AWS applications gérées - AWS IAM Identity Center
Contrôle de l'accès aux applicationsPartage d'informations d'identité Limiter l'utilisation des applications AWS gérées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS applications gérées

AWS IAM Identity Center rationalise et simplifie la tâche consistant à connecter les utilisateurs de votre personnel à des applications AWS gérées telles qu'Amazon Q Developer et Amazon QuickSight. Avec IAM Identity Center, vous pouvez connecter votre fournisseur d'identité existant une seule fois et synchroniser les utilisateurs et les groupes à partir de votre annuaire, ou créer et gérer vos utilisateurs directement dans IAM Identity Center. En fournissant un point de fédération unique, IAM Identity Center élimine le besoin de configurer la fédération ou la synchronisation des utilisateurs et des groupes pour chaque application et réduit vos efforts administratifs. Vous bénéficiez également d'une vue commune des attributions des utilisateurs et des groupes.

Pour un tableau des AWS applications qui fonctionnent avec IAM Identity Center, consultezAWS applications gérées que vous pouvez utiliser avec IAM Identity Center.

Contrôle de l'accès aux applications AWS gérées

L'accès aux applications AWS gérées est contrôlé de deux manières :

  • Entrée initiale dans l'application

    IAMIdentity Center gère cela par le biais d'assignations à l'application. Par défaut, les affectations sont obligatoires pour les applications AWS gérées. Si vous êtes administrateur d'applications, vous pouvez choisir d'exiger ou non des affectations à une application.

    Si des attributions sont requises, lorsque les utilisateurs se connectent à l'application Portail d'accès AWS, seuls les utilisateurs affectés à l'application directement ou par le biais d'une attribution de groupe peuvent voir la vignette de l'application.

    Si aucune attribution n'est requise, vous pouvez autoriser tous les utilisateurs IAM d'Identity Center à accéder à l'application. Dans ce cas, l'application gère l'accès aux ressources et la vignette de l'application est visible par tous les utilisateurs qui consultent le Portail d'accès AWS.

    Important

    Si vous êtes administrateur d'IAMIdentity Center, vous pouvez utiliser la console IAM Identity Center pour supprimer les attributions aux applications AWS gérées. Avant de supprimer des attributions, nous vous recommandons de vous coordonner avec l'administrateur de l'application. Vous devez également vous coordonner avec l'administrateur de l'application si vous envisagez de modifier le paramètre qui détermine si des affectations sont requises ou d'automatiser les affectations d'applications.

  • Accès aux ressources de l'application

    L'application gère cela par le biais d'affectations de ressources indépendantes qu'elle contrôle.

AWS les applications gérées fournissent une interface utilisateur administrative que vous pouvez utiliser pour gérer l'accès aux ressources de l'application. Par exemple, QuickSight les administrateurs peuvent attribuer aux utilisateurs l'accès aux tableaux de bord en fonction de leur appartenance à un groupe. La plupart des applications AWS gérées offrent également une AWS Management Console expérience qui vous permet d'attribuer des utilisateurs à l'application. L'expérience de console de ces applications peut intégrer les deux fonctions, afin de combiner les capacités d'attribution des utilisateurs avec la capacité de gérer l'accès aux ressources de l'application.

Partage d'informations d'identité

Considérations relatives au partage des informations d'identité dans Comptes AWS

IAMIdentity Center prend en charge les attributs les plus couramment utilisés dans toutes les applications. Ces attributs incluent le prénom et le nom de famille, le numéro de téléphone, l'adresse e-mail, l'adresse et la langue préférée. Examinez attentivement quelles applications et quels comptes peuvent utiliser ces informations personnelles identifiables.

Vous pouvez contrôler l'accès à ces informations de l'une des manières suivantes :

  • Vous pouvez choisir d'activer l'accès uniquement dans le compte AWS Organizations de gestion ou dans tous les comptes de AWS Organizations.

  • Vous pouvez également utiliser les politiques de contrôle des services (SCPs) pour contrôler quelles applications peuvent accéder aux informations dans quels comptes AWS Organizations.

Par exemple, si vous activez l'accès uniquement dans le compte de AWS Organizations gestion, les applications des comptes membres n'ont pas accès aux informations. Toutefois, si vous activez l'accès dans tous les comptes, vous pouvez interdire l'accès SCPs à toutes les applications, à l'exception de celles que vous souhaitez autoriser.

Les politiques de contrôle des services sont une fonctionnalité de AWS Organizations. Pour obtenir des instructions sur la connexion d'unSCP, consultez la section Attacher et détacher les politiques de contrôle des services dans le guide de AWS Organizations l'utilisateur.

Configuration IAM d'Identity Center pour partager les informations d'identité

IAMIdentity Center fournit un magasin d'identités qui contient les attributs des utilisateurs et des groupes, à l'exception des informations de connexion. Vous pouvez utiliser l'une des méthodes suivantes pour maintenir à jour les utilisateurs et les groupes de votre IAM banque d'identités Identity Center :

  • Utilisez le magasin IAM d'identités Identity Center comme source d'identité principale. Si vous choisissez cette méthode, vous gérez vos utilisateurs, leurs identifiants de connexion et les groupes depuis la console IAM Identity Center ou AWS Command Line Interface (AWS CLI). Pour de plus amples informations, veuillez consulter Gérer les identités dans IAM Identity Center.

  • Configurez le provisionnement (synchronisation) des utilisateurs et des groupes provenant de l'une des sources d'identité suivantes vers votre banque IAM d'identités Identity Center :

    Si vous choisissez cette méthode de provisionnement, vous continuez à gérer vos utilisateurs et vos groupes depuis votre source d'identité, et ces modifications sont synchronisées avec le magasin IAM d'identités Identity Center.

Quelle que soit la source d'IAMidentité que vous choisissez, Identity Center peut partager les informations relatives aux utilisateurs et aux groupes avec les applications AWS gérées. Ainsi, vous pouvez connecter une source d'IAMidentité à Identity Center une seule fois, puis partager les informations d'identité avec plusieurs applications du AWS Cloud. Il n'est donc plus nécessaire de configurer indépendamment la fédération et le provisionnement des identités pour chaque application. Cette fonctionnalité de partage permet également de donner facilement à vos utilisateurs l'accès à de nombreuses applications de différentes manières Comptes AWS.

Limiter l'utilisation des applications AWS gérées

Lorsque vous activez IAM Identity Center pour la première fois, AWS permet l'utilisation automatique d'applications AWS gérées dans tous les comptes de AWS Organizations. Pour restreindre les applications, vous devez implémenter des politiques de contrôle des services (SCPs). SCPssont une fonctionnalité AWS Organizations que vous pouvez utiliser pour contrôler de manière centralisée les autorisations maximales que peuvent avoir les identités (utilisateurs et rôles) au sein de votre organisation. Vous pouvez l'utiliser SCPs pour bloquer l'accès aux informations des utilisateurs et des groupes d'IAMIdentity Center et pour empêcher le démarrage de l'application, sauf pour les comptes désignés. Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le guide de AWS Organizations l'utilisateur.