Création d'un rôle pour la fédération SAML 2.0 (console) - AWS Gestion de l’identité et des accès
Conditions préalables à la création d'un rôle pour SAMLCréation d'un rôle pour SAML

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un rôle pour la fédération SAML 2.0 (console)

Vous pouvez utiliser la fédération SAML 2.0 au lieu de créer des IAM utilisateurs dans votre Compte AWS. Avec un fournisseur d'identité (IdP), vous pouvez gérer vos identités d'utilisateurs en dehors de l'extérieur AWS et leur donner les autorisations d'accéder aux AWS ressources de votre compte. Pour plus d'informations sur la fédération et les fournisseurs d'identité, consultez Fournisseurs d'identité et fédération.

Note

Pour améliorer la résilience de la fédération, nous vous recommandons de configurer votre IdP AWS et votre fédération pour prendre en charge SAML plusieurs points de terminaison de connexion. Pour plus de détails, consultez l'article du blog sur la AWS sécurité Comment utiliser les SAML points de terminaison régionaux pour le basculement.

Conditions préalables à la création d'un rôle pour SAML

Avant de créer un rôle pour la fédération SAML 2.0, vous devez d'abord suivre les étapes préalables suivantes.

Pour préparer la création d'un rôle pour la fédération SAML 2.0

  1. Avant de créer un rôle pour une fédération SAML basée, vous devez créer un SAML fournisseur dansIAM. Pour de plus amples informations, veuillez consulter Créez un fournisseur SAML d'identité dans IAM.

  2. Préparez les politiques pour le rôle que les utilisateurs SAML authentifiés 2.0 joueront. Comme pour tout rôle, le rôle de la SAML fédération comprend deux politiques. L'une est la politique de confiance de rôle qui spécifie la personne capable d'endosser le rôle. L'autre est la politique d'IAMautorisation qui spécifie les AWS actions et les ressources auxquelles l'utilisateur fédéré est autorisé ou non à accéder.

    Lorsque vous créez la politique de confiance pour votre rôle, vous devez utiliser trois valeurs pour vous assurer que seule votre application peut assumer le rôle :

    • Pour l'élément Action, utilisez l'action sts:AssumeRoleWithSAML.

    • Pour l'élément Principal, utilisez la chaîne {"Federated":ARNofIdentityProvider}. ARNofIdentityProviderRemplacez-le par celui ARN du fournisseur SAML d'identité dans lequel vous l'avez crééÉtape 1.

    • Pour l'Conditionélément, utilisez une StringEquals condition pour vérifier que l'saml:audattribut de la SAML réponse correspond au point de terminaison de la SAML fédération pour AWS.

    L'exemple de politique de confiance suivant est conçu pour un utilisateur SAML fédéré :

    {
    "Version": "2012-10-17",
    "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRoleWithSAML",
      "Principal": {"Federated": "arn:aws:iam::account-id:saml-provider/PROVIDER-NAME"},
      "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}}
    }
  }

    Remplacez le principal ARN par le principal ARN pour le SAML fournisseur dans lequel vous l'avez crééIAM. Il utilisera votre propre ID de compte et nom du fournisseur.

Création d'un rôle pour SAML

Après avoir effectué les étapes préalables, vous pouvez créer le rôle pour la fédération SAML basée.

Pour créer un rôle pour une fédération SAML basée

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation de la IAM console, sélectionnez Rôles, puis sélectionnez Créer un rôle.

  3. Choisissez le type de rôle de fédération SAML 2.0.

  4. Pour Sélectionner un SAML fournisseur, choisissez le fournisseur correspondant à votre rôle.

  5. Choisissez la méthode du niveau d'accès SAML 2.0.

    • Choisissez Autoriser l'accès par programmation uniquement pour créer un rôle qui peut être assumé par programmation à partir du ou. AWS API AWS CLI

    • Choisissez Autoriser la programmation et AWS Management Console l'accès pour créer un rôle qui peut être assumé par programmation et à partir du. AWS Management Console

    Les rôles créés par les deux méthodes sont similaires, mais le rôle qui peut aussi être endossé depuis la console inclut une politique d'approbation contenant une condition particulière. Cette condition garantit explicitement que l'SAMLaudience (SAML:audattribut) est définie sur le point de terminaison de AWS connexion pour SAML (https://signin.aws.amazon.com/saml).

  6. Si vous créez un rôle pour un accès par programme, choisissez un attribut dans la liste Attribut. Ensuite, dans le champ Value (Valeur), tapez une valeur à inclure dans le rôle. Cela limite l'accès aux rôles aux utilisateurs du fournisseur d'identité dont la réponse SAML d'authentification (assertion) inclut les attributs que vous spécifiez. Vous devez spécifier au moins un attribut afin de garantir la limitation du rôle à un sous-ensemble d'utilisateurs de votre organisation.

    Si vous créez un rôle pour l'accès à la programmation et à la console, l'SAML:audattribut est automatiquement ajouté et défini sur le point URL de AWS SAML terminaison (https://signin.aws.amazon.com/saml).

  7. Pour ajouter d'autres conditions liées aux attributs à la politique d'approbation, choisissez Condition (optional) (Conditions [facultatif]), sélectionnez la condition supplémentaire et spécifiez une valeur.

    Note

    La liste inclut les SAML attributs les plus couramment utilisés. IAMprend en charge des attributs supplémentaires que vous pouvez utiliser pour créer des conditions. Pour obtenir la liste des attributs pris en charge, voir Clés disponibles pour SAML la fédération. Si vous avez besoin d'une condition pour un SAML attribut pris en charge qui ne figure pas dans la liste, vous pouvez l'ajouter manuellement. Pour ce faire, modifiez la politique de confiance après la création du rôle.

  8. Passez en revue vos informations de confiance SAML 2.0, puis choisissez Next.

  9. IAMinclut une liste des politiques AWS gérées et gérées par le client dans votre compte. Sélectionnez la politique à utiliser pour la politique d'autorisations ou choisissez Create policy (Créer une politique) pour ouvrir un nouvel onglet de navigateur et créer une nouvelle politique de bout en bout. Pour de plus amples informations, veuillez consulter Création de IAM politiques. Une fois la politique créée, fermez cet onglet et revenez à l'onglet initial. Cochez la case à côté des politiques d'autorisation que vous souhaitez OIDC appliquer aux utilisateurs fédérés. Si vous préférez, vous pouvez ne sélectionner aucune stratégie pour le moment, puis les attacher au rôle ultérieurement. Par défaut, un rôle ne dispose d'aucune autorisation.

  10. (Facultatif) Définissez une limite d'autorisations. Il s'agit d'une fonctionnalité avancée.

    Ouvrez la section Set permissions boundary (Définir une limite d'autorisations) et choisissez Use a permissions boundary to control the maximum role permissions (Utiliser une limite d'autorisations pour contrôler le nombre maximum d'autorisations de rôle). Sélectionnez la politique à utiliser comme limite d'autorisations.

  11. Choisissez Suivant.

  12. Choisissez Suivant : vérification.

  13. Pour Role name (Nom du rôle), saisissez un nom de rôle. Les noms de rôles doivent être uniques au sein de votre Compte AWS. Ils ne sont pas sensibles à la casse. Par exemple, vous ne pouvez pas créer deux rôles nommés PRODROLE et prodrole. Comme d'autres AWS ressources peuvent faire référence au rôle, vous ne pouvez pas modifier le nom du rôle une fois celui-ci créé.

  14. (Facultatif) Pour Description, saisissez une description pour le nouveau rôle.

  15. Choisissez Edit (Modifier) dans les sections Step 1: Select trusted entities (Étape 1 : sélection d'entités de confiance) ou Step 2: Add permissions (Étape 2 : ajouter des autorisations) pour modifier les cas d'utilisation et les autorisations pour le rôle.

  16. (Facultatif) Ajoutez des métadonnées au rôle en associant les identifications sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation de balises dansIAM, consultezTags pour les AWS Identity and Access Management ressources.

  17. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

Après avoir créé le rôle, vous complétez la SAML confiance en configurant le logiciel de votre fournisseur d'identité avec des informations sur AWS. Ces informations incluent les rôles que vous souhaitez que vos utilisateurs fédérés utilisent. Il s'agit de la configuration de la relation d'approbation des parties utilisatrices entre votre fournisseur d'identité et AWS. Pour de plus amples informations, veuillez consulter Configurez votre IdP SAML 2.0 en vous fiant à la confiance des parties et en ajoutant des réclamations.