IAMConseils relatifs au centre d'identité - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

IAMConseils relatifs au centre d'identité

AWSControl Tower vous recommande d'utiliser AWS Identity and Access Management (IAM) pour réguler l'accès à votre Comptes AWS. Cependant, vous avez la possibilité de choisir si AWS Control Tower configure IAM Identity Center pour vous, si vous configurez IAM Identity Center vous-même, de la manière qui répond le mieux aux besoins de votre entreprise, ou si vous souhaitez sélectionner une autre méthode d'accès au compte.

Note

SSOest une abréviation utilisée dans le secteur des technologies pour désigner l'authentification unique. En termes généraux, SSO il s'agit d'un service d'authentification de session et d'utilisateur. Il permet à quelqu'un d'utiliser un seul ensemble d'identifiants de connexion pour accéder à de nombreuses applications. Lorsque nous parlons de la fonctionnalité d'authentification unique dans AWS, nous faisons référence au AWS service appelé AWS Identity and Access Management, et abrégé en IAMIAMIdentity Center.

Par défaut, AWS Control Tower configure AWS IAM Identity Center pour votre zone de landing zone, conformément aux meilleures pratiques définies dans la section Organisation de votre AWS environnement à l'aide de plusieurs comptes. La plupart des clients choisissent la valeur par défaut. D'autres méthodes d'accès sont parfois nécessaires, pour des raisons de conformité réglementaire dans des secteurs ou des pays spécifiques, ou dans les pays Régions AWS où AWS IAM Identity Center n'est pas disponible.

Choisir une option

Depuis la console, vous pouvez choisir de gérer vous-même IAM Identity Center pendant le processus de configuration de la zone d'atterrissage, plutôt que de laisser AWS Control Tower le configurer pour vous. Plus tard, vous pouvez choisir de modifier cette sélection en modifiant les paramètres de la zone d'atterrissage et en mettant à jour votre zone d'atterrissage sur la page des paramètres de la zone d'atterrissage.

Pour arrêter AWS IAM Identity Center dans AWS Control Tower ou pour commencer à utiliser AWS IAM Identity Center

  1. Accédez à la page des paramètres de la zone d'atterrissage

  2. Sélectionnez l'onglet Configurations

  3. Cliquez ensuite sur le bouton radio approprié pour modifier votre sélection pour AWS IAM Identity Center.

Une fois que vous avez choisi de gérer vous-même AWS IAM Identity Center en tant qu'IdP, Control AWS Tower crée uniquement les rôles et les politiques nécessaires à la gestion de Control AWS Tower, tels que AWSControlTowerAdmin et. AWSControlTowerAdminPolicy Pour les zones d'atterrissage qui s'autogèrent, AWS Control Tower ne crée plus de IAM rôles ni de groupements destinés à un usage spécifique du client, ni pendant le processus de configuration de la zone d'atterrissage, ni pendant le provisionnement du compte avec Account Factory.

Note

Si vous supprimez AWS IAM Identity Center de votre zone de landing zone de AWS Control Tower, les utilisateurs, les groupes et les ensembles d'autorisations créés par AWS Control Tower ne sont pas supprimés. Nous vous recommandons de supprimer ces ressources.

Les clients d'Account Factory ayant recours à d'autres fournisseurs d'identité (IdPs) tels qu'Azure AD, Ping ou Okta peuvent suivre le processus AWS IAM Identity Center pour se connecter à un fournisseur d'identité externe et intégrer leur IdP. Vous pouvez demander à nouveau à AWS Control Tower de générer vos groupements et vos rôles à tout moment, en modifiant les paramètres de la zone d'atterrissage.