Active Directory ou IdP externe AWS Organizations Rôles IAM Pare-feux et passerelles Web sécurisées de nouvelle génération

Considérations relatives à IAM Identity Center

Les rubriques suivantes fournissent des conseils pour configurer IAM Identity Center pour des environnements spécifiques. Comprenez les instructions qui s'appliquent à votre environnement avant de passer àPartie 2 : Création d'un utilisateur administratif dans IAM Identity Center.

Rubriques

Active Directory ou IdP externe
AWS Organizations
Rôles IAM
Pare-feux et passerelles Web sécurisées de nouvelle génération

Active Directory ou IdP externe

Si vous gérez déjà des utilisateurs et des groupes dans Active Directory ou dans un IdP externe, nous vous recommandons d'envisager de connecter cette source d'identité lorsque vous activez IAM Identity Center et que vous choisissez votre source d'identité. En procédant ainsi avant de créer des utilisateurs et des groupes dans le répertoire par défaut d'Identity Center, vous éviterez la configuration supplémentaire requise si vous modifiez ultérieurement votre source d'identité.

Si vous souhaitez utiliser Active Directory comme source d'identité, votre configuration doit répondre aux prérequis suivants :

Si vous utilisezAWS Managed Microsoft AD, vous devez activer IAM Identity Center dans le mêmeRégion AWSoù votreAWS Managed Microsoft ADle répertoire est configuré. IAM Identity Center stocke les données d'attribution dans la même région que le répertoire. Pour administrer IAM Identity Center, vous devrez peut-être basculer vers la région dans laquelle IAM Identity Center est configuré. Notez également que leAWSle portail d'accès utilise la même URL d'accès que votre annuaire.
Utilisez un Active Directory résidant dans votre compte de gestion :

Vous devez disposer d'un connecteur AD existant ouAWS Managed Microsoft ADrépertoire configuré dansAWS Directory Service, et il doit se trouver dans votreAWS Organizationscompte de gestion. Vous ne pouvez connecter qu'un seul connecteur AD ou unAWS Managed Microsoft ADà la fois. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisezAWS Managed Microsoft AD. Pour plus d'informations, reportez-vous à :
- Connecter un répertoire dansAWS Managed Microsoft ADvers IAM Identity Centerdans leAWS IAM Identity CenterGuide de l'utilisateur.
- Connecter un répertoire autogéré dans Active Directory à IAM Identity Centerdans leAWS IAM Identity CenterGuide de l'utilisateur.
Utilisez un Active Directory résidant dans le compte administrateur délégué :

Si vous envisagez d'activer l'administration déléguée d'IAM Identity Center et d'utiliser Active Directory comme source d'identité IAM, vous pouvez utiliser un connecteur AD existant ouAWS Managed Microsoft ADrépertoire configuré dansAWSrépertoire résidant dans le compte administrateur délégué.

Si vous décidez de remplacer la source d'IAM Identity Center par Active Directory, ou si vous la remplacez par une autre source, le répertoire doit résider dans (appartenir à) le compte du membre administrateur délégué d'IAM Identity Center s'il en existe un ; sinon, il doit figurer dans le compte de gestion.

AWS Organizations

VotreCompte AWSdoit être géré parAWS Organizations. Si vous n'avez pas créé d'organisation, vous n'êtes pas obligé de le faire. Lorsque vous activez IAM Identity Center, vous pouvez choisir d'avoirAWScréez une organisation pour vous.

Si vous avez déjà configuréAWS Organizations, assurez-vous que toutes les fonctionnalités sont activées. Pour de plus amples informations, consultez Activation de toutes les fonctionnalités de l'organisation dans le Guide de l'utilisateur AWS Organizations.

Pour activer IAM Identity Center, vous devez vous connecter auAWS Management Consoleen utilisant les informations d'identification de votreAWS Organizationscompte de gestion. Vous ne pouvez pas activer IAM Identity Center lorsque vous êtes connecté à l'aide des informations d'identification d'unAWS Organizationscompte membre. Pour plus d'informations, voirCréation et gestion d'unAWSOrganisationdans leAWS OrganizationsGuide de l'utilisateur.

Rôles IAM

Si vous avez déjà configuré des rôles IAM dans votreCompte AWS, nous vous recommandons de vérifier si votre compte approche du quota pour les rôles IAM. Pour plus d'informations, voirQuotas d'objets IAM.

Si vous approchez du quota, pensez à demander une augmentation de quota. Dans le cas contraire, vous risquez de rencontrer des problèmes avec IAM Identity Center lorsque vous attribuez des ensembles d'autorisations à des comptes qui ont dépassé le quota de rôles IAM. Pour plus d'informations sur la procédure à suivre pour demander une augmentation de quota, voirDemande d'augmentation de quotadans leGuide de l'utilisateur des quotas de service.

Pare-feux et passerelles Web sécurisées de nouvelle génération

Si vous filtrez l'accès à des informations spécifiquesAWSdomaines ou points de terminaison d'URL à l'aide d'une solution de filtrage de contenu Web telle que les NGFW ou les SWG, vous devez ajouter les domaines ou points de terminaison d'URL suivants aux listes autorisées de votre solution de filtrage de contenu Web.

Domaines DNS spécifiques

*.awsapps.com (http://awsapps.com/)
*.signin.aws

Points de terminaison d'URL spécifiques

https ://[votre répertoire].awsapps.com/start
https ://[votre répertoire].awsapps.com/login
https ://[votre région].signin.aws/plateform/login

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Exigences relatives à Compte AWS

Utilisation de plusieurs Comptes AWS