Conseils relatifs à l'IAM Identity Center - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Conseils relatifs à l'IAM Identity Center

AWS Control Tower vous recommande d'utiliser AWS Identity and Access Management (IAM) pour réguler l'accès à votre Comptes AWS. Toutefois, vous avez la possibilité de choisir si AWS Control Tower configure IAM Identity Center pour vous, si vous le configurez vous-même, de la manière qui répond le mieux aux besoins de votre entreprise, ou si vous souhaitez sélectionner une autre méthode d'accès au compte.

Note

Le SSO est une abréviation utilisée dans le secteur des technologies pour désigner l'authentification unique. En termes généraux, le SSO est un service d'authentification de session et d'utilisateur. Il permet à quelqu'un d'utiliser un seul ensemble d'identifiants de connexion pour accéder à de nombreuses applications. Lorsque nous parlons de la fonctionnalité d'authentification unique dans AWS, nous faisons référence au AWS service appelé AWS Identity and Access Managementet abrégé en IAM ou IAM Identity Center.

Par défaut, AWS Control Tower configure l' AWS IAM Identity Center pour votre zone de landing zone, conformément aux recommandations relatives aux meilleures pratiques définies dans la section Organisation de votre AWS environnement à l'aide de plusieurs comptes. La plupart des clients choisissent la valeur par défaut. D'autres méthodes d'accès sont parfois nécessaires, pour des raisons de conformité réglementaire dans des secteurs ou des pays spécifiques, ou dans les pays Régions AWS où AWS IAM Identity Center n'est pas disponible.

Choisir une option

Depuis la console, vous pouvez choisir de gérer vous-même IAM Identity Center pendant le processus de configuration de la zone d'atterrissage, plutôt que de laisser AWS Control Tower le configurer pour vous. Plus tard, vous pouvez choisir de modifier cette sélection en modifiant les paramètres de la zone d'atterrissage et en mettant à jour votre zone d'atterrissage sur la page des paramètres de la zone d'atterrissage.

Pour arrêter AWS IAM Identity Center dans AWS Control Tower ou pour commencer à utiliser AWS IAM Identity Center
  1. Accédez à la page des paramètres de la zone d'atterrissage

  2. Sélectionnez l'onglet Configurations

  3. Choisissez ensuite le bouton radio approprié pour modifier votre sélection pour AWS IAM Identity Center.

Une fois que vous avez choisi de gérer vous-même AWS IAM Identity Center en tant qu'IdP, AWS Control Tower crée uniquement les rôles et les politiques nécessaires à la gestion d'AWS Control Tower, tels que et. AWSControlTowerAdmin AWSControlTowerAdminPolicy Pour les zones de destination qui s'autogèrent, AWS Control Tower ne crée plus de rôles ni de groupements IAM destinés à un usage spécifique au client, ni pendant le processus de configuration de la zone d'atterrissage, ni pendant le provisionnement du compte avec Account Factory.

Note

Si vous supprimez AWS IAM Identity Center de votre zone de landing zone AWS Control Tower, les utilisateurs, les groupes et les ensembles d'autorisations créés par AWS Control Tower ne sont pas supprimés. Nous vous recommandons de supprimer ces ressources.

Les clients d'Account Factory ayant recours à d'autres fournisseurs d'identité (IdPs) tels qu'Azure AD, Ping ou Okta peuvent suivre le processus AWS IAM Identity Center pour se connecter à un fournisseur d'identité externe et intégrer leur IdP. Vous pouvez demander à nouveau à AWS Control Tower de générer vos groupements et vos rôles à tout moment, en modifiant les paramètres de la zone de landing zone.