAS les informations d’identification racine de votre compte pour créer des clés d’accès.
N’incluez PAS de clés d’accès ou d’informations d’identification dans vos fichiers d’application.
N’incluez PAS de fichiers contenant des clés d’accès ou des informations d’identification dans votre zone de projet.
Les clés d’accès ou les informations d’identification stockées dans le fichier d’informations d’identification AWS partagés sont stockées en texte clair.

Recommandations de surveillance

Après avoir créé les clés d’accès :

Utilisez AWS CloudTrail pour surveiller l’utilisation des clés d’accès et détecter toute tentative d’accès non autorisée. Pour de plus amples informations, consultez Journalisation des appels d'API AWS STS et IAM avec AWS CloudTrail.
Configurez des alarmes CloudWatch pour avertir les administrateurs des tentatives d’accès refusées afin de faciliter la détection des activités malveillantes. Pour plus d’informations, consultez le Guide de l’utilisateur Amazon CloudWatch.
Vérifiez, mettez à jour et supprimez régulièrement les clés d’accès selon les besoins.

Les rubriques suivantes détaillent les tâches de gestion associées aux clés d'accès.

Rubriques

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Modification par l'utilisateur IAM de son propre mot de passe

Contrôler l’utilisation des clés d’accès