Prérequis et considérations - AWS IAM Identity Center
Considérations relatives au choix d'un Région AWSQuota pour les rôles IAM créés par IAM Identity CenterIAM Identity Center et AWS Organizations

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Prérequis et considérations

Les rubriques suivantes fournissent des informations sur les conditions préalables et d'autres considérations relatives à la configuration d'IAM Identity Center.

Considérations relatives au choix d'un Région AWS

Vous pouvez activer une instance IAM Identity Center dans une instance unique prise en charge Région AWS de votre choix. Le choix d'une région nécessite une évaluation de vos priorités en fonction de vos cas d'utilisation et des politiques de l'entreprise. L'accès à votre IAM Identity Center Comptes AWS et aux applications cloud depuis celui-ci ne dépend pas de ce choix ; toutefois, l'accès aux applications AWS gérées et la possibilité de les utiliser AWS Managed Microsoft AD comme source d'identité peuvent dépendre de ce choix. Reportez-vous aux points de terminaison et quotas AWS IAM Identity Center dans le Références générales AWS pour obtenir la liste des régions prises en charge par IAM Identity Center.

Considérations clés pour le choix d'un Région AWS.

  • Emplacement géographique — Lorsque vous sélectionnez la région la plus proche géographiquement de la majorité de vos utilisateurs finaux, ils bénéficieront d'une latence d'accès plus faible au portail AWS d'accès et aux applications AWS gérées, telles qu'Amazon SageMaker Studio.

  • Disponibilité des applications AWS gérées : les applications AWS gérées, telles qu'Amazon SageMaker, ne peuvent fonctionner que dans les conditions Régions AWS qu'elles prennent en charge. Activez le centre d'identité IAM dans une région prise en charge par les applications AWS gérées que vous souhaitez utiliser avec celui-ci. De nombreuses applications AWS gérées peuvent également fonctionner uniquement dans la région où vous avez activé IAM Identity Center.

  • Souveraineté numérique — Les réglementations en matière de souveraineté numérique ou les politiques de l'entreprise peuvent imposer l'utilisation d'un élément particulier Région AWS. Consultez le service juridique de votre entreprise.

  • Source d'identité : si vous utilisez AD AWS Managed Microsoft AD Connector comme source d'identité, sa région d'origine doit correspondre à celle Région AWS dans laquelle vous avez activé IAM Identity Center.

  • Régions désactivées par défaut : AWS à l'origine, toutes les nouvelles Régions AWS étaient activées pour être utilisées Comptes AWS par défaut, ce qui permettait automatiquement à vos utilisateurs de créer des ressources dans n'importe quelle région. Désormais, lors de l' AWS ajout d'une nouvelle région, son utilisation est désactivée par défaut dans tous les comptes. Si vous déployez IAM Identity Center dans une région désactivée par défaut, vous devez activer cette région dans tous les comptes pour lesquels vous souhaitez gérer l'accès à IAM Identity Center. Cela est nécessaire même si vous ne prévoyez pas de créer de ressources dans cette région dans ces comptes.

    Vous pouvez activer une région pour les comptes courants de votre organisation et vous devez répéter cette action pour les nouveaux comptes que vous pourriez ajouter ultérieurement. Pour obtenir des instructions, voir Activer ou désactiver une région dans votre organisation dans le guide de AWS Organizations l'utilisateur. Pour éviter de répéter ces étapes supplémentaires, vous pouvez choisir de déployer votre IAM Identity Center dans une région activée par défaut. À titre de référence, les régions suivantes sont activées par défaut :

    • USA Est (Ohio)

    • USA Est (Virginie du Nord)

    • USA Ouest (Oregon)

    • USA Ouest (Californie du Nord)

    • Europe (Paris)

    • Amérique du Sud (São Paulo)

    • Asie-Pacifique (Mumbai)

    • Europe (Stockholm)

    • Asie-Pacifique (Séoul)

    • Asie Pacifique (Tokyo)

    • Europe (Irlande)

    • Europe (Francfort)

    • Europe (Londres)

    • Asie-Pacifique (Singapour)

    • Asie-Pacifique (Sydney)

    • Canada (Centre)

    • Asie-Pacifique (Osaka)

  • Appels interrégionaux : dans certaines régions, IAM Identity Center peut appeler Amazon Simple Email Service dans une autre région pour envoyer un e-mail. Lors de ces appels interrégionaux, le centre d'identité IAM envoie certains attributs utilisateur à l'autre région. Pour plus d'informations sur les régions, consultez AWS IAM Identity Center Disponibilité de la région.

Commutation Régions AWS

Vous pouvez changer de région de centre d'identité IAM uniquement en supprimant l'instance actuelle et en créant une nouvelle instance dans une autre région. Si vous avez déjà activé une application AWS gérée avec votre instance existante, vous devez d'abord la supprimer avant de supprimer votre IAM Identity Center. Vous devez recréer les utilisateurs, les groupes, les ensembles d'autorisations, les applications et les attributions dans la nouvelle instance. Vous pouvez utiliser le compte IAM Identity Center et les API d'attribution d'applications pour obtenir un instantané de votre configuration, puis utiliser cet instantané pour reconstruire votre configuration dans une nouvelle région. Vous devrez peut-être également recréer une configuration d'IAM Identity Center via la console de gestion de votre nouvelle instance. Pour obtenir des instructions sur la suppression d'IAM Identity Center, consultezSupprimer votre instance IAM Identity Center.

Quota pour les rôles IAM créés par IAM Identity Center

IAM Identity Center crée des rôles IAM pour autoriser les utilisateurs à accéder aux ressources. Lorsque vous attribuez un ensemble d'autorisations, IAM Identity Center crée les rôles IAM contrôlés par IAM Identity Center correspondants dans chaque compte et associe les politiques spécifiées dans le jeu d'autorisations à ces rôles. IAM Identity Center gère le rôle et permet aux utilisateurs autorisés que vous avez définis d'assumer le rôle, en utilisant le portail d' AWS accès ou. AWS CLI Lorsque vous modifiez l'ensemble d'autorisations, IAM Identity Center veille à ce que les politiques et rôles IAM correspondants soient mis à jour en conséquence.

Si vous avez déjà configuré des rôles IAM dans votre compte Compte AWS, nous vous recommandons de vérifier si votre compte atteint le quota de rôles IAM. Le quota par défaut pour les rôles IAM par compte est de 1 000 rôles. Pour plus d'informations, consultez la section Quotas d'objets IAM.

Si vous approchez du quota, pensez à demander une augmentation du quota. Sinon, vous risquez de rencontrer des problèmes avec IAM Identity Center lorsque vous attribuez des ensembles d'autorisations à des comptes qui ont dépassé le quota de rôles IAM. Pour plus d'informations sur la procédure à suivre pour demander une augmentation de quota, voir Demande d'augmentation de quota dans le Guide de l'utilisateur du Service Quotas.

Note

Si vous passez en revue les rôles IAM dans un compte qui utilise déjà IAM Identity Center, vous remarquerez peut-être que les noms de rôles commencent par. “AWSReservedSSO_” Il s'agit des rôles que le service IAM Identity Center a créés dans le compte, et ils proviennent de l'attribution d'un ensemble d'autorisations au compte.

IAM Identity Center et AWS Organizations

AWS Organizations est recommandé, mais non obligatoire, pour une utilisation avec IAM Identity Center. Si vous n'avez pas créé d'organisation, vous n'êtes pas obligé de le faire. Lorsque vous activez IAM Identity Center, vous devez choisir d'activer ou non le service avec AWS Organizations. Lorsque vous configurez une organisation, le Compte AWS compte de gestion de l'organisation devient le compte de gestion de l'organisation. L'utilisateur root du Compte AWS est désormais le propriétaire du compte de gestion de l'organisation. Tout compte supplémentaire Comptes AWS que vous invitez à rejoindre votre organisation est considéré comme un compte de membre. Le compte de gestion crée les ressources, les unités organisationnelles et les politiques de l'organisation qui gèrent les comptes des membres. Les autorisations sont déléguées aux comptes des membres par le compte de gestion.

Note

Nous vous recommandons d'activer IAM Identity Center avec AWS Organizations, ce qui crée une instance organisationnelle d'IAM Identity Center. Une instance d'organisation est notre meilleure pratique recommandée, car elle prend en charge toutes les fonctionnalités d'IAM Identity Center et fournit des fonctionnalités de gestion centralisée. Pour plus d’informations, consultez Gérer les instances d'organisation et de compte d'IAM Identity Center.

Si vous avez déjà configuré AWS Organizations et que vous comptez ajouter IAM Identity Center à votre organisation, assurez-vous que toutes les AWS Organizations fonctionnalités sont activées. Lorsque vous créez une organisation, toutes les fonctions sont activées par défaut. Pour de plus amples informations, consultez Activation de toutes les fonctionnalités de l'organisation dans le Guide de l'utilisateur AWS Organizations .

Pour activer IAM Identity Center, vous devez vous connecter au en vous AWS Management Console connectant à votre compte de AWS Organizations gestion en tant qu'utilisateur disposant d'informations d'identification administratives ou en tant qu'utilisateur root (ce n'est pas recommandé, sauf s'il n'existe aucun autre utilisateur administratif). Vous ne pouvez pas activer IAM Identity Center lorsque vous êtes connecté avec les informations d'identification administratives d'un compte AWS Organizations membre. Pour plus d'informations, consultez la section Création et gestion d'une AWS organisation dans le guide de AWS Organizations l'utilisateur.

Pour plus d'informations sur AWS Organizations la gestion de votre