Skip to content
Documentation

Rôles

Les rôles IAM sont l’une des fonctionnalités les plus importantes et les plus sécurisées du service AWS IAM.

L’intérêt principal d’un rôle est de fournir des accès temporaires (via des credentials de courte durée) sans avoir à créer ni gérer de clés d’accès permanentes.

Pourquoi privilégier des accès temporaires ?

Contrairement aux clés d’accès IAM (long terme), les credentials d’un rôle sont :

  • générées à la demande par AWS STS lors de l’assumption du rôle
  • valables pour une durée limitée (généralement 1 heure, configurable jusqu’à 12 heures maximum)
  • rafraîchies automatiquement et de manière transparente par les SDK AWS, les agents EC2, Lambda, ECS, etc.

Cela réduit très fortement le risque en cas de compromission :

  • si les credentials sont leakées, elles expirent automatiquement après quelques heures
  • pas de clés permanentes à rotator manuellement ni à stocker dans du code, des dépôts Git ou des serveurs
  • possibilité de révoquer immédiatement toutes les sessions actives d’un rôle

Les rôles sont aujourd’hui la meilleure pratique recommandée par AWS pour presque tous les cas : applications, services AWS, CI/CD, accès cross-account, fédération d’identité (OIDC/SAML), workloads on-premise, etc.