Compte AWS accès - AWS IAM Identity Center
Compte AWS types Attribution d'un accès Compte AWSExpérience de l'utilisateur finalRenforcer et limiter l'accès

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Compte AWS accès

AWS IAM Identity Center est intégré à AWS Organizations, ce qui vous permet de gérer de manière centralisée les autorisations sur plusieurs comptes Comptes AWS sans configurer manuellement chacun de vos comptes. Vous pouvez définir des autorisations et les attribuer aux utilisateurs du personnel afin de contrôler leur accès à des informations spécifiques à Comptes AWS l'aide d'une instance organisationnelle d'IAMIdentity Center. Les instances de compte d'IAMIdentity Center ne prennent pas en charge l'accès au compte.

Compte AWS types

Il existe deux types d' Comptes AWS entrées AWS Organizations :

  • Compte de gestion - Le Compte AWS compte utilisé pour créer l'organisation.

  • Comptes de membres : les Comptes AWS autres comptes appartiennent à une organisation.

Pour plus d'informations sur les Compte AWS types, reportez-vous à AWS Organizations la section Terminologie et concepts du guide de AWS Organizations l'utilisateur.

Vous pouvez également choisir d'enregistrer un compte membre en tant qu'administrateur délégué pour IAM Identity Center. Les utilisateurs de ce compte peuvent effectuer la plupart des tâches administratives IAM d'Identity Center. Pour de plus amples informations, veuillez consulter Administration déléguée.

Pour chaque tâche et chaque type de compte, le tableau suivant indique si la tâche administrative IAM Identity Center peut être exécutée par les utilisateurs du compte.

IAMTâches administratives d'Identity Center Compte membre Compte administrateur délégué Compte de gestion
Lire les utilisateurs ou les groupes (lire le groupe lui-même et les membres du groupe) Oui Oui Oui
Ajouter, modifier ou supprimer des utilisateurs ou des groupes Non Oui Oui
Activer ou désactiver l'accès utilisateur Non Oui Oui
Activer, désactiver ou gérer les attributs entrants Non Oui Oui
Modifier ou gérer les sources d'identité Non Oui Oui
Création, modification ou suppression d'applications gérées par le client Non Oui Oui
Création, modification ou suppression d'applications AWS gérées Oui Oui Oui
Configurer MFA Non Oui Oui
Gérer les ensembles d'autorisations non provisionnés dans le compte de gestion Non Oui Oui
Gérer les ensembles d'autorisations fournis dans le compte de gestion Non Non Oui
Activer IAM Identity Center Non Non Oui
Supprimer la configuration IAM d'Identity Center Non Non Oui
Activer ou désactiver l'accès utilisateur dans le compte de gestion Non Non Oui
Enregistrer ou désenregistrer un compte membre en tant qu'administrateur délégué Non Non Oui

Attribution d'un accès Compte AWS

Vous pouvez utiliser des ensembles d'autorisations pour simplifier la façon dont vous attribuez l'accès aux utilisateurs et aux groupes de votre organisation Comptes AWS. Les ensembles d'autorisations sont stockés dans IAM Identity Center et définissent le niveau d'accès des utilisateurs et des groupes à un Compte AWS. Vous pouvez créer un ensemble d'autorisations unique et l'attribuer à plusieurs Comptes AWS au sein de votre organisation. Vous pouvez également attribuer plusieurs ensembles d'autorisations au même utilisateur.

Pour plus d'informations sur les jeux d'autorisations, consultez Création, gestion et suppression d'ensembles d'autorisations.

Note

Vous pouvez également attribuer à vos utilisateurs un accès par authentification unique aux applications. Pour plus d’informations, veuillez consulter Accès aux applications.

Expérience de l'utilisateur final

Le portail AWS d'accès fournit aux utilisateurs IAM d'Identity Center un accès par authentification unique à toutes les applications qui leur sont attribuées Comptes AWS via un portail Web. Le portail AWS d'accès est différent du AWS Management Console, qui est un ensemble de consoles de service permettant de gérer les AWS ressources.

Lorsque vous créez un ensemble d'autorisations, le nom que vous spécifiez pour l'ensemble d'autorisations apparaît dans le portail AWS d'accès en tant que rôle disponible. Les utilisateurs se connectent AWS au portail d'accès Compte AWS, choisissent un, puis le rôle. Après avoir choisi le rôle, ils peuvent accéder aux AWS services en utilisant AWS Management Console ou en récupérant des informations d'identification temporaires pour accéder aux AWS services par programmation.

Pour ouvrir AWS Management Console ou récupérer des informations d'identification temporaires afin d'y accéder AWS par programmation, les utilisateurs effectuent les étapes suivantes :

  1. Les utilisateurs ouvrent une fenêtre de navigateur et utilisent la connexion URL que vous fournissez pour accéder au portail AWS d'accès.

  2. À l'aide de leurs identifiants d'annuaire, ils se connectent au portail AWS d'accès.

  3. Après authentification, sur la page du portail d' AWS accès, ils choisissent l'onglet Comptes pour afficher la liste des comptes Comptes AWS auxquels ils ont accès.

  4. Les utilisateurs choisissent ensuite Compte AWS celui qu'ils souhaitent utiliser.

  5. Sous le nom du Compte AWS, tous les ensembles d'autorisations auxquels les utilisateurs sont affectés apparaissent sous forme de rôles disponibles. Par exemple, si vous avez attribué un utilisateur john_stiles à l'ensemble d'PowerUserautorisations, le rôle s'affiche dans le portail AWS d'accès sous la formePowerUser/john_stiles. Les utilisateurs qui bénéficient de plusieurs jeux d'autorisations choisissent le rôle à utiliser. Les utilisateurs peuvent choisir leur rôle pour accéder au AWS Management Console.

  6. Outre le rôle, les utilisateurs du portail AWS d'accès peuvent récupérer des informations d'identification temporaires pour l'accès par ligne de commande ou par programmation en choisissant les clés d'accès.

Pour step-by-step obtenir des conseils que vous pouvez fournir aux utilisateurs de votre personnel, consultez Utilisation de AWS portail d'accès etObtenir les informations d'identification utilisateur d'IAMIdentity Center pour AWS CLI or AWS SDKs.

Renforcer et limiter l'accès

Lorsque vous activez IAM Identity Center, IAM Identity Center crée un rôle lié à un service. Vous pouvez également utiliser les politiques de contrôle des services (SCPs).

Délégation et renforcement de l'accès

Un rôle lié à un service est un type de IAM rôle directement lié à un AWS service. Après avoir activé IAM Identity Center, IAM Identity Center peut créer un rôle lié à un service Compte AWS dans chacun des membres de votre organisation. Ce rôle fournit des autorisations prédéfinies qui permettent à IAM Identity Center de déléguer et d'appliquer les utilisateurs disposant d'un accès par authentification unique à des utilisateurs spécifiques Comptes AWS de votre organisation dans AWS Organizations. Pour utiliser ce rôle, vous devez attribuer à un ou plusieurs utilisateurs l'accès à un compte. Pour plus d’informations, consultez Comprendre les rôles liés aux services dans Identity Center IAM et Utilisation de rôles liés à un service pour IAM Identity Center.

Limiter l'accès à la banque d'identités depuis les comptes des membres

Pour le service de banque d'IAMidentité utilisé par Identity Center, les utilisateurs ayant accès à un compte membre peuvent effectuer API des actions nécessitant des autorisations de lecture. Les comptes membres ont accès aux actions Read sur les espaces de noms sso-directory et identitystore. Pour plus d'informations, consultez les sections Actions, ressources et clés de condition pour le AWS IAM Identity Center répertoire et Actions, ressources et clés de condition pour AWS Identity Store dans la référence d'autorisation de service.

Pour empêcher les utilisateurs des comptes membres d'utiliser les API opérations du magasin d'identités, vous pouvez joindre une politique de contrôle des services (SCP). An SCP est un type de politique d'entreprise que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. L'exemple suivant SCP empêche les utilisateurs des comptes membres d'accéder à toute API opération dans le magasin d'identités.

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": ["identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
Note

La limitation de l'accès aux comptes des membres peut affecter les fonctionnalités des applications compatibles avec IAM Identity Center.

Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le guide de AWS Organizations l'utilisateur.