Création d'un rôle pour la fédération SAML 2.0 (console) - AWS Identity and Access Management

Création d'un rôle pour la fédération SAML 2.0 (console)

Vous pouvez utiliser la fédération SAML 2.0 plutôt que de créer des utilisateurs IAM dans votre compte AWS. Un fournisseur d'identité vous permet de gérer vos identités utilisateur en dehors d'AWS et de leur accorder les autorisations nécessaires pour accéder aux ressources AWS de votre compte. Pour plus d'informations sur la fédération et les fournisseurs d'identité, consultez Fournisseurs d'identité et fédération.

Prérequis pour la création d'un rôle pour SAML

Avant de pouvoir créer un rôle pour la fédération SAML 2.0, vous devez tout d'abord suivre les étapes requises suivantes.

Pour préparer la création d'un rôle pour la fédération SAML 2.0
  1. Avant de créer un rôle pour la fédération SAML, vous devez créer un fournisseur SAML dans IAM. Pour plus d’informations, veuillez consulter Création de fournisseurs d'identité SAML IAM.

  2. Préparez les politiques pour le rôle que les utilisateurs authentifiés SAML 2.0 vont endosser. Comme n'importe quel rôle, celui de la fédération SAML inclut deux politiques. L'une est la politique de confiance de rôle qui spécifie la personne capable d'endosser le rôle. L'autre est la politique d'autorisations IAM qui spécifie les actions et les ressources AWS auxquelles l'utilisateur fédéré peut accéder ou non.

    Lorsque vous créez la politique de confiance pour votre rôle, vous devez utiliser trois valeurs pour vous assurer que seule votre application peut assumer le rôle :

    • Pour l'élément Action, utilisez l'action sts:AssumeRoleWithSAML.

    • Pour l'élément Principal, utilisez la chaîne {"Federated":ARNofIdentityProvider}. Remplacez ARNofIdentityProvider par l'ARN du fournisseur d'identité SAML que vous avez créé dans Étape 1.

    • Pour l'élément Condition, utilisez une condition StringEquals pour vérifier que l'attribut saml:aud de la réponse SAML correspond au point de terminaison de fédération SAML pour AWS.

    L'exemple suivant de politique de confiance est conçu pour un utilisateur fédéré SAML :

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": "sts:AssumeRoleWithSAML", "Principal": {"Federated": "arn:aws:iam::account-id:saml-provider/PROVIDER-NAME"}, "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}} } }

    Remplacez l'ARN principal par l'ARN réel pour le fournisseur SAML que vous avez créé dans IAM. Il utilisera votre propre ID de compte et nom du fournisseur.

Création d'un rôle pour SAML

Après avoir exécuté les étapes prérequises, vous pouvez créer le rôle pour la fédération basée sur SAML.

Pour créer un rôle pour la fédération basée sur SAML
  1. Connectez-vous à la AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

  3. Choisissez le type de rôle Fédération SAML 2.0.

  4. Pour Select a SAML provider (Sélectionnez un fournisseur SAML), choisissez le fournisseur de votre rôle.

  5. Choisissez la méthode de niveau d'accès SAML 2.0.

    • Choisissez Permettre l'accès par programme uniquement pour créer un rôle pouvant être endossé par programmation à partir de l'API AWS ou de l'AWS CLI.

    • Sélectionnez Allow programmatic and AWS Management Console access (Permettre l'accès par programme et via la console) pour créer un rôle qui peut être endossé à partir de la console et via la AWS Management Console.

    Les rôles créés par les deux méthodes sont similaires, mais le rôle qui peut aussi être endossé depuis la console inclut une politique d'approbation contenant une condition particulière. Cette condition vérifie explicitement que l'audience SAML (l'attribut SAML:aud) est définie sur le point de terminaison de connexion AWS pour SAML (https://signin.aws.amazon.com/saml).

  6. Si vous créez un rôle pour un accès par programme, choisissez un attribut dans la liste Attribut. Ensuite, dans le champ Value (Valeur), tapez une valeur à inclure dans le rôle. Cette valeur restreint l'accès au rôle aux utilisateurs du fournisseur d'identité dont la réponse d'authentification SAML (assertion) inclut les attributs que vous spécifiez. Vous devez spécifier au moins un attribut afin de garantir la limitation du rôle à un sous-ensemble d'utilisateurs de votre organisation.

    Si vous créez un rôle pour l'accès par programmation et via la console, l'attribut SAML:aud est automatiquement ajouté et sa valeur est définie sur l'URL du point de terminaison SAML AWS (https://signin.aws.amazon.com/saml).

  7. Pour ajouter d'autres conditions liées aux attributs à la politique d'approbation, choisissez Condition (optional) (Conditions [facultatif]), sélectionnez la condition supplémentaire et spécifiez une valeur.

    Note

    La liste inclut les attributs SAML les plus couramment utilisés. IAM prend en charge des attributs supplémentaires que vous pouvez utiliser pour créer des conditions. Pour obtenir la liste des attributs pris en charge, veuillez consulter Clés disponibles pour la fédération SAML. Si vous avez besoin d'une condition pour un attribut SAML pris en charge ne figurant pas dans la liste, vous pouvez ajouter cette condition manuellement. Pour ce faire, modifiez la politique de confiance après la création du rôle.

  8. Passez en revue les informations d'approbation SAML 2.0, puis choisissez Next: Permissions (Suivant : Autorisations).

  9. IAM inclut une liste des politiques gérées par AWS et des politiques gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez Create policy (Créer une politique) pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d'informations, consultez Création de politiques IAM. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case en regard des stratégies d'autorisations que vous souhaitez octroyer aux utilisateurs à identité web. Si vous préférez, vous pouvez ne sélectionner aucune stratégie pour le moment, puis les attacher au rôle ultérieurement. Par défaut, un rôle ne dispose d'aucune autorisation.

  10. (Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée.

    Ouvrez la section Set permissions boundary (Définir une limite d'autorisations) et choisissez Use a permissions boundary to control the maximum role permissions (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). Sélectionnez la politique à utiliser comme limite d'autorisations.

  11. Choisissez Suivant.

  12. Choisissez Next: Review (Suivant : Vérification).

  13. Pour Role name (Nom du rôle), saisissez un nom de rôle. Les noms de rôle de votre compte AWS doivent être uniques. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés PRODROLE et prodrole. Vous ne pouvez pas modifier le nom du rôle après sa création, car d'autres ressources AWS pourraient le référencer.

  14. (Facultatif) Pour Description, saisissez une description pour le nouveau rôle.

  15. Choisissez Edit (Modifier) dans les sections Step 1: Select trusted entities (Étape 1 : sélection d'entités de confiance) ou Step 2: Add permissions (Étape 2 : ajouter des autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.

  16. (Facultatif) Ajoutez des métadonnées au rôle en associant les identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des ressources IAM.

  17. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

Après avoir créé le rôle, vous devez finaliser la relation d'approbation SAML en configurant le logiciel de votre fournisseur d'identité à l'aide d'informations sur AWS. Ces informations incluent les rôles que vous souhaitez que vos utilisateurs fédérés utilisent. Il s'agit de la configuration de la relation d'approbation des parties utilisatrices entre votre fournisseur d'identité et AWS. Pour plus d'informations, consultez Configuration de votre IdP SAML 2.0 à l'aide d'une relation d'approbation des parties utilisatrices et ajout de demandes.