Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création, gestion et suppression d'ensembles d'autorisations
Les ensembles d'autorisations définissent le niveau d'accès des utilisateurs et des groupes à un Compte AWS. Les ensembles d'autorisations sont stockés dans IAM Identity Center et peuvent être fournis à une ou plusieurs Comptes AWS personnes. Vous pouvez attribuer plus d'un jeu d'autorisations à un utilisateur. Pour plus d'informations sur les ensembles d'autorisations et leur utilisation dans IAM Identity Center, consultezGérer Comptes AWS avec des ensembles d'autorisations.
Note
Vous pouvez rechercher et trier les ensembles d'autorisations par nom dans la console IAM Identity Center.
Tenez compte des points suivants lorsque vous créez des ensembles d'autorisations :
-
Commencez avec un ensemble d'autorisations prédéfini
Avec un ensemble d'autorisations prédéfini, qui utilise des autorisations prédéfinies, vous choisissez une seule politique AWS gérée parmi la liste des politiques disponibles. Chaque politique accorde un niveau spécifique d'accès aux AWS services et aux ressources ou des autorisations pour une fonction professionnelle commune. Pour plus d'informations sur chacune de ces politiques, consultez la section Politiques AWS gérées pour les fonctions de travail. Après avoir collecté les données d'utilisation, vous pouvez affiner l'ensemble d'autorisations pour le rendre plus restrictif.
-
Limiter la durée des sessions de gestion à des périodes de travail raisonnables
Lorsque les utilisateurs se fédérent dans leur interface Compte AWS et utilisent l' AWS Management Console interface de ligne de AWS commande (AWS CLI), IAM Identity Center utilise le paramètre de durée de session indiqué dans le jeu d'autorisations pour contrôler la durée de la session. Lorsque la session utilisateur atteint sa durée de session, il est déconnecté de la console et invité à se reconnecter. Pour des raisons de sécurité, nous vous recommandons de ne pas définir la durée de session au-delà de ce qui est nécessaire pour exécuter le rôle. Par défaut, la durée de session est d'une heure. Vous pouvez spécifier une valeur maximale de 12 heures. Pour de plus amples informations, veuillez consulter Définissez la durée de session pour Comptes AWS.
-
Limiter la durée de session du portail utilisateur du personnel
Les utilisateurs du personnel utilisent les sessions du portail pour choisir les rôles et accéder aux applications. Par défaut, la valeur de la durée maximale de session, qui détermine la durée pendant laquelle un utilisateur du personnel peut se connecter au portail d' AWS accès avant de devoir s'authentifier à nouveau, est de huit heures. Vous pouvez spécifier une valeur maximale de 90 jours. Pour de plus amples informations, veuillez consulter Configurer la durée de session du portail d' AWS accès et des applications intégrées IAM d'Identity Center.
-
Utiliser le rôle qui fournit les autorisations de moindre privilège
Chaque ensemble d'autorisations que vous créez et attribuez à votre utilisateur apparaît comme un rôle disponible dans le portail AWS d'accès. Lorsque vous vous connectez au portail en tant qu'utilisateur, choisissez le rôle qui correspond à l'ensemble d'autorisations le plus restrictif que vous pouvez utiliser pour effectuer des tâches dans le compte, plutôt que
AdministratorAccess. Testez vos ensembles d'autorisations pour vérifier qu'ils fournissent l'accès nécessaire avant d'envoyer l'invitation à l'utilisateur.
Note
Vous pouvez également l'utiliser AWS CloudFormationpour créer et attribuer des ensembles d'autorisations et attribuer des utilisateurs à ces ensembles d'autorisations.
Rubriques
