Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Démarrer avec AD Connector
Avec AD Connector, vous pouvez vous connecter AWS Directory Service à votre entreprise existanteActive Directory. Lorsque vous êtes connecté à votre annuaire existant, toutes les données de celui-ci restent sur vos contrôleurs de domaine. AWS Directory Service ne réplique aucune des données de votre répertoire.
Rubriques
Conditions préalables requises pour AD Connector
Pour vous connecter à votre annuaire existant avec AD Connector, les éléments suivants sont requis :
- Amazon VPC
-
Configurez un VPC avec les éléments suivants :
-
Au moins deux sous-réseaux. Chaque sous-réseau doit disposer d'une zone de disponibilité différente.
-
Le VPC doit être connecté à votre réseau existant via une connexion réseau privé virtuel (VPN) ou AWS Direct Connect.
-
Le VPC doit avoir la location matérielle par défaut.
AWS Directory Service utilise une structure à deux VPC. Les instances EC2 qui constituent votre répertoire s'exécutent en dehors de votre AWS compte et sont gérées par AWS. Elles ont deux cartes réseau,
ETH0etETH1.ETH0est la carte de gestion et existe en dehors de votre compte.ETH1est créé au sein de votre compte.La plage d'adresses IP de gestion du réseau
ETH0de votre annuaire est choisie par programmation afin de garantir qu'elle n'entre pas en conflit avec le VPC sur lequel votre annuaire est déployé. Cette plage d'adresses IP peut être comprise dans l'une des paires suivantes (car les annuaires s'exécutent dans deux sous-réseaux) :-
10.0.1.0/24 et 10.0.2.0/24
-
169,254,0,0/16
-
192.168.1.0/24 et 192.168.2.0/24
Nous évitons les conflits en vérifiant le premier octet du CIDR
ETH1. S'il commence par un 10, nous choisissons un VPC 192.168.0.0/16 avec des sous-réseaux 192.168.1.0/24 et 192.168.2.0/24. Si le premier octet est différent de 10, nous choisissons un VPC 10.0.0.0/16 avec des sous-réseaux 10.0.1.0/24 et 10.0.2.0/24.L'algorithme de sélection n'inclut pas de routages dans votre VPC. Il est donc possible qu'un conflit de routage IP résulte de ce scénario.
Pour plus d'informations, veuillez consulter les rubriques suivantes dans le Amazon VPC Guide de l'utilisateur :
Pour plus d'informations AWS Direct Connect, consultez le guide de AWS Direct Connect l'utilisateur.
-
- Existant Active Directory
-
Vous devez vous connecter à un réseau existant avec un Active Directory domaine.
Note
AD Connector ne prend pas en charge les domaines à étiquette unique
. Le niveau fonctionnel de ce Active Directory domaine doit être
Windows Server 2003ou supérieur. AD Connector prend également en charge la connexion à un domaine hébergé sur une instance Amazon EC2.Note
AD Connector ne prend pas en charge les contrôleurs de domaine en lecture seule (RODC) en association avec la fonctionnalité de jonction de domaine Amazon EC2.
- Compte de service
-
Vous devez disposer des informations d'identification d'un compte de service dans l'annuaire existant auquel les privilèges suivants ont été délégués :
-
Utilisateurs et groupes en lecture - Obligatoire
-
Joindre des ordinateurs au domaine : obligatoire uniquement lors de l'utilisation de Seamless Domain Join et WorkSpaces
-
Création d'objets informatiques : obligatoire uniquement lors de l'utilisation de Seamless Domain Join et WorkSpaces
Le mot de passe du compte de service doit être conforme aux exigences en matière AWS de mot de passe. AWS les mots de passe doivent être :
-
Entre 8 et 128 caractères inclus.
-
Contient au moins un caractère appartenant à trois des quatre catégories suivantes :
-
Lettres minuscules (a-z)
-
Lettres majuscules (A-Z)
-
Chiffres (0-9)
-
Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
-
Pour plus d’informations, consultez Délégation de privilèges à votre compte de service.
Note
AD Connector utilise Kerberos pour l'authentification et l'autorisation des applications AWS . LDAP est uniquement utilisé pour les recherches d'objets par des utilisateurs et des groupes (opérations de lecture). Avec les transactions LDAP, rien n'est mutable et les informations d'identification ne sont pas transmises en texte clair. L'authentification est gérée par un service AWS interne qui utilise des tickets Kerberos pour effectuer des opérations LDAP en tant qu'utilisateur.
-
- Autorisations des utilisateurs
-
Tous les utilisateurs Active Directory doivent disposer des autorisations nécessaires pour lire leurs propres attributs. Il s'agit plus précisément des attributs suivants :
-
GivenName
-
SurName
-
Mail
-
SamAccountName
-
UserPrincipalName
-
UserAccountControl
-
MemberOf
Par défaut, les utilisateurs Active Directory ont l'autorisation de lire ces attributs. Toutefois, les administrateurs peuvent modifier ces autorisations au fil du temps. Pensez donc peut-être à vérifier si vos utilisateurs disposent des autorisations en lecture avant de configurer AD Connector pour la première fois.
-
- Adresses IP
-
Obtenez les adresses IP de deux contrôleurs de domaine ou serveurs DNS dans votre annuaire existant.
AD Connector obtient le
_ldap._tcp.et les enregistrements SRV<DnsDomainName>_kerberos._tcp.de ces serveurs lors de la connexion à votre annuaire, donc ces serveurs doivent comporter ces enregistrements SRV. L'AD Connector tente de trouver un contrôleur de domaine commun qui fournira à la fois les services LDAP et les services Kerberos. Ces enregistrements SRV doivent donc inclure au moins un contrôleur de domaine commun. Pour plus d'informations sur les enregistrements SRV, consultez SRV Resource Records<DnsDomainName>sur Microsoft. TechNet - Ports pour les sous-réseaux
-
Pour qu'AD Connector redirige les demandes d'annuaire vers vos contrôleurs de Active Directory domaine existants, le pare-feu de votre réseau existant doit disposer des ports suivants ouverts aux CIDR pour les deux sous-réseaux de votre Amazon VPC.
-
TCP/UDP 53 ‑ DNS
-
TCP/UDP 88 ‑ Authentification Kerberos
-
TCP/UDP 389 ‑ LDAP
Il s'agit des ports minimum requis pour qu'AD Connector puisse se connecter à votre annuaire. Votre configuration spécifique peut nécessiter l'ouverture de ports supplémentaires.
Si vous souhaitez utiliser AD Connector et Amazon WorkSpaces, l'attribut DisableVLVSupportLDAP doit être défini sur 0 pour vos contrôleurs de domaine. Il s'agit du paramètre par défaut pour les contrôleurs de domaine. AD Connector ne pourra pas interroger les utilisateurs de l'annuaire si l'attribut DisableVLVSupportLDAP est activé. Cela empêche AD Connector de fonctionner avec Amazon WorkSpaces.
Note
Si les serveurs DNS ou les serveurs de contrôleur de domaine de votre Active Directory domaine existant se trouvent dans le VPC, les ports des groupes de sécurité associés à ces serveurs doivent être ouverts aux CIDR pour les deux sous-réseaux du VPC.
Pour connaître les exigences de port supplémentaires, consultez la section Exigences relatives aux ports AD et AD DS
dans la Microsoft documentation. -
- Pré-authentification Kerberos
-
Vos comptes d'utilisateur doivent avoir une pré-authentification Kerberos activée. Pour obtenir des instructions détaillées sur la façon d'activer ce paramètre, veuillez consulter Vérification de l'activation de l'authentification préalable Kerberos. Pour obtenir des informations générales sur ce paramètre, consultez la section Préauthentification activée
Microsoft TechNet. - Types de chiffrement
-
AD Connector prend en charge les types de chiffrement suivants lors de l'authentification à vos contrôleurs de domaine Active Directory via Kerberos :
-
AES-256-HMAC
-
AES-128-HMAC
-
RC4-HMAC
-
AWS IAM Identity Center prérequis
Si vous envisagez d'utiliser l'IAM Identity Center avec AD Connector, vous devez vous assurer que ce qui suit est vrai :
-
Votre AD Connector est configuré dans le compte de gestion de votre AWS organisation.
-
Votre instance d'IAM Identity Center se trouve dans la même région que celle où votre AD Connector est configuré.
Pour plus d'informations, consultez les conditions requises pour IAM Identity Center dans le guide de l' AWS IAM Identity Center utilisateur.
Prérequis pour l'authentification multifactorielle
Pour prendre en charge l'authentification multifactorielle avec votre annuaire AD Connector, les éléments suivants sont requis :
-
Un serveur Remote Authentication Dial In User Service
(RADIUS) sur votre réseau existant disposant de deux points de terminaison client. Les points de terminaison client RADIUS ont les critères suivants : -
Pour créer les points de terminaison, les adresses IP des serveurs AWS Directory Service sont requises. Ces adresses IP peuvent être obtenues à partir du champ Directory IP Address figurant dans les détails de votre annuaire.
-
Les deux points de terminaison RADIUS doivent utiliser le même code secret partagé.
-
-
Votre réseau existant doit autoriser le trafic entrant via le port du serveur RADIUS par défaut (1812) en provenance des AWS Directory Service serveurs.
-
Les noms d'utilisateur entre votre serveur RADIUS et votre annuaire existant doivent être identiques.
Pour en savoir plus sur l'utilisation d'AD Connector avec MFA, veuillez consulter Activer l'authentification multifactorielle pour AD Connector.
Délégation de privilèges à votre compte de service
Pour vous connecter à votre annuaire existant, vous devez disposer des informations d'identification pour votre compte de service AD Connector dans l'annuaire existant, auquel certains privilèges ont été délégués. Alors que les membres du groupe Administrateurs du domaine doivent avoir des privilèges suffisants pour se connecter à l'annuaire, en tant que bonne pratique, vous devez utiliser un compte de service disposant uniquement des privilèges minimum nécessaires pour la connexion à l'annuaire. La procédure suivante explique comment créer un nouveau groupe appeléConnectors, déléguer les privilèges nécessaires pour se connecter AWS Directory Service à ce groupe, puis ajouter un nouveau compte de service à ce groupe.
Cette procédure doit être effectuée sur un ordinateur qui est joint à votre annuaire et qui dispose du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. Vous devez également être connecté en tant qu'administrateur de domaine.
Pour déléguer des privilèges à votre compte de service
-
Ouvrez Utilisateurs et ordinateurs Active Directory, puis sélectionnez votre domaine dans l'arborescence de navigation.
-
Dans la liste du volet de gauche, effectuez un clic droit sur Utilisateurs, sélectionnez Nouveau, puis Groupe.
-
Dans la boîte de dialogue Nouvel objet - groupe, entrez la commande suivante, puis cliquez sur OK.
Champ Valeur/sélection Nom du groupe ConnectorsÉtendue du groupe Solution internationale Type de groupe Sécurité -
Dans l'arborescence de navigation Utilisateurs et ordinateurs Active Directory, sélectionnez la racine de votre domaine. Dans le menu, sélectionnez Action, puis Déléguer le contrôle. Si votre AD Connector est connecté à AWS Managed Microsoft AD, vous n'aurez pas accès au contrôle délégué au niveau de la racine du domaine. Dans ce cas, pour déléguer le contrôle, sélectionnez l'unité d'organisation (UO) sous l'UO de votre annuaire où les objets ordinateur seront créés.
-
Sur la page Assistant Délégation de contrôle, cliquez sur Suivant, puis cliquez sur Ajouter.
-
Dans la boîte de dialogue Sélectionner les utilisateurs, ordinateurs ou groupes, entrez
Connectors, puis cliquez sur OK. Si vous trouvez plusieurs objets, sélectionnez le groupeConnectorscréé précédemment. Cliquez sur Next (Suivant). -
Sur la page Tâches à déléguer, sélectionnez Créer une tâche personnalisée à déléguer, puis choisissez Suivant.
-
Sélectionnez Seulement des objets suivants dans le dossier, puis sélectionnez Objets ordinateur et Objets utilisateur.
-
Sélectionnez Créer les objets sélectionnés dans ce dossier et Supprimer les objets sélectionnés dans ce dossier. Ensuite, sélectionnez Suivant.
-
Sélectionnez Lecture, puis choisissez Suivant.
Note
Si vous comptez utiliser Seamless Domain WorkSpaces Join or, vous devez également activer les autorisations d'écriture afin qu'Active Directory puisse créer des objets informatiques.
-
Vérifiez les informations de la page Fin de l'Assistant Délégation de contrôle, puis cliquez sur Terminer.
-
Créez un compte utilisateur avec un mot de passe fort et ajoutez-le au groupe
Connectors. Cet utilisateur sera connu sous le nom de compte de service AD Connector et, comme il est désormais membre duConnectorsgroupe, il dispose désormais de privilèges suffisants pour se connecter AWS Directory Service à l'annuaire.
Test de votre connecteur AD Connector
Pour qu'AD Connector se connecte à votre annuaire existant, le pare-feu de votre réseau existant doit avoir certains ports ouverts vers les CIDR des deux sous-réseaux du VPC Pour vérifier si ces conditions sont satisfaites, exécutez les étapes suivantes :
Pour tester la connexion
-
Lancez une instance Windows dans le VPC et connectez-vous à celle-ci via RDP. L'instance doit être un membre de votre domaine existant. Les étapes restantes sont exécutées sur cette instance VPC.
-
Téléchargez et décompressez l'application de DirectoryServicePortTesttest. Le code source et les fichiers de projet Visual Studio sont inclus. Vous pouvez donc modifier l'application de test si vous le souhaitez.
Note
Ce script n'est pas pris en charge sur Windows Server 2003 ni les systèmes d'exploitation de version antérieure.
-
À partir d'une invite de commande Windows, exécutez l'application de test DirectoryServicePortTest avec les options suivantes :
Note
L'application de DirectoryServicePortTest test ne peut être utilisée que lorsque les niveaux fonctionnels du domaine et de la forêt sont définis sur Windows Server 2012 R2 ou version inférieure.
DirectoryServicePortTest.exe -d<domain_name>-ip<server_IP_address>-tcp "53,88,389" -udp "53,88,389"<domain_name>-
Nom de domaine entièrement qualifié. Il permet de tester les niveaux fonctionnels des forêts et des domaines. Si vous excluez le nom de domaine, les niveaux fonctionnels ne seront pas testés.
<server_IP_address>-
Adresse IP d'un contrôleur de domaine dans votre domaine existant. Les ports seront testés sur cette adresse IP. Si vous excluez l'adresse IP, les ports ne seront pas testés.
Cette application de test détermine si les ports nécessaires sont disponibles sur le VPC de votre domaine, et vérifie également les niveaux fonctionnels minimum des forêts et des domaines.
La sortie est similaire à ce qui suit :
Testing forest functional level. Forest Functional Level = Windows2008R2Forest : PASSED Testing domain functional level. Domain Functional Level = Windows2008R2Domain : PASSED Testing required TCP ports to<server_IP_address>: Checking TCP port 53: PASSED Checking TCP port 88: PASSED Checking TCP port 389: PASSED Testing required UDP ports to<server_IP_address>: Checking UDP port 53: PASSED Checking UDP port 88: PASSED Checking UDP port 389: PASSED
Utilisez le code d'application suivant pour l'application DirectoryServicePortTest.
using System; using System.Collections.Generic; using System.IO; using System.Linq; using System.Net; using System.Net.Sockets; using System.Text; using System.Threading.Tasks; using System.DirectoryServices.ActiveDirectory; using System.Threading; using System.DirectoryServices.AccountManagement; using System.DirectoryServices; using System.Security.Authentication; using System.Security.AccessControl; using System.Security.Principal; namespace DirectoryServicePortTest { class Program { private static List<int> _tcpPorts; private static List<int> _udpPorts; private static string _domain = ""; private static IPAddress _ipAddr = null; static void Main(string[] args) { if (ParseArgs(args)) { try { if (_domain.Length > 0) { try { TestForestFunctionalLevel(); TestDomainFunctionalLevel(); } catch (ActiveDirectoryObjectNotFoundException) { Console.WriteLine("The domain {0} could not be found.\n", _domain); } } if (null != _ipAddr) { if (_tcpPorts.Count > 0) { TestTcpPorts(_tcpPorts); } if (_udpPorts.Count > 0) { TestUdpPorts(_udpPorts); } } } catch (AuthenticationException ex) { Console.WriteLine(ex.Message); } } else { PrintUsage(); } Console.Write("Press <enter> to continue."); Console.ReadLine(); } static void PrintUsage() { string currentApp = Path.GetFileName(System.Reflection.Assembly.GetExecutingAssembly().Location); Console.WriteLine("Usage: {0} \n-d <domain> \n-ip \"<server IP address>\" \n[-tcp \"<tcp_port1>,<tcp_port2>,etc\"] \n[-udp \"<udp_port1>,<udp_port2>,etc\"]", currentApp); } static bool ParseArgs(string[] args) { bool fReturn = false; string ipAddress = ""; try { _tcpPorts = new List<int>(); _udpPorts = new List<int>(); for (int i = 0; i < args.Length; i++) { string arg = args[i]; if ("-tcp" == arg | "/tcp" == arg) { i++; string portList = args[i]; _tcpPorts = ParsePortList(portList); } if ("-udp" == arg | "/udp" == arg) { i++; string portList = args[i]; _udpPorts = ParsePortList(portList); } if ("-d" == arg | "/d" == arg) { i++; _domain = args[i]; } if ("-ip" == arg | "/ip" == arg) { i++; ipAddress = args[i]; } } } catch (ArgumentOutOfRangeException) { return false; } if (_domain.Length > 0 || ipAddress.Length > 0) { fReturn = true; } if (ipAddress.Length > 0) { _ipAddr = IPAddress.Parse(ipAddress); } return fReturn; } static List<int> ParsePortList(string portList) { List<int> ports = new List<int>(); char[] separators = {',', ';', ':'}; string[] portStrings = portList.Split(separators); foreach (string portString in portStrings) { try { ports.Add(Convert.ToInt32(portString)); } catch (FormatException) { } } return ports; } static void TestForestFunctionalLevel() { Console.WriteLine("Testing forest functional level."); DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Forest, _domain, null, null); Forest forestContext = Forest.GetForest(dirContext); Console.Write("Forest Functional Level = {0} : ", forestContext.ForestMode); if (forestContext.ForestMode >= ForestMode.Windows2003Forest) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); } Console.WriteLine(); } static void TestDomainFunctionalLevel() { Console.WriteLine("Testing domain functional level."); DirectoryContext dirContext = new DirectoryContext(DirectoryContextType.Domain, _domain, null, null); Domain domainObject = Domain.GetDomain(dirContext); Console.Write("Domain Functional Level = {0} : ", domainObject.DomainMode); if (domainObject.DomainMode >= DomainMode.Windows2003Domain) { Console.WriteLine("PASSED"); } else { Console.WriteLine("FAILED"); } Console.WriteLine(); } static List<int> TestTcpPorts(List<int> portList) { Console.WriteLine("Testing TCP ports to {0}:", _ipAddr.ToString()); List<int> failedPorts = new List<int>(); foreach (int port in portList) { Console.Write("Checking TCP port {0}: ", port); TcpClient tcpClient = new TcpClient(); try { tcpClient.Connect(_ipAddr, port); tcpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } } Console.WriteLine(); return failedPorts; } static List<int> TestUdpPorts(List<int> portList) { Console.WriteLine("Testing UDP ports to {0}:", _ipAddr.ToString()); List<int> failedPorts = new List<int>(); foreach (int port in portList) { Console.Write("Checking UDP port {0}: ", port); UdpClient udpClient = new UdpClient(); try { udpClient.Connect(_ipAddr, port); udpClient.Close(); Console.WriteLine("PASSED"); } catch (SocketException) { failedPorts.Add(port); Console.WriteLine("FAILED"); } } Console.WriteLine(); return failedPorts; } } }
Création d'un AD Connector
Pour vous connecter à votre annuaire existant avec AD Connector, procédez comme suit. Avant de commencer cette procédure, assurez-vous que vous avez terminé les prérequis identifiés dans Conditions préalables requises pour AD Connector.
Note
Vous ne pouvez pas créer un AD Connector avec un modèle CloudFormation.
Pour vous connecter à AD Connector
-
Dans le panneau de navigation de la console AWS Directory Service
, choisissez Directories (Annuaires), puis Set up directory (Configurer l'annuaire). -
Sur la page Select directory type (Sélectionner un type d'annuaire), choisissez AD Connector, puis Next (Suivant).
-
Sur la page Enter AD Connector information (Saisir les informations AD Connector), renseignez les informations suivantes :
- Taille de l'annuaire
-
Faites votre choix parmi les options de taille Petit ou Large. Pour en savoir plus sur les tailles, veuillez consulter AD Connector.
- Description de l'annuaire
-
Description facultative de l'annuaire.
-
Sur la page Choose VPC and subnets (Choisir un VPC et des sous-réseaux), indiquez les informations suivantes, puis choisissez Next (Suivant).
- VPC
-
VPC de l'annuaire.
- Sous-réseaux
-
Choisissez les sous-réseaux pour les contrôleurs de domaine. Les deux sous-réseaux doivent être dans des zones de disponibilité différentes.
-
Sur la page Connect to AD (Connecter à AD), fournissez les informations suivantes :
- Nom de DNS de l'annuaire
-
Nom complet de votre annuaire existant, par exemple
corp.example.com. - Nom NetBIOS de l'annuaire
-
Nom court de votre annuaire existant, tel que
CORP. - DNS IP addresses (Adresses IP DNS)
-
Adresse IP d'au moins un serveur DNS dans votre annuaire existant. Ces serveurs doivent être accessibles à partir de chaque sous-réseau spécifié dans l'étape 4. Ces serveurs peuvent être situés à l'extérieur AWS, à condition qu'il existe une connectivité réseau entre les sous-réseaux spécifiés et les adresses IP du serveur DNS.
- Nom d'utilisateur du compte de service
-
Nom d'utilisateur d'un utilisateur figurant dans l'annuaire existant. Pour plus d'informations sur ce compte, veuillez consulter le Conditions préalables requises pour AD Connector.
- Mot de passe du compte de service
-
Mot de passe du compte utilisateur existant. Le mot de passe est sensible à la casse et doit comporter entre 8 et 128 caractères inclus. Il doit également contenir au moins un caractère de trois des quatre catégories suivantes :
-
Lettres minuscules (a-z)
-
Lettres majuscules (A-Z)
-
Chiffres (0-9)
-
Caractères non alphanumériques (~!@#$%^&*_-+=`|\(){}[]:;"'<>,.?/)
-
- Confirmer le mot de passe
-
Saisissez à nouveau le mot de passe du compte utilisateur existant.
-
Sur la page Review & create (Vérifier et créer), vérifiez les informations concernant l'annuaire et effectuez les modifications nécessaires. Lorsque les informations sont correctes, choisissez Create directory (Créer l'annuaire). La création de l'annuaire prend plusieurs minutes. Une fois l'annuaire créé, le champ Statut prend la valeur Actif.
Qu'est-ce qui est créé avec votre AD Connector
Lorsque vous créez un AD Connector, il crée et associe AWS Directory Service automatiquement une Elastic Network Interface (ENI) à chacune de vos instances AD Connector. Chacun de ces ENI est essentiel à la connectivité entre votre VPC et AD AWS Directory Service Connector et ne doit jamais être supprimé. Vous pouvez identifier toutes les interfaces réseau réservées à l'utilisation AWS Directory Service par la description : « interface réseau AWS créée pour le répertoire directory-id ». Pour plus d'informations, veuillez consulter la section Elastic Network Interfaces (français non garanti) dans le Guide de l'utilisateur Amazon EC2 pour les instances Windows.
Note
Les instances AD Connector sont déployées par défaut dans deux zones de disponibilité d'une région et connectées à votre cloud privé virtuel (VPC) Amazon. Les instances AD Connector qui échouent sont automatiquement remplacées dans la même zone de disponibilité en utilisant la même adresse IP.
Lorsque vous vous connectez à une AWS application ou à un service intégré à un AD Connector (AWS IAM Identity Center inclus), l'application ou le service transmet votre demande d'authentification à AD Connector, qui la transmet ensuite à un contrôleur de domaine dans votre Active Directory autogéré pour authentification. Si vous êtes authentifié avec succès auprès de votre Active Directory autogéré, AD Connector renvoie un jeton d'authentification à l'application ou au service (similaire à un jeton Kerberos). À ce stade, vous pouvez désormais accéder à l' AWS application ou au service.
