Renommer un utilisateur IAM

Note

En guise de bonne pratique, nous vous recommandons d'exiger des utilisateurs humains qu'ils se joignent à un fournisseur d'identité pour accéder à AWS en utilisant des informations d'identification temporaires. Si vous suivez les bonnes pratiques, vous ne gérez pas les utilisateurs et les groupes IAM. Au lieu de cela, vos utilisateurs et vos groupes sont gérés en dehors d'AWS et peuvent accéder aux ressources AWS sous la forme d'une identité fédérée. Une identité fédérée est un utilisateur de l'annuaire des utilisateurs de votre entreprise, un fournisseur d'identité Web, l'AWS Directory Service, l'annuaire Identity Center ou tout utilisateur qui accède aux services AWS en utilisant des informations d'identification fournies via une source d'identité. Les identités fédérées utilisent les groupes définis par leur fournisseur d'identité. Si vous utilisez AWS IAM Identity Center, consultez la section Gérer les identités dans IAM Identity Center du Guide de l'utilisateur AWS IAM Identity Center pour plus d'informations sur la création d'utilisateurs et de groupes dans IAM Identity Center.

Amazon Web Services fournit plusieurs outils permettant de gérer les utilisateurs IAM dans votre Compte AWS. Vous pouvez répertorier les utilisateurs IAM de votre compte ou d’un groupe d’utilisateurs, ou dresser la liste de tous les groupes IAM auxquels appartient un utilisateur. Vous pouvez renommer ou modifier le chemin d'accès d'un utilisateur IAM. Si vous passez à l'utilisation d'identités fédérées au lieu d'utilisateurs IAM, vous pouvez supprimer un utilisateur IAM de votre compte AWS ou désactiver l'utilisateur.

Pour plus d'informations sur l'ajout, la modification ou la suppression de politiques gérées pour un utilisateur IAM, consultez Modification des autorisations pour un utilisateur IAM. Pour plus d'informations sur la gestion des politiques en ligne pour les utilisateurs IAM, consultez Ajout et suppression d'autorisations basées sur l'identité IAM, Modification de politiques IAM et Suppression de politiques IAM. En guise de bonne pratique, utilisez des politiques gérées plutôt que des politiques en ligne. Les politiques gérées par AWS octroient des autorisations pour de nombreux cas d'utilisation courants. Gardez à l'esprit que les AWS politiques gérées peuvent ne pas accorder les autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles peuvent être utilisées par tous les clients AWS. En conséquence, nous vous recommandons de réduire encore les autorisations en définissant des Politiques gérées par le client qui sont spécifiques à vos cas d'utilisation. Pour en savoir plus, consultez Politiques gérées par AWS. Pour de plus amples informations sur les politiques gérées par AWS, conçues pour des fonctions de tâche spécifiques, veuillez consulter Politiques gérées par AWS pour les fonctions de tâches.

Pour en savoir plus sur la validation des politiques IAM, consultez Validation de politique IAM.

Astuce

IAM Access Analyzer peut analyser les services et les actions que vos rôles IAM utilisent, puis générer une politique précise que vous pouvez utiliser. Après avoir testé chaque stratégie générée, vous pouvez la déployer dans votre environnement de production. Cela garantit que vous n'accordez que les autorisations requises à vos charges de travail. Pour plus d'informations sur la génération de politiques, consultez IAM Access Analyzer policy generation.

Pour de plus amples informations sur la gestion des mots de passe utilisateur IAM, consultez Gérer les mots de passe des utilisateurs IAM.

Renommer un utilisateur IAM

Pour modifier le nom ou le chemin d'un utilisateur, vous devez utiliser l'interface de ligne de commande AWS CLI, les Tools for Windows PowerShell ou l'API AWS. La console ne comporte aucune option permettant de renommer un utilisateur. Pour plus d'informations sur les autorisations requises pour renommer un utilisateur, consultez Autorisations requises pour accéder aux autres ressources IAM.

Lorsque vous modifiez le nom ou le chemin d'accès d'un utilisateur, voici ce qui suit se produit :

Toutes les politiques attachées à l'utilisateur restent dans l'utilisateur sous le nouveau nom.
L’utilisateur reste dans les mêmes groupes IAM sous le nouveau nom.
L'ID unique de l'utilisateur demeure le même. Pour plus d'informations sur les ID uniques, consultez Identifiants uniques.
Toutes les ressources ou politiques de rôle qui font référence à l'utilisateur en tant que principal (l'utilisateur se voit accorder l'accès) sont mises à jour automatiquement pour utiliser le nouveau nom ou chemin. Par exemple, toutes les politiques basées sur des files d'attente dans Amazon SQS ou les politiques basées sur des ressources dans Amazon S3 sont mises à jour automatiquement pour utiliser le nouveau nom ou chemin.

IAM ne met pas automatiquement à jour les politiques qui font référence à l'utilisateur en tant que ressource de manière à utiliser le nouveau nom ou chemin ; vous devez le faire manuellement. Par exemple, imaginons qu'une politique est attachée à l'utilisateur Richard et qu'elle lui permet de gérer ses informations d'identification de sécurité. Si un administrateur renomme Richard en Rich, administrateur doit également mettre à jour cette politique pour changer la ressource de :


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Richard

à :


arn:aws:iam::111122223333:user/division_abc/subdivision_xyz/Rich

C'est également vrai si un administrateur modifie le chemin : il doit également mettre à jour la politique pour refléter le nouveau chemin de l'utilisateur.

Pour renommer un utilisateur

AWS CLI : aws iam update-user
API AWS : UpdateUser

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Affichage des utilisateurs IAM

Supprimer un utilisateur