Utilisateurs et groupes IAM

Découvrez comment gérer efficacement les utilisateurs et les groupes pour une sécurité renforcée.

• Créez un utilisateur IAM pour toutes les personnes de l'organisation client ayant besoin d'accéder aux ressources. Ne partagez pas les comptes utilisateur IAM entre plusieurs utilisateurs, en particulier ceux disposant de comptes d'administration. L'utilisation d'utilisateurs IAM permet distincts d'appliquer un accès de moindre privilège pour chaque utilisateur et capture leurs actions dans les journaux d'audit.
• L'unité d'administration recommandée est le groupe IAM, afin de faciliter la gestion et le suivi des droits d'accès de sécurité (par opposition à des utilisateurs individuels). Créez des groupes IAM avec des droits d'accès permettant d'effectuer des tâches courantes (par exemple, l'administration réseau, l'administration de volume) et affectez des utilisateurs à ces groupes en fonction des besoins. Les droits d'accès IAM peuvent être utilisés pour accorder à un groupe un accès à des ressources sur plusieurs compartiments dans une location.
• Examinez régulièrement l'appartenance des utilisateurs IAM aux groupes IAM et retirez les utilisateurs IAM des groupes auxquels ils n'ont plus besoin d'accéder. L'utilisation de l'appartenance à un groupe pour gérer l'accès des utilisateurs s'adapte à l'augmentation du nombre d'utilisateurs.
• Désactivez les utilisateurs IAM qui n'ont pas besoin d'accéder aux ressources de location. La suppression d'un utilisateur IAM l'enlève définitivement. Vous pouvez désactiver temporairement un utilisateur IAM en procédant comme suit :
  • Effectuez la rotation du mot de passe utilisateur et enlevez-le.
  • Enlevez tous les droits d'accès à la location de l'utilisateur en enlevant son appartenance à tous les groupes.