Gérer les mots de passe des utilisateurs IAM - AWS Identity and Access Management
Création, modification ou suppression d'un mot de passe utilisateur IAM (console)

Gérer les mots de passe des utilisateurs IAM

Les utilisateurs IAM qui utilisent la AWS Management Console pour se servir des ressources AWS doivent disposer d'un mot de passe pour se connecter. Vous pouvez créer, modifier ou supprimer un mot de passe pour un utilisateur IAM dans votre compte AWS.

Après avoir attribué un mot de passe à un utilisateur, celui-ci peut se connecter à l’interface AWS Management Console à l'aide de l'URL de connexion de votre compte qui ressemble à ce qui suit : 

https://12-digit-AWS-account-ID or alias.signin.aws.amazon.com/console

Pour plus d'informations sur la façon dont les utilisateurs IAM se connectent à la AWS Management Console, consultez Connexion à AWS dans le Guide de l'utilisateur Connexion à AWS.

Même si vos utilisateurs ont leurs propres mots de passe, ils toujours besoin de votre autorisation pour accéder à vos ressources AWS. Par défaut, un utilisateur ne dispose d'aucune autorisation. Pour accorder à vos utilisateurs les autorisations dont ils ont besoin, vous leur attribuez des politiques ou aux groupes dont ils font partie. Pour plus d'informations sur la création d'utilisateurs et de groupes, consultez IAM identités . Pour plus d'informations sur l'utilisation de stratégies pour l'octroi d'autorisations, consultez Modification des autorisations pour un utilisateur IAM.

Vous pouvez accorder aux utilisateurs l'autorisation de modifier leurs propres mots de passe. Pour de plus amples informations, consultez Octroi aux utilisateurs IAM de l’autorisation de modification de leurs propres mots de passe. Pour plus d'informations sur la façon dont les utilisateurs accèdent à la page de connexion à votre compte, consultez Connexion à AWS dans le Guide de l'utilisateur Connexion à AWS.

Création, modification ou suppression d'un mot de passe utilisateur IAM (console)

Vous pouvez utiliser la AWS Management Console pour gérer les mots de passe de vos utilisateurs IAM.

Les besoins de vos utilisateurs en matière d’accès peuvent changer au fil du temps. Vous devrez peut-être permettre à un utilisateur censé accéder à la CLI d’accéder à la console, modifier le mot de passe d’un utilisateur parce qu’il a reçu l’e-mail contenant ses informations d’identification, ou supprimer un utilisateur lorsqu’il quitte votre organisation ou qu’il n’a plus besoin d’accéder à AWS.

Pour créer le mot de passe d’un utilisateur IAM (console)

Utilisez cette procédure pour donner accès à une console utilisateur en générant un mot de passe associé au nom d’utilisateur.

Console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d’accueil de la console IAM, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte Rechercher sur IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Choisissez le nom de l'utilisateur dont vous souhaitez créer le mot de passe.

  5. Cliquez sur l'onglet Informations d'identification de sécurité, puis sous Connexion à la console, sélectionnez Activer l'accès à la console.

  6. Dans la boîte de dialogue Activer l’accès à la console, sélectionnez Réinitialiser le mot de passe, puis choisissez si vous préférez qu’IAM génère un mot de passe ou si vous voulez en générer un personnalisé :

    • Pour qu'IAM génère un mot de passe, sélectionnez Autogenerated password (Mot de passe généré automatiquement).

    • Pour créer un mot de passe personnalisé, choisissez Custom password (Mot de passe personnalisé), puis tapez le mot de passe.

      Note

      Le mot de passe que vous créez doit respecter la politique de mot de passe du compte.

  7. Pour obliger l’utilisateur à générer un nouveau mot de passe au moment de la connexion, sélectionnez L’utilisateur doit générer un nouveau mot de passe à la prochaine connexion.

  8. Pour demander à l’utilisateur d’utiliser le nouveau mot de passe immédiatement, sélectionnez Révoquer les sessions de console actives. Cela associe une politique en ligne à l’utilisateur IAM qui lui refuse l’accès aux ressources si ses informations d’identification sont antérieures à la date spécifiée par la politique.

  9. Choisissez Réinitialiser le mot de passe.

  10. La boîte de dialogue Mot de passe de la console vous informe que vous avez activé le nouveau mot de passe de l’utilisateur. Pour afficher le mot de passe afin de le partager avec l’utilisateur, choisissez Afficher dans la boîte de dialogue Mot de passe de la console. Sélectionnez Télécharger le fichier .csv pour télécharger un fichier contenant les informations d’identification de l’utilisateur.

    Important

    Pour des raisons de sécurité, vous ne pouvez pas accéder au mot de passe après avoir effectué cette étape, mais vous pouvez créer un nouveau mot de passe à tout moment.

La console affiche un message d’état vous informant que l’accès à la console a été activé.

Pour changer le mot de passe d'un utilisateur IAM (console)

Utilisez cette procédure pour mettre à jour un mot de passe associé au nom d’utilisateur.

Console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d’accueil de la console IAM, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte Rechercher sur IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Choisissez le nom de l'utilisateur dont vous souhaitez changer le mot de passe.

  5. Cliquez sur l'onglet Informations d'identification de sécurité, puis sous Connexion à la console, sélectionnez Gérer l'accès à la console.

  6. Dans la boîte de dialogue Gérer l’accès à la console, sélectionnez Réinitialiser le mot de passe, puis choisissez si vous préférez qu’IAM génère un mot de passe ou si vous voulez générer un personnalisé :

    • Pour qu'IAM génère un mot de passe, sélectionnez Autogenerated password (Mot de passe généré automatiquement).

    • Pour créer un mot de passe personnalisé, choisissez Custom password (Mot de passe personnalisé), puis tapez le mot de passe.

      Note

      Le mot de passe que vous créez doit respecter la politique de mot de passe du compte.

  7. Pour obliger l’utilisateur à générer un nouveau mot de passe au moment de la connexion, sélectionnez L’utilisateur doit générer un nouveau mot de passe à la prochaine connexion.

  8. Pour demander à l’utilisateur d’utiliser le nouveau mot de passe immédiatement, sélectionnez Révoquer les sessions de console actives. Cela associe une politique en ligne à l’utilisateur IAM qui lui refuse l’accès aux ressources si ses informations d’identification sont antérieures à la date spécifiée par la politique.

  9. Choisissez Réinitialiser le mot de passe.

  10. La boîte de dialogue Mot de passe de la console vous informe que vous avez activé le nouveau mot de passe de l’utilisateur. Pour afficher le mot de passe afin de le partager avec l’utilisateur, choisissez Afficher dans la boîte de dialogue Mot de passe de la console. Sélectionnez Télécharger le fichier .csv pour télécharger un fichier contenant les informations d’identification de l’utilisateur.

    Important

    Pour des raisons de sécurité, vous ne pouvez pas accéder au mot de passe après avoir effectué cette étape, mais vous pouvez créer un nouveau mot de passe à tout moment.

La console affiche un message d’état vous informant que l’accès à la console a été mis à jour.

Supprimer (désactiver) le mot de passe d'un utilisateur IAM (console)

Utilisez cette procédure pour supprimer un mot de passe associé au nom d’utilisateur, privant ainsi l’utilisateur de l’accès à la console.

Important

Vous pouvez empêcher un utilisateur IAM d'accéder à l'AWS Management Console en supprimant son mot de passe. Cela l'empêche de se connecter à l'AWS Management Console à l'aide de ses informations d'identification. Cela ne modifie pas ses autorisations ni ne l'empêche d'accéder à la console à l'aide d'un rôle endossé. Si l'utilisateur a des clés d'accès actives, elles continuent de fonctionner et autorisent l'accès via la AWS CLI, Tools for Windows PowerShell, l'API AWS ou l'AWS Console Mobile Application.

Console

  1. Suivez la procédure de connexion correspondant à votre type d'utilisateur, comme décrit dans la rubrique Connexion à AWS du Guide de l'utilisateur Connexion à AWS.

  2. Sur la page d’accueil de la console IAM, dans le volet de navigation de gauche, saisissez votre requête dans la zone de texte Rechercher sur IAM.

  3. Dans le panneau de navigation, choisissez utilisateurs.

  4. Choisissez le nom de l'utilisateur dont vous souhaitez supprimer le mot de passe.

  5. Cliquez sur l'onglet Informations d'identification de sécurité, puis sous Connexion à la console, sélectionnez Gérer l'accès à la console.

  6. Pour demander à l’utilisateur de cesser immédiatement d’utiliser la console, sélectionnez Révoquer les sessions de console actives. Cela associe une politique en ligne à l’utilisateur IAM qui lui refuse l’accès aux ressources si ses informations d’identification sont antérieures à la date spécifiée par la politique.

  7. Choisissez Désactiver l’accès

La console affiche un message d’état vous informant que l’accès à la console a été désactivé.

Création, modification ou suppression d'un mot de passe utilisateur IAM (AWS CLI)

Vous pouvez utiliser l'API de l'AWS CLI pour gérer les mots de passe de vos utilisateurs IAM.

Pour créer un mot de passe (AWS CLI)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : aws iam get-login-profile

  2. Pour créer un mot de passe, exécutez cette commande : aws iam create-login-profile

Pour modifier le mot de passe d'un utilisateur (AWS CLI)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : aws iam get-login-profile

  2. Pour modifier un mot de passe, exécutez cette commande : aws iam update-login-profile

Pour supprimer (désactiver) le mot de passe d'un utilisateur (AWS CLI)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : aws iam get-login-profile

  2. (Facultatif) Pour déterminer quand un mot de passe a été utilisé pour la dernière fois, exécutez cette commande : aws iam get-user

  3. Pour supprimer un mot de passe, exécutez cette commande : aws iam delete-login-profile

Important

Lorsque vous supprimez le mot de passe d'un utilisateur, ce dernier ne peut plus se connecter à l’interface AWS Management Console. Si l'utilisateur avait des clés d'accès actives, elles continuent de fonctionner et autorisent l'accès via les appels de fonction des API de la AWS CLI, des Tools for Windows PowerShell ou d'AWS. Lorsque vous utilisez l'API de l'AWS CLI, des Tools for Windows PowerShell ou d'AWS pour supprimer un utilisateur de votre Compte AWS, vous devez d'abord supprimer le mot de passe à l'aide de cette opération. Pour de plus amples informations, consultez Suppression d'un utilisateur IAM (AWS CLI).

Pour révoquer les sessions de console actives d’un utilisateur avant une heure spécifiée (AWS CLI)

  1. Pour intégrer une politique en ligne qui révoque les sessions de console actives d’un utilisateur IAM avant une heure spécifiée, utilisez la politique en ligne suivante et exécutez cette commande : aws iam put-user-policy

    Cette politique en ligne récuse toutes les autorisations et inclut la clé de condition aws:TokenIssueTime. Il révoque les sessions de console actives de l’utilisateur avant l’heure spécifiée dans l’élément Condition de la politique en ligne. Remplacez la valeur de la clé de condition aws:TokenIssueTime par votre propre valeur.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Facultatif) Pour répertorier les noms des politiques en ligne intégrées à l’utilisateur IAM, exécutez cette commande : aws iam list-user-policies

  3. (Facultatif) Pour afficher la politique en ligne nommée intégrée à l’utilisateur IAM, exécutez cette commande : aws iam get-user-policy

Création, modification ou suppression d'un mot de passe utilisateur IAM (API AWS)

Vous pouvez utiliser l'API de l'AWS pour gérer les mots de passe de vos utilisateurs IAM.

Pour créer un mot de passe (API AWS)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, appelez cette opération : GetLoginProfile

  2. Pour créer un mot de passe, appelez cette opération : CreateLoginProfile

Pour modifier le mot de passe d'un utilisateur (API AWS)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, appelez cette opération : GetLoginProfile

  2. Pour modifier un mot de passe, appelez cette opération : UpdateLoginProfile

Pour supprimer (désactiver) le mot de passe d'un utilisateur (API AWS)

  1. (Facultatif) Pour déterminer si un utilisateur possède un mot de passe, exécutez cette commande : GetLoginProfile

  2. (Facultatif) Pour déterminer quand un mot de passe a été utilisé pour la dernière fois, exécutez cette commande : GetUser

  3. Pour supprimer un mot de passe, exécutez cette commande : DeleteLoginProfile

Important

Lorsque vous supprimez le mot de passe d'un utilisateur, ce dernier ne peut plus se connecter à l’interface AWS Management Console. Si l'utilisateur avait des clés d'accès actives, elles continuent de fonctionner et autorisent l'accès via les appels de fonction des API de la AWS CLI, des Tools for Windows PowerShell ou d'AWS. Lorsque vous utilisez l'API de l'AWS CLI, des Tools for Windows PowerShell ou d'AWS pour supprimer un utilisateur de votre Compte AWS, vous devez d'abord supprimer le mot de passe à l'aide de cette opération. Pour de plus amples informations, consultez Suppression d'un utilisateur IAM (AWS CLI).

Pour révoquer les sessions de console actives d’un utilisateur avant une heure spécifiée (API AWS)

  1. Pour intégrer une politique en ligne qui révoque les sessions de console actives d’un utilisateur IAM avant une heure spécifiée, utilisez la politique en ligne suivante et exécutez cette commande : PutUserPolicy

    Cette politique en ligne récuse toutes les autorisations et inclut la clé de condition aws:TokenIssueTime. Il révoque les sessions de console actives de l’utilisateur avant l’heure spécifiée dans l’élément Condition de la politique en ligne. Remplacez la valeur de la clé de condition aws:TokenIssueTime par votre propre valeur.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {
      "DateLessThan": {
        "aws:TokenIssueTime": "2014-05-07T23:47:00Z"
      }
    }
  }
}

  2. (Facultatif) Pour répertorier les noms des politiques en ligne intégrées à l’utilisateur IAM, exécutez cette commande : ListUserPolicies

  3. (Facultatif) Pour afficher la politique en ligne nommée intégrée à l’utilisateur IAM, exécutez cette commande : GetUserPolicy