AWS Identity and Access Management et AWS Organizations - AWS Organizations
Activer l'accès approuvéDésactiver l'accès approuvéActivation d'un compte administrateur délégué pour IAMDésactiver un administrateur délégué pour IAM

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS Identity and Access Management et AWS Organizations

AWS Identity and Access Management est un service Web permettant de contrôler de manière sécurisée l'accès aux AWS services.

IAMvous permet de gérer de manière centralisée les informations d'identification des utilisateurs root et d'effectuer des tâches privilégiées sur les comptes des membres. Une fois que vous avez activé la gestion de l'accès root, qui permet un accès fiable pour IAM l' AWS Organizations entrée, vous pouvez sécuriser de manière centralisée les informations d'identification des utilisateurs root des comptes membres. Les comptes membres ne peuvent pas se connecter à leur utilisateur root ni récupérer le mot de passe de leur utilisateur root. Le compte de gestion ou un compte d'administrateur délégué pour IAM peut également effectuer certaines tâches privilégiées sur les comptes des membres en utilisant un accès root à court terme. Les sessions privilégiées de courte durée vous fournissent des informations d'identification temporaires que vous pouvez définir pour effectuer des actions privilégiées sur un compte membre de votre organisation.

Pour plus d'informations, voir Gestion centralisée de l'accès root pour les comptes des membres dans le Guide de IAM l'utilisateur.

Utilisez les informations suivantes pour vous aider AWS Identity and Access Management à intégrer AWS Organizations.

Activation de l'accès approuvé avec IAM

Lorsque vous activez la gestion de l'accès root, l'accès sécurisé est activé pour IAM entrer AWS Organizations.

Désactivation de l'accès approuvé avec IAM

Pour en savoir plus sur les autorisations requises pour désactiver l'accès approuvé, consultez Autorisations requises pour désactiver l'accès approuvé.

Seul un administrateur du compte AWS Organizations de gestion peut désactiver l'accès sécurisé avec AWS Identity and Access Management.

Vous ne pouvez désactiver l'accès sécurisé qu'à l'aide des outils Organizations.

Vous pouvez désactiver l'accès sécurisé en utilisant la AWS Organizations console, en exécutant une AWS CLI commande Organizations ou en appelant une API opération Organizations dans l'un des AWS SDKs.

AWS Management Console
Pour désactiver l'accès approuvé à l'aide de la console Organizations

  1. Connectez-vous à la console AWS Organizations. Vous devez vous connecter en tant qu'IAMutilisateur, assumer un IAM rôle ou vous connecter en tant qu'utilisateur root (ce n'est pas recommandé) dans le compte de gestion de l'organisation.

  2. Dans le panneau de navigation, choisissez Services.

  3. Choisissez AWS Identity and Access Managementdans la liste des services.

  4. Choisissez Disable trusted access (Désactiver l'accès approuvé).

  5. Dans la boîte de AWS Identity and Access Management dialogue Désactiver l'accès sécurisé pour, tapez désactiver pour confirmer, puis choisissez Désactiver l'accès sécurisé.

  6. Si vous êtes l'administrateur de Only AWS Organizations, informez-le AWS Identity and Access Management qu'il peut désormais désactiver ce service à AWS Organizations l'aide de la console de service ou des outils.

AWS CLI, AWS API
Pour désactiver l'accès aux services sécurisés à l'aide des OrganizationsCLI/SDK

Vous pouvez utiliser les AWS CLI commandes ou API opérations suivantes pour désactiver l'accès aux services sécurisés :

  • AWS CLI: disable-aws-service-access

    Exécutez la commande suivante pour le désactiver AWS Identity and Access Management en tant que service sécurisé auprès des Organizations.

    $ aws organizations disable-aws-service-access \
    --service-principal iam.amazonaws.com

    Cette commande ne produit aucune sortie lorsqu'elle réussit.

  • AWS API: isableAWSService Accès

Activation d'un compte administrateur délégué pour IAM

Lorsque vous désignez un compte membre en tant qu'administrateur délégué de l'organisation, les utilisateurs et les rôles associés à ce compte peuvent effectuer des tâches privilégiées sur les comptes membres qui, autrement, ne peuvent être effectuées que par des utilisateurs ou des rôles dans le compte de gestion de l'organisation. Pour plus d'informations, voir Exécuter une tâche privilégiée sur un compte membre d'une Organizations dans le Guide de IAM l'utilisateur.

Seul un administrateur du compte de gestion de l'organisation peut configurer un administrateur délégué pourIAM.

Vous pouvez spécifier un compte d'administrateur délégué depuis la IAM console ou API en utilisant l'SDKopération CLI Organizations.

Désactiver un administrateur délégué pour IAM

Seul un administrateur du compte de gestion des Organisations ou du compte administrateur IAM délégué peut supprimer un compte d'administrateur délégué de l'organisation. Vous pouvez désactiver l'administration déléguée à l'aide de l'SDKopération Organizations DeregisterDelegatedAdministrator CLI ou Organizations.