Octroyer un accès à des Comptes AWS appartenant à des tierces parties - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Octroyer un accès à des Comptes AWS appartenant à des tierces parties

Lorsque des tiers ont besoin d'accéder à des ressources AWS de votre organisation, vous pouvez utiliser des rôles pour leur déléguer l'accès. Par exemple, un tiers peut fournir un service de gestion de vos ressources AWS. Les rôles IAM vous permettent d'accorder à ces tiers l'accès à vos ressources AWS sans partager vos informations d'identification de sécurité AWS. Par contre, le tiers peut accéder à vos ressources AWS en endossant un rôle que vous créez dans votre Compte AWS. Pour savoir si les principaux des comptes situés en dehors de votre zone de confiance (organisation ou compte de confiance) ont accès à vos rôles, consultez Qu'est-ce qu'IAM Access Analyzer ?.

Les tiers doivent vous fournir les informations suivantes pour vous permettre de créer un rôle qu'ils peuvent endosser :

  • L'ID de l'Compte AWS de la tierce partie. Vous spécifiez leur ID d'Compte AWS en tant que principal lorsque vous définissez la politique d'approbation pour le rôle.

  • Un ID externe à attacher uniquement à ce rôle. L'ID externe peut être n'importe quel identifiant qui n'est connu que de vous et de la tierce partie. Par exemple, vous pouvez utiliser un ID de facture entre les tiers et vous-même, mais n'utilisez aucun élément pouvant être deviné, tels que le nom ou le numéro de téléphone du tiers. Vous devez spécifier cet ID lorsque vous définissez la politique d'approbation pour le rôle. Les tiers doivent fournir cette ID lorsqu'ils endosser le rôle. Pour plus d'informations sur l'ID externe, consultez Procédure d'utilisation d'un ID externe lorsque vous accordez l'accès à vos ressources AWS à un tiers.

  • Les autorisations dont le tiers a besoin pour utiliser vos ressources AWS. Vous devez spécifier ces autorisations lors de la définition de la politique d'autorisation du rôle. Cette politique définit les actions que les utilisateurs tiers peuvent entreprendre et les ressources auxquelles ils peuvent accéder.

Après avoir créé le rôle, vous devez fournir l'Amazon Resource Name (ARN) du rôle au tiers. Il a besoin de l'ARN de votre rôle pour endosser le rôle.

Important

Lorsque vous accordez à des tiers l'accès à vos ressources AWS, ceux-ci peuvent accéder aux ressources que vous spécifiez dans la politique. L'utilisation de vos ressources par ces tiers vous est facturée. Veillez à limiter leur utilisation de vos ressources de façon appropriée.