Génération de rapports d’informations d’identification pour votre Compte AWS. - AWS Identity and Access Management
Autorisations requisesPrésentation du format du rapportObtention de rapports d'informations d'identification (console)Obtention de rapports d'informations d'identification (AWS CLI)Obtention de rapports sur les informations d'identification (API AWS )

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Génération de rapports d’informations d’identification pour votre Compte AWS.

Vous pouvez générer et télécharger un rapport sur les informations d'identification qui répertorie tous les utilisateurs de votre compte et le statut de leurs diverses informations d'identification, notamment leurs mots de passe, clés d'accès et dispositifs MFA. Vous pouvez obtenir un rapport d'identification à partir des AWS Management Consoleoutils de ligne de commande AWS SDKset ou de l'API IAM.

Vous pouvez utiliser les rapports sur les informations d'identification à des fins d'audit et de conformité. Vous pouvez utiliser les rapports pour auditer les effets des exigences en matière de cycle de vie des informations d'identification, comme la mise à jour de mot de passe et de clé d'accès. Vous pouvez fournir les rapports à un auditeur externe ou accorder des autorisations à un auditeur pour qu'il télécharge les rapports directement.

Vous pouvez générer un rapport sur les informations d'identification à quelques heures d'intervalle. Lorsque vous demandez un rapport, IAM vérifie d'abord si un rapport Compte AWS a été généré au cours des quatre dernières heures. Le cas échéant, le rapport le plus récent est téléchargé. Si le rapport le plus récent pour le compte a été généré il y a plus de quatre heures ou qu'il n'y a pas eu d'autres rapport généré précédemment pour le compte, IAM génère et télécharge un nouveau rapport.

Autorisations requises

Les autorisations suivantes sont nécessaires pour créer et télécharger des rapports :

  • Pour créer un rapport sur les informations d'identification : iam:GenerateCredentialReport

  • Pour télécharger le rapport : iam:GetCredentialReport

Présentation du format du rapport

Les rapports sur les informations d'identification sont formatés comme des fichiers CSV (valeurs séparées par une virgule). Vous pouvez ouvrir les fichiers CSV avec des logiciels de feuilles de calcul courants pour effectuer des analyses ou vous pouvez créer une application qui consomme les fichiers CSV par programmation et effectue des analyses personnalisées.

Le fichier CSV contient les colonnes suivantes :

user

Nom convivial de l'utilisateur.

arn

Amazon Resource Name (ARN) de l'utilisateur. Pour plus d'informations sur ARNs, voirIAM ARNs.

user_creation_time

Date et heure de création de l'utilisateur, au format de date et d'heure ISO 8601.

password_enabled

Lorsqu'un utilisateur dispose d'un mot de passe, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE. Cette valeur est FALSE pour les nouveaux comptes membres créés dans le cadre de votre organisation, car ils ne disposent pas des informations d’identification de l’utilisateur racine par défaut.

password_last_used

Date et heure auxquelles le mot de passe de l'utilisateur Utilisateur racine d'un compte AWS ou de l'utilisateur a été utilisé pour la dernière fois pour se connecter à un AWS site Web, au format date-heure ISO 8601. AWS les sites Web qui enregistrent l'heure de dernière connexion d'un utilisateur sont AWS Management Console les forums de AWS discussion et le AWS Marketplace. Quand un mot de passe est utilisé plusieurs fois dans un intervalle de 5 minutes, seule la première utilisation est enregistrée dans ce champ.

  • La valeur de ce champ est no_information dans les cas suivants :

    • Le mot de passe de l'utilisateur n'a jamais été utilisé.

    • Aucune donnée de connexion n'est associée au mot de passe, comme lorsque le mot de passe de l'utilisateur n'a pas été utilisé depuis le 20 octobre 2014, date de début du suivi de cette information par IAM.

  • La valeur de ce champ est N/A (non applicable) lorsque l'utilisateur ne dispose pas de mot de passe.

Important

En raison d'un problème de service, les données de dernière d'utilisation du mot de passe n'incluent pas l'utilisation du mot de passe entre le 3 mai 2018 et le 23 mai 2018 22:50 14:08 PDT (heure du Pacifique). Cela affecte les dates de dernière connexion affichées dans la console IAM et les dates de dernière utilisation du mot de passe dans le rapport d'identification IAM, et renvoyées par l'opération d'API. GetUser Si des utilisateurs se sont connectés au cours de la période concernée, la date de dernière d'utilisation du mot de passe renvoyée est la date de la dernière connexion de l'utilisateur avant le 3 mai 2018. Pour les utilisateurs qui se sont connectés après le 23 mai 2018 14:08 PDT, la date de dernière utilisation du mot de passe renvoyée est exacte.

Si vous utilisez les informations de dernière utilisation du mot de passe pour identifier les informations d'identification non utilisées à supprimer, par exemple en supprimant des utilisateurs qui ne se AWS sont pas connectés au cours des 90 derniers jours, nous vous recommandons d'ajuster votre fenêtre d'évaluation pour inclure les dates postérieures au 23 mai 2018. Par ailleurs, si vos utilisateurs utilisent des clés d'accès pour accéder AWS par programmation, vous pouvez vous référer aux dernières informations utilisées sur les clés d'accès, car elles sont exactes pour toutes les dates.

password_last_changed

Date et heure de la dernière définition du mot de passe de l'utilisateur, au format de date et d'heure ISO 8601. Si l'utilisateur ne dispose pas d'un mot de passe, la valeur de ce champ est N/A (non applicable).

password_next_rotation

Lorsque le compte dispose d'une politique de mot de passe qui nécessite la rotation du mot de passe, ce champ contient la date et l'heure, au format de date et d'heure ISO 8601, auxquelles l'utilisateur doit définir un nouveau mot de passe. La valeur de Compte AWS (root) est toujoursnot_supported.

mfa_active

Lorsqu'un périphérique d'authentification multi-facteur (MFA) a été activé pour l'utilisateur, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE.

access_key_1_active

Lorsque l'utilisateur dispose d'une clé d'accès et que l'état de celle-ci est Active, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE. S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM.

access_key_1_last_rotated

Date et heure, au format de date et d'heure ISO 8601, auxquelles la clé d'accès de l'utilisateur a été créée ou modifiée pour la dernière fois. Si l'utilisateur ne dispose pas d'une clé d'accès active, la valeur de ce champ est N/A (non applicable). S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM.

access_key_1_last_used_date

Date et heure, au format de date et d'heure ISO 8601, auxquelles la clé d'accès de l'utilisateur a été utilisée pour la dernière fois pour se connecter à une demande d'API AWS . Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM.

La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une clé d'accès.

  • La clé d'accès n'a jamais été utilisée.

  • La clé d'accès n'a pas été utilisée depuis le 22 avril 2015, date de début du suivi de cette information par IAM.

access_key_1_last_used_region

Région AWS dans laquelle la clé d'accès a été utilisée pour la dernière fois. Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM.

La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une clé d'accès.

  • La clé d'accès n'a jamais été utilisée.

  • La clé d'accès a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

  • Le dernier service utilisé n'est pas spécifique à une région, comme Amazon S3.

access_key_1_last_used_service

Le AWS service auquel vous avez accédé le plus récemment à l'aide de la clé d'accès. La valeur de ce champ utilise l'espace de noms du service, par exemple, pour Amazon s3 S3 et pour Amazon. ec2 EC2 Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM.

La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une clé d'accès.

  • La clé d'accès n'a jamais été utilisée.

  • La clé d'accès a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

access_key_2_active

Lorsque l'utilisateur dispose d'une seconde clé d'accès et que l'état de celle-ci est Active, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE. S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM.

Note

Les utilisateurs peuvent avoir jusqu'à deux clés d'accès, afin de faciliter la rotation en mettant d'abord à jour la clé, puis en supprimant la clé précédente. Pour plus d'informations sur la mise à jour des clés d'accès, veuillez consulter Mise à jour des clés d’accès.

access_key_2_last_rotated

Date et heure, au format de date et d'heure ISO 8601, de la création ou de la dernière mise à jour de la deuxième clé d'accès de l'utilisateur. Si l'utilisateur ne dispose pas d'une seconde clé d'accès active, la valeur de ce champ est N/A (non applicable). S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM.

access_key_2_last_used_date

Date et heure, au format date-heure ISO 8601, auxquelles la deuxième clé d'accès de l'utilisateur a été utilisée pour la dernière fois pour signer une AWS demande d'API. Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM.

La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une seconde clé d'accès.

  • La seconde clé d'accès de l'utilisateur n'a jamais été utilisée.

  • La seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

access_key_2_last_used_region

Région AWS dans laquelle la seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois. Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM. La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une seconde clé d'accès.

  • La seconde clé d'accès de l'utilisateur n'a jamais été utilisée.

  • La seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

  • Le dernier service utilisé n'est pas spécifique à une région, comme Amazon S3.

access_key_2_last_used_service

Le AWS service auquel l'utilisateur a accédé le plus récemment à l'aide de la deuxième clé d'accès. La valeur de ce champ utilise l'espace de noms du service, par exemple, pour Amazon s3 S3 et pour Amazon. ec2 EC2 Quand une clé d'accès est utilisée plusieurs fois dans un intervalle de 15 minutes, seule la première utilisation est enregistrée dans ce champ. S’applique à la fois à l’utilisateur racine du compte et aux utilisateurs IAM. La valeur de ce champ est N/A (non applicable) dans les cas suivants :

  • L'utilisateur ne dispose pas d'une seconde clé d'accès.

  • La seconde clé d'accès de l'utilisateur n'a jamais été utilisée.

  • La seconde clé d'accès de l'utilisateur a été utilisée pour la dernière fois avant le 22 avril 2015, date de début du suivi de cette information par IAM.

cert_1_active

Lorsque l'utilisateur dispose d'un certificat de signature X.509 et que l'état de celui-ci est Active, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE.

cert_1_last_rotated

Date et heure, au format de date et d'heure ISO 8601, auxquelles le certificat de signature de l'utilisateur a été créé ou modifié pour la dernière fois. Si l'utilisateur ne dispose pas d'un certificat de signature actif, la valeur de ce champ est N/A (non applicable).

cert_2_active

Lorsque l'utilisateur dispose d'un second certificat de signature X.509 et que l'état de celui-ci est Active, cette valeur est TRUE. Sinon, la valeur est définie comme FALSE.

Note

Les utilisateurs peuvent disposer de deux certificats de signature X.509 afin de faciliter la rotation des certificats.

cert_2_last_rotated

Date et heure, au format de date et d'heure ISO 8601, auxquelles le second certificat de signature de l'utilisateur a été créé ou modifié pour la dernière fois. Si l'utilisateur ne dispose pas d'un second certificat de signature actif, la valeur de ce champ est N/A (non applicable).

information_accréditations_supplémentaires

Lorsque l'utilisateur possède plus de deux clés d'accès ou certificats, cette valeur correspond au nombre de clés d'accès ou de certificats supplémentaires et aux actions que vous pouvez utiliser pour répertorier les clés d'accès ou les certificats associés à l'utilisateur.

Obtention de rapports d'informations d'identification (console)

Vous pouvez utiliser le AWS Management Console pour télécharger un rapport d'identification sous forme de fichier CSV (valeurs séparées par des virgules).

Pour télécharger un rapport sur les informations d'identification (console)

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.

  2. Dans le panneau de navigation, sélectionnez Rapport sur les informations d'identification.

  3. Choisissez Télécharger le rapport.

Obtention de rapports d'informations d'identification (AWS CLI)

Pour télécharger un rapport sur les informations d'identification (AWS CLI)

  1. Générez un rapport sur les informations d'identification. AWS stocke un seul rapport. Si un rapport existe, la génération d'un rapport sur les informations d'identification remplace le rapport précédent. aws iam generate-credential-report

  2. Affichez le dernier rapport généré : aws iam get-credential-report

Obtention de rapports sur les informations d'identification (API AWS )

Pour télécharger un rapport sur les informations d'identification (AWS API)

  1. Générez un rapport sur les informations d'identification. AWS stocke un seul rapport. Si un rapport existe, la génération d'un rapport sur les informations d'identification remplace le rapport précédent. GenerateCredentialReport

  2. Affichez le dernier rapport généré : GetCredentialReport