Utiliser des IAM politiques dans les ensembles d'autorisations - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des IAM politiques dans les ensembles d'autorisations

DansCrée un jeu d'autorisations., vous avez appris à ajouter des politiques, notamment des politiques gérées par le client et des limites d'autorisations, à un ensemble d'autorisations. Lorsque vous ajoutez des politiques et des autorisations gérées par le client à un ensemble d'autorisations, IAM Identity Center ne crée aucune politique Comptes AWS. Vous devez plutôt créer ces politiques à l'avance dans chaque compte auquel vous souhaitez attribuer votre ensemble d'autorisations, et les faire correspondre au nom et aux spécifications de chemin de votre ensemble d'autorisations. Lorsque vous attribuez un ensemble d'autorisations Compte AWS à un membre de votre organisation, IAM Identity Center crée un rôle AWS Identity and Access Management (IAM) et associe vos IAMpolitiques à ce rôle.

Note

Avant d'attribuer votre ensemble d'autorisations avec des IAM politiques, vous devez préparer votre compte de membre. Le nom d'une IAM police dans votre compte membre doit correspondre au nom de la police dans votre compte de gestion. IAM Identity Center ne parvient pas à attribuer l'ensemble d'autorisations si la politique n'existe pas dans votre compte de membre.

Les autorisations accordées par la politique ne doivent pas nécessairement correspondre exactement aux différents comptes.

Attribuer une IAM politique à un ensemble d'autorisations

  1. Créez une IAM politique dans chacun des Comptes AWS endroits où vous souhaitez attribuer l'ensemble d'autorisations.

  2. Attribuez des autorisations à la IAM politique. Vous pouvez attribuer différentes autorisations à différents comptes. Pour une expérience cohérente, configurez et maintenez des autorisations identiques dans chaque politique. Vous pouvez utiliser des ressources d'automatisation telles que AWS CloudFormation StackSets la création de copies d'une IAM politique portant le même nom et les mêmes autorisations dans chaque compte membre. Pour plus d'informations CloudFormation StackSets, consultez la section Travailler avec AWS CloudFormation StackSets dans le guide de AWS CloudFormation l'utilisateur.

  3. Créez un ensemble d'autorisations dans votre compte de gestion et ajoutez votre IAM politique sous Politiques gérées par le client ou Limite des autorisations. Pour plus de détails sur la création d'un ensemble d'autorisations, voirCrée un jeu d'autorisations..

  4. Ajoutez les politiques intégrées, les politiques AWS gérées ou les IAM politiques supplémentaires que vous avez préparées.

  5. Créez et attribuez votre ensemble d'autorisations.