Création d'un rôle pour un fournisseur d'identité tiers (fédération) - AWS Identity and Access Management
Création d'un rôle pour les utilisateurs fédérés (console)Création d'un rôle pour l'accès fédéré (AWS CLI)Création d'un rôle pour l'accès fédéré (AWS API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle pour un fournisseur d'identité tiers (fédération)

Vous pouvez utiliser des fournisseurs d'identité au lieu de créer des utilisateurs IAM dans votre Compte AWS. Avec un fournisseur d'identité (IdP), vous pouvez gérer vos identités d'utilisateurs en dehors de l'extérieur AWS et leur donner les autorisations d'accéder aux AWS ressources de votre compte. Pour plus d'informations sur la fédération et les fournisseurs d'identité, consultez Fournisseurs d'identité et fédération.

Création d'un rôle pour les utilisateurs fédérés (console)

Les procédures permettant de créer un rôle pour les utilisateurs fédérés dépendent des fournisseurs tiers choisis :

Création d'un rôle pour l'accès fédéré (AWS CLI)

Les étapes à suivre pour la création d'un rôle pour les fournisseurs d'identité pris en charge (OIDC ou SAML) à partir de la AWS CLI sont identiques. La différence porte sur le contenu de la politique d'approbation que vous créez dans les étapes préalables requises. Commencez par suivre les étapes de la section Prérequis pour le type de fournisseur que vous utilisez :

La création d'un rôle à partir de AWS CLI implique plusieurs étapes. Lorsque vous utilisez la console pour créer un rôle, la plupart des étapes sont effectuées pour vous, mais AWS CLI vous devez effectuer chaque étape vous-même de manière explicite. Vous devez créer le rôle et lui attribuer une politique d'autorisations. Vous pouvez également définir la limite d'autorisations pour votre rôle.

Pour créer un rôle pour la fédération d'identité (AWS CLI)

  1. Créez un rôle : aws iam create-role

  2. Associez une politique d'autorisation au rôle : aws iam attach-role-policy

    or

    Créez une politique d'autorisation intégrée pour le rôle : aws iam put-role-policy

  3. (Facultatif) Ajoutez des attributs personnalisés au rôle en associant des balises : aws iam tag-role

    Pour plus d’informations, consultez Gestion des balises sur les rôles IAM (AWS CLI ou API AWS).

  4. (Facultatif) Définissez la limite des autorisations pour le rôle : aws iam put-role-permissions-boundary

    Une limite d'autorisations contrôle les autorisations maximum dont un rôle peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.

L'exemple suivant illustre les deux premières étapes les plus courantes pour créer un rôle de fournisseur d'identité dans un environnement simple. Cet exemple permet à tout utilisateur du compte 123456789012 d'endosser le rôle et d'afficher le compartiment Amazon S3 example_bucket. Cet exemple suppose également que vous exécutez le AWS CLI sur un ordinateur exécutant Windows et que vous l'avez déjà configuré AWS CLI avec vos informations d'identification. Pour plus d'informations, consultez Configuration de l' AWS Command Line Interface.

L'exemple de politique de confiance suivant est conçu pour une application mobile si l'utilisateur se connecte à l'aide d'Amazon Cognito. Dans cet exemple, us-east:12345678- ffff-ffff-ffff -123456 représente l'ID du pool d'identités attribué par Amazon Cognito.

{
    "Version": "2012-10-17",
    "Statement": {
        "Sid": "RoleForCognito",
        "Effect": "Allow",
        "Principal": {"Federated": "cognito-identity.amazonaws.com"},
        "Action": "sts:AssumeRoleWithWebIdentity",
        "Condition": {"StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east:12345678-ffff-ffff-ffff-123456"}}
    }
}

La politique d'autorisations suivante permet à toute personne endossant le rôle d'exécuter uniquement l'action ListBucket sur le compartiment Amazon S3 example_bucket.

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Allow",
    "Action": "s3:ListBucket",
    "Resource": "arn:aws:s3:::example_bucket"
  }
}

Pour créer ce rôle Test-Cognito-Role, vous devez d'abord enregistrer la politique de confiance précédente avec le nom trustpolicyforcognitofederation.json et la politique d'autorisations précédente avec le nom permspolicyforcognitofederation.json dans le dossier policies de votre disque local C:. Vous pouvez ensuite utiliser les commandes suivantes pour créer le rôle et attacher la politique en ligne.

# Create the role and attach the trust policy that enables users in an account to assume the role.
$ aws iam create-role --role-name Test-Cognito-Role --assume-role-policy-document file://C:\policies\trustpolicyforcognitofederation.json

# Attach the permissions policy to the role to specify what it is allowed to do.
aws iam put-role-policy --role-name Test-Cognito-Role --policy-name Perms-Policy-For-CognitoFederation --policy-document file://C:\policies\permspolicyforcognitofederation.json

Création d'un rôle pour l'accès fédéré (AWS API)

Les étapes à suivre pour la création d'un rôle pour les fournisseurs d'identité pris en charge (OIDC ou SAML) à partir de la AWS CLI sont identiques. La différence porte sur le contenu de la politique d'approbation que vous créez dans les étapes préalables requises. Commencez par suivre les étapes de la section Prérequis pour le type de fournisseur que vous utilisez :

Pour créer un rôle pour la fédération d'identités (AWS API)

  1. Créez un rôle : CreateRole

  2. Associez une politique d'autorisation au rôle : AttachRolePolicy

    or

    Créez une politique d'autorisation intégrée pour le rôle : PutRolePolicy

  3. (Facultatif) Ajoutez des attributs personnalisés à l'utilisateur en attachant des balises : TagRole

    Pour plus d’informations, consultez Gestion des balises sur les utilisateurs IAM (AWS CLI ou API AWS).

  4. (Facultatif) Définissez la limite des autorisations pour le rôle : PutRolePermissionsBoundary

    Une limite d'autorisations contrôle les autorisations maximum dont un rôle peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.