Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Fournisseurs d'identité et fédération
Il est recommandé de demander aux utilisateurs humains d'utiliser la fédération avec un fournisseur d'identité pour accéder aux AWS ressources au lieu de créer des IAM utilisateurs individuels dans votre Compte AWS. Avec un fournisseur d'identité (IdP), vous pouvez gérer les identités de vos utilisateurs en dehors de votre AWS compte et leur donner l'autorisation d'utiliser les AWS ressources de votre compte. Ceci est utile si votre organisation dispose déjà de son propre système d'identité, par exemple un répertoire d'utilisateurs d'entreprise. C'est également utile si vous créez une application mobile ou une application Web nécessitant un accès à AWS des ressources.
Note
Vous pouvez également gérer les utilisateurs humains dans IAMIdentity Center avec un fournisseur d'SAMLidentité externe au lieu d'utiliser SAML la fédération dansIAM. IAMLa fédération Identity Center avec un fournisseur d'identité vous permet de donner aux utilisateurs l'accès à plusieurs AWS comptes de votre organisation et à plusieurs AWS applications. Pour plus d'informations sur les situations spécifiques dans lesquelles un IAM utilisateur est requis, voir Quand créer un IAM utilisateur (au lieu d'un rôle).
Si vous préférez utiliser un seul AWS compte sans activer IAM Identity Center, vous pouvez utiliser IAM un IdP externe qui fournit des informations d'identité à l' AWS aide d'OpenID Connect (OIDC) ou SAML2.0 (Security Assertion Markup Language 2.0
Lorsque vous utilisez un fournisseur d'identité , vous n'avez pas à créer de code de connexion personnalisé ni à gérer vos propres identités utilisateur. L'IdP prévoit cela pour vous. Vos utilisateurs externes se connectent via un IdP, et vous pouvez autoriser ces identités externes à utiliser les AWS ressources de votre compte. Les fournisseurs d'identité contribuent à votre Compte AWS sécurité car vous n'avez pas à distribuer ou à intégrer des informations de sécurité à long terme, telles que des clés d'accès, dans votre application.
Consultez le tableau suivant pour déterminer le type de IAM fédération le mieux adapté à votre cas d'utilisation : IAM IAM Identity Center ou Amazon Cognito. Les résumés et le tableau suivants fournissent une vue d'ensemble des méthodes que vos utilisateurs peuvent utiliser pour obtenir un accès fédéré aux AWS ressources.
IAMtype de fédération | Account type (Type de compte) | Gestion de l'accès de… | Source d'identité prise en charge |
---|---|---|---|
Fédération avec IAM Identity Center |
Plusieurs comptes gérés par AWS Organizations |
Les utilisateurs humains de votre personnel |
|
Fédération avec IAM |
Compte unique et autonome |
|
|
Fédération avec les réserves d'identités Amazon Cognito |
N’importe quel compte |
Les utilisateurs d'applications qui ont besoin IAM d'une autorisation pour accéder aux ressources |
|
Fédération avec IAM Identity Center
Pour une gestion centralisée des accès des utilisateurs humains, nous vous recommandons IAMd'utiliser Identity Center pour gérer l'accès à vos comptes et les autorisations associées à ces comptes. Les utilisateurs d'IAMIdentity Center reçoivent des informations d'identification à court terme pour accéder à vos AWS ressources. Vous pouvez utiliser Active Directory, un fournisseur d'identité externe (IdP) ou un annuaire IAM Identity Center comme source d'identité permettant aux utilisateurs et aux groupes d'attribuer l'accès à vos AWS ressources.
IAMIdentity Center prend en charge la fédération des identités avec SAML (Security Assertion Markup Language) 2.0 afin de fournir un accès d'authentification unique fédéré aux utilisateurs autorisés à utiliser les applications du AWS portail d'accès. Les utilisateurs peuvent ensuite se connecter de manière unique aux services compatiblesSAML, notamment AWS Management Console aux applications tierces, telles que Microsoft 365, SAP Concur et Salesforce.
Fédération avec IAM
Bien que nous vous recommandions vivement de gérer les utilisateurs humains dans IAM Identity Center, vous pouvez activer l'accès utilisateur fédéré IAM pour les utilisateurs humains dans le cadre de déploiements à court terme et à petite échelle. IAMvous permet d'utiliser des versions SAML 2.0 et Open ID Connect (OIDC) distinctes IdPs et d'utiliser des attributs utilisateur fédérés pour le contrôle d'accès. Vous pouvez ainsi transmettre des IAM attributs utilisateur, tels que le centre de coûts, le titre ou les paramètres régionaux, de votre compte IdPs à AWS, et implémenter des autorisations d'accès détaillées en fonction de ces attributs.
Une charge de travail est un ensemble de ressources et de code qui fournit une valeur business, par exemple une application destinée au client ou un processus de backend. Votre charge de travail peut nécessiter une IAM identité pour envoyer des demandes aux AWS services, aux applications, aux outils opérationnels et aux composants. Ces identités incluent les machines exécutées dans vos AWS environnements, telles que les EC2 instances ou les AWS Lambda fonctions Amazon.
Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. Pour donner accès aux identités des machines, vous pouvez utiliser IAM des rôles. IAMles rôles disposent d'autorisations spécifiques et fournissent un moyen d'accès AWS en s'appuyant sur des informations d'identification de sécurité temporaires dans le cadre d'une session de rôle. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à vos AWS environnements. Pour les machines qui s'exécutent à l'extérieur, AWS vous pouvez utiliser IAMRoles Anywhere. Pour plus d'informations sur les rôles , consultez IAMrôles. Pour plus de détails sur l'utilisation des rôles pour déléguer l'accès entre Comptes AWS eux, consultezIAMtutoriel : déléguer l'accès entre des AWS comptes à l'aide des IAM rôles IAM.
Pour lier directement un IdP àIAM, vous devez créer une entité fournisseur d'identité afin d'établir une relation de confiance entre vous Compte AWS et l'IdP. IAMsupports IdPs compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (
Fédération avec les réserves d'identités Amazon Cognito
Amazon Cognito est conçu pour les développeurs qui souhaitent authentifier et autoriser les utilisateurs dans leurs applications mobiles et Web. Les groupes d'utilisateurs Amazon Cognito ajoutent des fonctionnalités de connexion et d'inscription à votre application, et les groupes d'identités fournissent des IAM informations d'identification qui permettent à vos utilisateurs d'accéder aux ressources protégées que vous gérez. AWS Les pools d'identités acquièrent des informations d'identification pour les sessions temporaires par le biais de l'AssumeRoleWithWebIdentity
APIopération.
Amazon Cognito travaille avec des fournisseurs d'identité externes qui prennent en charge SAML OpenID Connect, ainsi qu'avec des fournisseurs d'identité sociale tels que Facebook, Google et Amazon. Votre application peut connecter un utilisateur appartenant à un groupe d'utilisateurs ou à un IdP externe, puis récupérer des ressources en son nom grâce à des sessions temporaires personnalisées associées à un IAM rôle.
Ressources supplémentaires
-
Pour une démonstration sur la création d'un proxy de fédération personnalisé qui active l'authentification unique (SSO) à l' AWS Management Console aide du système d'authentification de votre organisation, voirActivation de l'accès de broker d'identité personnalisé à la AWS console.