À propos de votre politique d’accès API

Votre politique d’accès API vous fournit des options supplémentaires de sécurité pour simplifier certains cas d’authentification aux services OUTSCALE.

Informations générales

Votre politique d’accès API vous permet :

  • De rendre obligatoire l’utilisation de dates d’expiration pour vos access keys.

  • De rendre obligatoire l’utilisation de l’authentification multifacteur (MFA) pour se connecter à Cockpit v2.

  • Si vous utilisez des règles d’accès API avec autorités de certification (CA), d’activer une session de confiance pour simplifier le processus d’authentification.

    Comme pour les règles d’accès API, une session de confiance s’applique à toutes les API ainsi que les interfaces et outils basés sur celles-ci, à l’exception de l’API OUTSCALE Object Storage (OOS).

Durée de vie maximale possible pour les access keys

Par défaut, vos access keys ont des durées de vie infinies et n’ont donc pas besoin d’être renouvelées. Pour définir la date d’expiration d’une access key, voir Créer une access key ou Modifier une access key.

Vous pouvez utiliser votre politique d’accès API pour rendre obligatoire l’utilisation des dates d’expiration, et ainsi renforcer la sécurité de votre compte. Pour en savoir plus, voir Gérer votre politique d’accès API.

Session de confiance

Si vous avez défini des autorités de certification (CA) dans vos règles d’accès API, vous devez systématiquement fournir un certificat dans chacune de vos requêtes vers les services OUTSCALE. Pour en savoir plus sur les CA et les certificats, voir À propos des règles d’accès API.

Dans cette situation toutefois, vous pouvez utiliser votre politique d’accès API pour activer une session de confiance via le paramètre TrustedEnv de la méthode UpdateApiAccessPolicy. Une session de confiance vous permet de contourner l’obligation de fournir systématiquement un certificat. À la place, vous fournissez le certificat uniquement lors de l’activation même de la session de confiance.

Si vous utilisez Cockpit v2 pour la première fois suite à l’activation de Trusted Env, vous devez vous authentifier à l’aide de la méthode WebAuthn. Si vous n’avez pas préalablement mis en place cette méthode d’authentification, vous devrez le faire lors de la première connexion.

Après cette première connexion, si vous avez également mis en place un mot de passe à usage unique (OTP), vous pouvez utiliser l’une de ces deux méthodes pour vous authentifier, tant que WebAuthn est mis en place. Pour en savoir plus, Mettre en place une MFA pour votre compte avec WebAuthn ou un OTP.

Pour activer une session de confiance, vous devez remplir les conditions suivantes :

  • Toutes vos access keys doivent avoir une date d’expiration.

  • Toutes vos règles d’accès API doivent spécifier une CA.

Pour en savoir plus, voir Activer une session de confiance.

Portée d’une session de confiance

Pour des raisons de sécurité, certaines méthodes API sont exclues de la session de confiance. Le tableau ci-dessous présente les facteurs d’authentification requis pour réaliser des actions :

Actions Authentification requise avec session de confiance désactivée Authentification requise avec session de confiance activée

Toutes les méthodes exceptées celles qui gèrent :

  • Les access keys

  • Les CA

  • Les règles d’accès API

  • La politique d’accès API

  • Par access keys (ET certificat si requis par les règles d’accès API)

  • Par access keys

Les méthodes qui gèrent :

  • Les access keys

  • Les CA

  • Les règles d’accès API

  • La politique d’accès API

  • Par access keys (ET certificat si requis par les règles d’accès API)

ou

  • Par e-mail/mot de passe (ET certificat si requis par les règles d’accès API)

  • Par access keys ET certificat

ou

  • Par e-mail/mot de passe ET certificat

Outre les méthodes ci-dessus, il existe quelques méthodes publiques qui ne requièrent pas d’authentification. Celles-ci sont marquées par une bannière verte dans la documentation de l’API OUTSCALE.

Pages connexes

Méthodes API correspondantes