Fédération avec IAM Identiy Center Fédération avec IAM Fédération avec les réserves d'identités Amazon Cognito

Fournisseurs d'identité et fédération

Si vous gérez déjà les identités des utilisateurs en dehors de AWS, vous pouvez utiliser des fournisseurs d'identité au lieu de créer des utilisateurs IAM dans votre Compte AWS. Avec un fournisseur d'identité (IdP), vous pouvez gérer les identités de vos utilisateurs en dehors de votre AWS compte et leur donner l'autorisation d'utiliser les AWS ressources de votre compte. Ceci est utile si votre organisation dispose déjà de son propre système d'identité, par exemple un répertoire d'utilisateurs d'entreprise. Il en est de même si vous créez une application web ou mobile devant accéder aux ressources AWS .

Un IdP externe fournit des informations d'identité à l' AWS aide d'OpenID Connect (OIDC) ou de SAML 2.0 (Security Assertion Markup Language 2.0). L'OIDC connecte des applications, telles que GitHub Actions, qui ne s'exécutent pas sur AWS des AWS ressources. Shibboleth et Active Directory Federation Services sont des exemples de fournisseurs d'identité SAML bien connus.

Note

En tant que bonne pratique de sécurité, nous vous recommandons de gérer les utilisateurs humains dans l'IAM Identity Center avec un fournisseur d'identité SAML externe plutôt que d'utiliser la fédération SAML dans IAM. Pour en savoir plus sur les situations spécifiques dans lesquelles un utilisateur IAM est nécessaire, veuillez consulter Quand créer un utilisateur IAM (au lieu d'un rôle).

Lorsque vous utilisez un fournisseur d'identité , vous n'avez pas à créer de code de connexion personnalisé ni à gérer vos propres identités utilisateur. L'IdP prévoit cela pour vous. Vos utilisateurs externes se connectent via un IdP, et vous pouvez autoriser ces identités externes à utiliser les AWS ressources de votre compte. Les fournisseurs d'identité contribuent à votre Compte AWS sécurité car vous n'avez pas à distribuer ou à intégrer des informations de sécurité à long terme, telles que des clés d'accès, dans votre application.

Ce guide aborde la fédération IAM. Votre cas d'utilisation pourrait être mieux pris en charge par IAM Identity Center ou Amazon Cognito. Les résumés et le tableau suivants fournissent une vue d'ensemble des méthodes que vos utilisateurs peuvent utiliser pour obtenir un accès fédéré aux AWS ressources.

	Account type (Type de compte)	Gestion de l'accès de…	Source d'identité prise en charge
Fédération avec IAM Identiy Center	Plusieurs comptes gérés par AWS Organizations	Les utilisateurs humains de votre personnel	SAML 2.0 Managed Active Directory Répertoire d'Identity Center
Fédération avec IAM	Compte unique et autonome	Utilisateurs humains dans le cadre de déploiements à court terme et à petite échelle Utilisateurs machines	SAML 2.0 OIDC
Fédération avec les réserves d'identités Amazon Cognito	N’importe quel compte	Les utilisateurs d'applications qui nécessitent une autorisation IAM pour accéder aux ressources	SAML 2.0 OIDC Sélectionner les fournisseurs d'identité sociaux OAuth 2.0

Fédération avec IAM Identiy Center

Pour une gestion centralisée des accès des utilisateurs humains, nous vous recommandons d'utiliser IAM Identity Center pour gérer l'accès à vos comptes et les autorisations au sein de ceux-ci. Les utilisateurs d'IAM Identity Center reçoivent des informations d'identification à court terme pour vos AWS ressources. Vous pouvez utiliser Active Directory, un fournisseur d'identité externe (IdP) ou un annuaire IAM Identity Center comme source d'identité permettant aux utilisateurs et aux groupes d'attribuer l'accès à vos ressources. AWS

IAM Identity Center prend en charge la fédération des identités avec le langage SAML (Security Assertion Markup Language) 2.0 afin de fournir un accès d'authentification unique fédéré aux utilisateurs autorisés à utiliser les applications du portail d'accès. AWS Les utilisateurs peuvent ensuite se connecter de manière unique aux services compatibles SAML, notamment aux applications AWS Management Console et aux applications tierces, telles que Microsoft 365, SAP Concur et Salesforce.

Fédération avec IAM

Bien que nous recommandions fortement de gérer les utilisateurs humains dans IAM Identity Center, vous pouvez activer l'accès utilisateur fédéré avec IAM pour les utilisateurs humains dans le cadre de déploiements à court terme et à petite échelle. IAM vous permet d'utiliser des protocoles SAML 2.0 et Open ID Connect (OIDC) distincts IdPs et d'utiliser des attributs utilisateur fédérés pour le contrôle d'accès. Avec IAM, vous pouvez transmettre des attributs utilisateur, tels que le centre de coûts, le titre ou les paramètres régionaux, de votre compte IdPs à AWS, et mettre en œuvre des autorisations d'accès détaillées en fonction de ces attributs.

Une charge de travail est un ensemble de ressources et de code qui fournit une valeur business, par exemple une application destinée au client ou un processus de backend. Votre charge de travail peut nécessiter une identité IAM pour envoyer des demandes aux AWS services, aux applications, aux outils opérationnels et aux composants. Ces identités incluent les machines exécutées dans vos AWS environnements, telles que les instances ou AWS Lambda les fonctions Amazon EC2.

Vous pouvez également gérer les Identités machine pour les parties externes qui ont besoin d'un accès. Pour donner accès aux identités des machines, vous pouvez utiliser des rôles IAM. Les rôles IAM disposent d'autorisations spécifiques et fournissent un moyen d'accès AWS en s'appuyant sur des informations d'identification de sécurité temporaires associées à une session de rôle. En outre, il se peut AWS que des machines extérieures aient besoin d'accéder à vos AWS environnements. Pour les machines qui s'exécutent en dehors de AWS vous, vous pouvez utiliser IAM Roles Anywhere. Pour plus d'informations sur les rôles , consultez Rôles IAM. Pour plus de détails sur l'utilisation des rôles pour déléguer l'accès entre Comptes AWS eux, consultezDidacticiel IAM : déléguer l'accès entre des comptes AWS à l'aide des rôles IAM.

Pour lier un IdP directement à IAM, vous devez créer une entité fournisseur d'identité afin d'établir une relation de confiance entre vous et Compte AWS l'IdP. Les supports IAM sont IdPs compatibles avec OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0). Pour plus d'informations sur l'utilisation de l'un d' IdPs entre eux avec AWS, consultez les sections suivantes :

Fédération avec les réserves d'identités Amazon Cognito

Amazon Cognito est conçu pour les développeurs qui souhaitent authentifier et autoriser les utilisateurs dans leurs applications mobiles et Web. Les groupes d'utilisateurs Amazon Cognito ajoutent des fonctionnalités de connexion et d'inscription à votre application, et les réserves d'identités fournissent des informations d'identification IAM qui permettent à vos utilisateurs d'accéder aux ressources protégées que vous gérez dans AWS. Les réserves d'identités obtiennent des informations d'identification pour les sessions temporaires par le biais de l'opération API AssumeRoleWithWebIdentity.

Amazon Cognito travaille avec des fournisseurs d'identité externes qui prennent en charge SAML et OpenID Connect, ainsi qu'avec des fournisseurs d'identité sociaux tels que Facebook, Google et Amazon. Votre application peut connecter un utilisateur appartenant à un groupe d'utilisateurs ou à un IdP externe, puis récupérer des ressources en son nom grâce à des sessions temporaires personnalisées dans un rôle IAM.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression de rôles ou de profils d'instance

Scénarios courants