Création d'un rôle pour la fédération SAML 2.0 (console) - AWS Identity and Access Management
Prérequis pour la création d'un rôle pour SAMLCréation d'un rôle pour SAML

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle pour la fédération SAML 2.0 (console)

Vous pouvez utiliser la fédération SAML 2.0 au lieu de créer des utilisateurs IAM dans votre. Compte AWS Avec un fournisseur d'identité (IdP), vous pouvez gérer vos identités d'utilisateurs en dehors de l'extérieur AWS et leur donner les autorisations d'accéder aux AWS ressources de votre compte. Pour plus d'informations sur la fédération et les fournisseurs d'identité, consultez Fournisseurs d'identité et fédération.

Note

Pour améliorer la résilience de la fédération, nous vous recommandons de configurer votre IdP et votre fédération AWS pour prendre en charge plusieurs points de terminaison de connexion SAML. Pour plus de détails, consultez l'article du blog sur la AWS sécurité Comment utiliser les points de terminaison SAML régionaux pour le basculement.

Prérequis pour la création d'un rôle pour SAML

Avant de pouvoir créer un rôle pour la fédération SAML 2.0, vous devez tout d'abord suivre les étapes requises suivantes.

Pour préparer la création d'un rôle pour la fédération SAML 2.0

  1. Avant de créer un rôle pour la fédération SAML, vous devez créer un fournisseur SAML dans IAM. Pour plus d’informations, veuillez consulter Création d'un fournisseur d'identité SAML dans IAM.

  2. Préparez les politiques pour le rôle que les utilisateurs authentifiés SAML 2.0 vont endosser. Comme n'importe quel rôle, celui de la fédération SAML inclut deux politiques. L'une est la politique de confiance de rôle qui spécifie la personne capable d'endosser le rôle. L'autre est la politique d'autorisations IAM qui spécifie les AWS actions et les ressources auxquelles l'utilisateur fédéré est autorisé ou non à accéder.

    Lorsque vous créez la politique de confiance pour votre rôle, vous devez utiliser trois valeurs pour vous assurer que seule votre application peut assumer le rôle :

    • Pour l'élément Action, utilisez l'action sts:AssumeRoleWithSAML.

    • Pour l'élément Principal, utilisez la chaîne {"Federated":ARNofIdentityProvider}. Remplacez ARNofIdentityProvider par l'ARN du fournisseur d'identité SAML que vous avez créé dans Étape 1.

    • Pour l'élément Condition, utilisez une condition StringEquals pour vérifier que l'attribut saml:aud de la réponse SAML correspond au point de terminaison de fédération SAML pour AWS.

    L'exemple suivant de politique de confiance est conçu pour un utilisateur fédéré SAML :

    {
    "Version": "2012-10-17",
    "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRoleWithSAML",
      "Principal": {"Federated": "arn:aws:iam::account-id:saml-provider/PROVIDER-NAME"},
      "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}}
    }
  }

    Remplacez l'ARN principal par l'ARN réel pour le fournisseur SAML que vous avez créé dans IAM. Il utilisera votre propre ID de compte et nom du fournisseur.

Création d'un rôle pour SAML

Après avoir exécuté les étapes prérequises, vous pouvez créer le rôle pour la fédération basée sur SAML.

Pour créer un rôle pour la fédération basée sur SAML

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de la console IAM, sélectionnez Roles (Rôles), puis Create role (Créer un rôle).

  3. Choisissez le type de rôle Fédération SAML 2.0.

  4. Pour Select a SAML provider (Sélectionnez un fournisseur SAML), choisissez le fournisseur de votre rôle.

  5. Choisissez la méthode de niveau d'accès SAML 2.0.

    • Choisissez Autoriser l'accès par programmation uniquement pour créer un rôle pouvant être assumé par programmation depuis l' AWS API ou. AWS CLI

    • Choisissez Autoriser la programmation et AWS Management Console l'accès pour créer un rôle qui peut être assumé par programmation et à partir du. AWS Management Console

    Les rôles créés par les deux méthodes sont similaires, mais le rôle qui peut aussi être endossé depuis la console inclut une politique d'approbation contenant une condition particulière. Cette condition vérifie explicitement que l'audience SAML (l'attribut SAML:aud) est définie sur le point de terminaison de connexion AWS pour SAML (https://signin.aws.amazon.com/saml).

  6. Si vous créez un rôle pour un accès par programme, choisissez un attribut dans la liste Attribut. Ensuite, dans le champ Value (Valeur), tapez une valeur à inclure dans le rôle. Cette valeur restreint l'accès au rôle aux utilisateurs du fournisseur d'identité dont la réponse d'authentification SAML (assertion) inclut les attributs que vous spécifiez. Vous devez spécifier au moins un attribut afin de garantir la limitation du rôle à un sous-ensemble d'utilisateurs de votre organisation.

    Si vous créez un rôle pour l'accès par programmation et via la console, l'attribut SAML:aud est automatiquement ajouté et sa valeur est définie sur l'URL du point de terminaison SAML AWS (https://signin.aws.amazon.com/saml).

  7. Pour ajouter d'autres conditions liées aux attributs à la politique d'approbation, choisissez Condition (optional) (Conditions [facultatif]), sélectionnez la condition supplémentaire et spécifiez une valeur.

    Note

    La liste inclut les attributs SAML les plus couramment utilisés. IAM prend en charge des attributs supplémentaires que vous pouvez utiliser pour créer des conditions. Pour obtenir la liste des attributs pris en charge, veuillez consulter Clés disponibles pour la fédération SAML. Si vous avez besoin d'une condition pour un attribut SAML pris en charge ne figurant pas dans la liste, vous pouvez ajouter cette condition manuellement. Pour ce faire, modifiez la politique de confiance après la création du rôle.

  8. Passez en revue les informations d'approbation SAML 2.0, puis choisissez Next: Permissions (Suivant : Autorisations).

  9. IAM inclut une liste des politiques AWS gérées et gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez Create policy (Créer une politique) pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour plus d’informations, consultez Création de politiques IAM. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case à côté des politiques d'autorisation que vous souhaitez appliquer aux utilisateurs fédérés OIDC. Si vous préférez, vous pouvez ne sélectionner aucune stratégie pour le moment, puis les attacher au rôle ultérieurement. Par défaut, un rôle ne dispose d'aucune autorisation.

  10. (Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée.

    Ouvrez la section Set permissions boundary (Définir une limite d'autorisations) et choisissez Use a permissions boundary to control the maximum role permissions (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). Sélectionnez la politique à utiliser comme limite d'autorisations.

  11. Choisissez Suivant.

  12. Choisissez Suivant : vérification.

  13. Pour Role name (Nom du rôle), saisissez un nom de rôle. Les noms de rôles doivent être uniques au sein de votre Compte AWS. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés PRODROLE et prodrole. Dans la mesure AWS où d'autres ressources peuvent faire référence au rôle, vous ne pouvez pas modifier le nom du rôle une fois celui-ci créé.

  14. (Facultatif) Pour Description, saisissez une description pour le nouveau rôle.

  15. Choisissez Edit (Modifier) dans les sections Step 1: Select trusted entities (Étape 1 : sélection d'entités de confiance) ou Step 2: Add permissions (Étape 2 : ajouter des autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.

  16. (Facultatif) Ajoutez des métadonnées au rôle en associant les identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balises dans IAM, veuillez consulter Balisage des ressources IAM.

  17. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

Après avoir créé le rôle, vous devez finaliser la relation d'approbation SAML en configurant le logiciel de votre fournisseur d'identité à l'aide d'informations sur AWS. Ces informations incluent les rôles que vous souhaitez que vos utilisateurs fédérés utilisent. Il s'agit de la configuration de la relation d'approbation des parties utilisatrices entre votre fournisseur d'identité et AWS. Pour plus d'informations, voir Configurez votre IdP SAML 2.0 en vous fiant à la confiance des parties et en ajoutant des réclamations.