Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un rôle pour un fournisseur d’identité tiers (fédération)

Vous pouvez utiliser des fournisseurs d'identité plutôt que de créer des utilisateurs IAM dans votre Compte AWS. Un fournisseur d'identité vous permet de gérer vos identités utilisateur en dehors d'AWS et de leur accorder les autorisations nécessaires pour accéder aux ressources AWS de votre compte. Pour plus d'informations sur la fédération et les fournisseurs d'identité, consultez Fournisseurs d'identité et fédération.

Création d'un rôle pour les utilisateurs fédérés (console)

Les procédures permettant de créer un rôle pour les utilisateurs fédérés dépendent des fournisseurs tiers choisis :

Création d'un rôle pour l'accès fédéré (AWS CLI)

Les étapes à suivre pour la création d'un rôle pour les fournisseurs d'identité pris en charge (OIDC ou SAML) à partir de la AWS CLI sont identiques. La différence porte sur le contenu de la politique d'approbation que vous créez dans les étapes préalables requises. Commencez par suivre les étapes de la section Prérequis pour le type de fournisseur que vous utilisez :

La création d'un rôle à partir de l’interface AWS CLI comporte plusieurs étapes. Lorsque vous créez un rôle à partir de la console, la plupart des étapes sont exécutées automatiquement pour vous. En revanche, lors de l'utilisation de l'AWS CLI, vous devez exécuter explicitement chaque étape vous-même. Vous devez créer le rôle et lui attribuer une politique d'autorisations. Vous pouvez également définir la limite d'autorisations pour votre rôle.

L'exemple suivant illustre les deux premières étapes les plus courantes pour créer un rôle de fournisseur d'identité dans un environnement simple. Cet exemple permet à tout utilisateur du compte 123456789012 d'endosser le rôle et d'afficher le compartiment Amazon S3 example_bucket. Cet exemple suppose également que vous exécutez l’interface AWS CLI sur un ordinateur fonctionnant sous Windows, et que vous avez déjà configuré l’interface AWS CLI à l'aide de vos informations d'identification. Pour plus d’informations, consultez Configuration de l’AWS Command Line Interface.

L'exemple de politique de confiance suivant est conçu pour une application mobile si l'utilisateur se connecte à l'aide d'Amazon Cognito. Dans cet exemple, us-east:12345678-ffff-ffff-ffff-123456 représente l'ID de groupe d'identités affecté par Amazon Cognito.

{
    "Version": "2012-10-17",
    "Statement": {
        "Sid": "RoleForCognito",
        "Effect": "Allow",
        "Principal": {"Federated": "cognito-identity.amazonaws.com"},
        "Action": "sts:AssumeRoleWithWebIdentity",
        "Condition": {"StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east:12345678-ffff-ffff-ffff-123456"}}
    }
}

La politique d'autorisations suivante permet à toute personne endossant le rôle d'exécuter uniquement l'action ListBucket sur le compartiment Amazon S3 example_bucket.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::example_bucket"
  }
}

Pour créer ce rôle Test-Cognito-Role, vous devez d'abord enregistrer la politique de confiance précédente avec le nom trustpolicyforcognitofederation.json et la politique d'autorisations précédente avec le nom permspolicyforcognitofederation.json dans le dossier policies de votre disque local C:. Vous pouvez ensuite utiliser les commandes suivantes pour créer le rôle et attacher la politique en ligne.

# Create the role and attach the trust policy that enables users in an account to assume the role.
$ aws iam create-role --role-name Test-Cognito-Role --assume-role-policy-document file://C:\policies\trustpolicyforcognitofederation.json

# Attach the permissions policy to the role to specify what it is allowed to do.
aws iam put-role-policy --role-name Test-Cognito-Role --policy-name Perms-Policy-For-CognitoFederation --policy-document file://C:\policies\permspolicyforcognitofederation.json

Création d'un rôle pour l'accès fédéré (API AWS)

Les étapes à suivre pour la création d'un rôle pour les fournisseurs d'identité pris en charge (OIDC ou SAML) à partir de l’interface AWS CLI sont identiques. La différence porte sur le contenu de la politique d'approbation que vous créez dans les étapes préalables requises. Commencez par suivre les étapes de la section Prérequis pour le type de fournisseur que vous utilisez :