Comprendre les rôles liés aux services dans Identity Center IAM - AWS IAM Identity Center

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Comprendre les rôles liés aux services dans Identity Center IAM

Les rôles liés à un service sont des IAM autorisations prédéfinies qui permettent à IAM Identity Center de déléguer et d'appliquer les utilisateurs disposant d'un accès par authentification unique à des utilisateurs spécifiques de votre Comptes AWS organisation dans. AWS Organizations Le service active cette fonctionnalité en attribuant un rôle lié au service Compte AWS dans chaque élément de son organisation. Le service permet ensuite à d'autres AWS services tels qu'IAMIdentity Center de tirer parti de ces rôles pour effectuer des tâches liées au service. Pour plus d'informations, consultez la section AWS Organizations et les rôles liés à un service.

Lorsque vous activez IAM Identity Center, IAM Identity Center crée un rôle lié à un service dans tous les comptes de l'organisation dans. AWS Organizations IAMIdentity Center crée également le même rôle lié au service dans chaque compte ajouté ultérieurement à votre organisation. Ce rôle permet à IAM Identity Center d'accéder aux ressources de chaque compte en votre nom. Pour de plus amples informations, veuillez consulter Compte AWS accès.

Les rôles liés à un service créés dans chacun d'eux Compte AWS sont nommés. AWSServiceRoleForSSO Pour de plus amples informations, veuillez consulter Utilisation de rôles liés à un service pour Identity Center IAM.

Remarques

  • Si vous êtes connecté au compte de AWS Organizations gestion, celui-ci utilise votre rôle actuellement connecté et non le rôle lié au service. Cela empêche l'escalade des privilèges.

  • Lorsqu'IAMIdentity Center effectue IAM des opérations sur le compte AWS Organizations de gestion, toutes les opérations sont effectuées à l'aide des informations d'identification du IAM principal. Cela permet aux connexions de CloudTrail savoir qui a effectué tous les changements de privilèges dans le compte de gestion.