Qu'est-ce que IAM et comment IAM fonctionne-t-il dans AWS ?

IAM (Gestion des identités et des accès) fait partie du service « Sécurité, Identité et Conformité » dans AWS (Amazon Web Services). Il nous permet de gérer l’accès aux services et ressources AWS de manière sécurisée. Avec IAM, nous pouvons créer et gérer des utilisateurs, des groupes, des rôles AWS et utiliser des autorisations pour permettre ou refuser leur accès aux ressources AWS.

IAM est proposé avec “ aucun frais supplémentaire “ et nous ne sommes facturés que pour les autres services AWS que nous utilisons.

AWS IAM nous aide à :

• Gérer les utilisateurs et leur accès :
  Nous pouvons créer des utilisateurs dans IAM, leur attribuer des identifiants de sécurité individuels. Nous pouvons gérer les autorisations pour contrôler quelles opérations un utilisateur peut effectuer et lesquelles il ne peut pas.
• Gérer les rôles et leurs autorisations :
  Nous pouvons créer des rôles dans IAM et gérer les autorisations pour contrôler quelles opérations peuvent être effectuées par l’entité, ou le service AWS, qui assume le rôle.
• Gérer les utilisateurs fédérés et leurs autorisations :
  Nous pouvons activer la fédération d’identité pour permettre aux utilisateurs, groupes et rôles existants dans notre entreprise d’accéder à la gestion AWS.

Pour comprendre le service IAM plus en détail, vous pouvez vous référer à la documentation officielle d’AWS.

Dans cet article, nous allons voir comment créer un utilisateur IAM, un groupe, un rôle IAM, attribuer des autorisations et créer une politique personnalisée.

Remarque : IAM n’appartient à aucune région particulière et s’étend sur l’ensemble du compte AWS.

Prérequis

1. Compte AWS (Créez-en un si vous n’en avez pas).

Ce que nous allons faire

1. Se connecter à AWS.
2. Créer un utilisateur IAM.
3. Créer un groupe IAM et y ajouter un utilisateur.
4. Créer un rôle IAM.
5. Créer une politique IAM.

Connexion à AWS

1. Cliquez ici pour accéder à la page de connexion AWS.

Lorsque nous cliquons sur le lien ci-dessus, nous verrons une page web comme suit où nous devons nous connecter en utilisant nos identifiants de connexion.

Une fois que nous nous sommes connectés avec succès à AWS, nous verrons la console principale avec tous les services listés comme suit.

Créer un utilisateur IAM

Un utilisateur (IAM) est une entité que nous créons sur AWS pour représenter la personne ou l’application qui l’utilise pour interagir avec AWS. Un utilisateur dans AWS se compose d’un nom et d’identifiants.

Cliquez sur « Services » dans le coin supérieur gauche et vous verrez un écran avec tous les services. Repérez « IAM » sous « Sécurité, Identité et Conformité » et cliquez sur « IAM ».

Vous verrez un tableau de bord. C’est la page d’accueil pour IAM. Cliquez sur « Utilisateurs » dans le panneau de gauche.

Cliquez sur « Ajouter un utilisateur » pour créer un nouvel utilisateur.

Ici, donnez un nom à l’utilisateur à créer. Nous pouvons créer un utilisateur avec deux types d’accès différents.

1. Accès programmatique :
   Nous pouvons effectuer des opérations sur le compte AWS via l’API AWS, CLI, SDK et d’autres outils de développement en utilisant ce type d’accès.
2. Accès à la console de gestion AWS :
   Ce type d’accès permet à un utilisateur de se connecter à la console de gestion AWS.

Dans cet article, nous allons créer un utilisateur ayant « Accès à la console de gestion AWS ».

Une fois que vous cliquez sur « Accès à la console de gestion AWS », vous obtiendrez un champ pour attribuer un mot de passe à l’utilisateur.

Nous pouvons soit avoir un « Mot de passe généré automatiquement », soit un « Mot de passe personnalisé ». Ici, nous allons sélectionner « Mot de passe personnalisé » et attribuer un mot de passe à l’utilisateur. Selon les besoins, nous pouvons forcer un utilisateur à changer le mot de passe lors de sa prochaine connexion. Ici, laissez-le tel quel. Cliquez sur « Suivant : Autorisation » pour continuer et attribuer les autorisations.

À l’écran suivant, cliquez sur « Attacher des politiques existantes directement » et recherchez « readonlyaccess » et sélectionnez la case à cocher comme indiqué à l’écran suivant. En donnant « ReadOnlyAccess », l’utilisateur ne pourra pas créer de ressources AWS. Vous pouvez parcourir la liste des autorisations pour les comprendre. Cliquez sur « Suivant : Tag » pour continuer.

L’attribution de balises est facultative mais aide à organiser, suivre ou contrôler l’accès pour cet utilisateur. Cliquez sur « Suivant : Révision » pour continuer et créer un utilisateur.

Examinez la configuration et cliquez sur « Créer un utilisateur » pour créer un utilisateur.

Cliquez sur « Télécharger .csv » qui contient le « lien de connexion à la console ». En cas de création d’un utilisateur avec « Accès programmatique », ce fichier est très important car il contiendrait « ID de clé d’accès » et « Clé d’accès secrète » nécessaires pour obtenir l’accès. Maintenant, vous pouvez cliquer sur « Fermer » car nous avons créé notre premier utilisateur.

Créer un rôle IAM

Un rôle IAM est une identité IAM que nous pouvons créer dans notre compte AWS qui a des autorisations spécifiques. Il est similaire à un utilisateur IAM avec des politiques d’autorisation qui déterminent ce que l’identité peut et ne peut pas faire dans AWS. Le rôle IAM permet aux services AWS d’effectuer des actions en notre nom.

Sur la page d’accueil IAM, cliquez sur « Rôles » dans le panneau de gauche. Cliquez sur « Créer un rôle ».

Dans cet article, nous allons créer un rôle pour le service Lambda. Cliquez sur « Lambda » et cliquez sur « Suivant : Autorisations ».

Dans la boîte de recherche, recherchez « ec2readonlyaccess » et cochez la case pour la politique « AmazonEC2ReadyOnlyAccess ». Cela donnera un accès « readonly » à la fonction Lambda sur le service EC2. Cliquez sur « Suivant : Balises ».

Ajouter des balises est facultatif mais peut être utilisé pour organiser, suivre ou contrôler l’accès pour ce rôle. Cliquez sur « Suivant : Révision » pour continuer.

Donnez un nom au rôle, ajoutez une description et cliquez sur « Créer un rôle ». Cela créera un rôle qui permettra aux fonctions Lambda d’appeler des services AWS en votre nom avec « ReadOnlyAccess » sur le service « EC2 ».

Créer un groupe IAM

Un groupe IAM est un ensemble d’utilisateurs IAM. Nous pouvons spécifier des autorisations pour plusieurs utilisateurs en utilisant un rôle, ce qui peut faciliter la gestion des autorisations pour ces utilisateurs.

Sur la page d’accueil IAM, cliquez sur « Groupes » dans le panneau de gauche. Cliquez sur « Créer un nouveau groupe ».

Spécifiez un nom et cliquez sur « Étape suivante ».

Recherchez « readonlyaccess », faites défiler vers le bas et cochez la case. Cliquez sur « Étape suivante ».

Examinez la configuration et cliquez sur « Créer un groupe ».

Maintenant, nous avons un groupe avec « ReadOnlyAccess », ce qui signifie que les utilisateurs appartenant à ce groupe n’auront qu’un accès « Lecture seule » sur les ressources/services AWS.

Retournez à la page d’accueil IAM et sélectionnez le groupe que nous venons de créer. Cliquez sur « Ajouter des utilisateurs au groupe » pour ajouter notre utilisateur à ce groupe.

Sélectionnez l’utilisateur que nous avons créé à l’étape précédente et cliquez sur « Ajouter des utilisateurs ». Cela ajoutera notre utilisateur au groupe que nous avons créé ayant « ReadOnlyAccess ».

Créer une politique IAM

Une politique IAM est une entité qui est attachée à une identité ou une ressource pour définir leurs autorisations.

Sur la page d’accueil IAM, cliquez sur « Politiques » dans le panneau de gauche. Cliquez sur « Créer une politique ».

Cliquez sur « Service » pour sélectionner un service pour lequel la politique doit être créée. Recherchez un service dans la boîte de recherche et sélectionnez le service.

Vous obtiendrez une liste d’autorisations qui peuvent être attribuées, ici sélectionnez « Lister ». Cliquez sur « Réviser la politique ».

Donnez un nom à la politique et cliquez sur « Créer une politique ». Cette politique peut maintenant être attachée à un utilisateur pour donner uniquement des autorisations « Lister » sur le service EC2. Nous pouvons suivre les mêmes étapes que nous avons suivies pour attacher une politique lors de la création d’un utilisateur pour attacher cette politique.

Conclusion :

Dans cet article, nous avons créé un utilisateur, un rôle et attaché une politique à eux, créé un groupe et ajouté un utilisateur à celui-ci, créé une politique personnalisée qui peut être ajoutée à l’utilisateur.