Tutoriel IAM : Utiliser un AWS CloudFormation modèle pour créer un rôle IAM fédéré SAML - AWS Identity and Access Management
PrérequisCréation du rôle fédéréTestez le rôle fédéréSupprimer des ressourcesDétails du modèleModèle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Tutoriel IAM : Utiliser un AWS CloudFormation modèle pour créer un rôle IAM fédéré SAML

Lorsqu'un fournisseur d'identité (IdP) SAML est déjà configuré dans AWS votre compte, vous pouvez créer des rôles IAM fédérés qui font confiance à cet IdP. Ce didacticiel explique comment utiliser un AWS CloudFormation modèle pour créer un rôle IAM fédéré SAML qui peut être assumé par des utilisateurs authentifiés via votre IdP externe.

Le modèle crée un rôle IAM fédéré avec une politique de confiance qui permet à votre IdP SAML d'assumer ce rôle. Les utilisateurs authentifiés par votre IdP externe peuvent assumer ce rôle pour AWS accéder aux ressources en fonction des autorisations associées au rôle.

La ressource déployée comprend les éléments suivants :

  • Rôle IAM fédéré qui fait confiance à votre idP SAML existant.

  • Politiques gérées configurables qui peuvent être associées au rôle pour accorder des autorisations spécifiques.

  • Paramètres de limite d'autorisation et de durée de session facultatifs.

Prérequis

Le didacticiel présume que vous avez déjà ce qui suit en place :

  • Un IdP SAML existant configuré dans AWS votre compte. Si vous n'en avez pas, vous pouvez le créer à l'aide du Tutoriel IAM : Utiliser un AWS CloudFormation modèle pour créer un fournisseur d'identité SAML (IdP) didacticiel.

  • L'ARN de votre IdP SAML, que vous devrez spécifier en tant que paramètre lors de la création de la pile.

  • Python 3.6 ou version ultérieure installé sur votre machine locale pour exécuter la commande Python utilisée dans ce didacticiel pour formater le fichier XML de métadonnées SAML de votre IdP.

Créez un rôle fédéré SAML à l'aide de AWS CloudFormation

Pour créer le rôle fédéré SAML, vous allez créer un CloudFormation modèle et l'utiliser pour créer une pile contenant le rôle.

Création du modèle

Créez d'abord le CloudFormation modèle.

  1. Dans la Modèle section, cliquez sur l'icône de copie dans l'onglet JSON ou YAML pour copier le contenu du modèle.

  2. Collez le contenu du modèle dans un nouveau fichier.

  3. Enregistrez le fichier au niveau local.

Créez la pile .

Ensuite, utilisez le modèle que vous avez enregistré pour approvisionner une CloudFormation pile.

  1. Ouvrez la AWS CloudFormation console à l'adresse https://console.aws.amazon.com/cloudformation.

  2. Sur la page Stacks, dans le menu Créer une pile, choisissez avec de nouvelles ressources (standard).

  3. Spécifiez le modèle :

    1. Sous Prérequis, choisissez Choisir un modèle existant.

    2. Sous Spécifier le modèle, choisissez Charger un fichier modèle.

    3. Choisissez Choisir un fichier, naviguez jusqu'au fichier modèle, puis choisissez-le.

    4. Choisissez Suivant.

  4. Spécifiez les détails de la pile suivants :

    1. Entrez le nom de la pile.

    2. Pour l'SAMLProviderARN, entrez l'ARN de votre IdP SAML existant. Cela doit être dans le formatarn:aws:iam::123456789012:saml-provider/YourProviderName.

      Exemple : arn:aws:iam::123456789012:saml-provider/CompanyIdP

      Note

      Si vous avez créé votre IdP SAML à l'aide Tutoriel IAM : Utiliser un AWS CloudFormation modèle pour créer un fournisseur d'identité SAML (IdP) du didacticiel, vous trouverez l'ARN du fournisseur dans l'onglet Sorties de CloudFormation cette pile.

    3. En RoleNameeffet, vous pouvez laisser ce champ vide pour générer automatiquement un nom basé sur le nom de la pile, ou saisir un nom personnalisé pour le rôle IAM.

      Exemple : SAML-Developer-Access ou SAML-ReadOnly-Role

    4. Pour les autres paramètres, acceptez les valeurs par défaut ou entrez les vôtres en fonction de vos besoins :

      • RoleSessionDuration- Durée maximale de session en secondes (3600-43200, 7200 par défaut)

        Exemple : 14400 (4 heures)

      • RolePermissionsBoundary- ARN facultatif d'une politique de limite d'autorisations

        Exemple : arn:aws:iam::123456789012:policy/DeveloperBoundary

      • RolePath- Chemin pour le rôle IAM (la valeur par défaut est/)

        Exemple : /saml-roles/

      • ManagedPolicy1-5 - Possibilité ARNs de joindre jusqu'à 5 politiques gérées

        Exemple pour ManagedPolicy 1 : arn:aws:iam::aws:policy/ReadOnlyAccess

        Exemple pour ManagedPolicy 2 : arn:aws:iam::123456789012:policy/CustomPolicy

    5. Choisissez Suivant.

  5. Configurez les options de pile :

    1. Sous Options d'échec de la pile, choisissez Supprimer toutes les ressources nouvellement créées.

      Note

      Le choix de cette option vous évite d'être facturé pour des ressources dont la politique de suppression indique qu'elles doivent être conservées même en cas d'échec de la création de la pile.

    2. Acceptez toutes les autres valeurs par défaut.

    3. Sous Fonctionnalités, cochez la case pour confirmer que des ressources IAM CloudFormation peuvent être créées dans votre compte.

    4. Choisissez Suivant.

  6. Vérifiez les détails de la pile et choisissez Soumettre.

AWS CloudFormation crée la pile. Une fois la création de la pile terminée, les ressources de la pile sont prêtes à être utilisées. Vous pouvez utiliser l'onglet Ressources de la page détaillée de la pile pour afficher les ressources mises en service dans votre compte.

La pile produira la valeur suivante, que vous pouvez consulter dans l'onglet Sorties :

  • roLearn : l'ARN du rôle IAM créé (par exemple, arn:aws:iam::123456789012:role/SAML-Developer-Access ou arn:aws:iam::123456789012:role/stack-name-a1b2c3d4 s'il s'agit d'un nom généré automatiquement).

Vous aurez besoin de cet ARN de rôle lors de la configuration de votre IdP pour envoyer les attributs SAML appropriés pour l'attribution du rôle.

Tester le rôle fédéré SAML

Une fois le rôle fédéré SAML créé, vous pouvez vérifier sa configuration et tester la configuration de la fédération.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation, choisissez Roles (Rôles).

  3. Trouvez et choisissez le rôle fédéré que vous venez de créer.

    Si vous avez fourni un nom de rôle personnalisé, recherchez ce nom. Si vous avez laissé le RoleName paramètre vide, le rôle aura un nom généré automatiquement en fonction du nom de la pile et d'un identifiant unique.

  4. Cliquez sur l'onglet Relations de confiance pour consulter la politique de confiance.

    La politique de confiance doit indiquer que votre IdP SAML est fiable pour assumer ce rôle à condition que l'audience SAML:aud SAML () corresponde. https://signin.aws.amazon.com/saml

  5. Cliquez sur l'onglet Autorisations pour consulter les politiques jointes.

    Vous pouvez voir toutes les politiques gérées associées au rôle lors de sa création.

  6. Notez l'ARN du rôle affiché sur la page de résumé des rôles.

    Vous aurez besoin de cet ARN pour configurer votre IdP externe afin de permettre aux utilisateurs d'assumer ce rôle.

Votre rôle fédéré SAML est maintenant prêt à être utilisé. Configurez votre IdP externe pour inclure l'ARN de ce rôle dans les assertions SAML, et les utilisateurs authentifiés pourront assumer ce rôle pour accéder aux ressources. AWS

Nettoyage : suppression de ressources

Enfin, vous allez supprimer la pile et les ressources qu'elle contient.

  1. Ouvrez la AWS CloudFormation console.

  2. Sur la page Stacks, choisissez la pile créée à partir du modèle, choisissez Supprimer, puis confirmez Supprimer.

    CloudFormation initie la suppression de la pile et de toutes les ressources qu'elle contient.

CloudFormation détails du modèle

Ressources

Le AWS CloudFormation modèle de ce didacticiel créera la ressource suivante dans votre compte :

  • AWS::IAM::Role: rôle IAM fédéré qui peut être assumé par les utilisateurs authentifiés via votre IdP SAML.

Configuration

Le modèle inclut les paramètres configurables suivants :

  • RoleName- Nom du rôle IAM (laissez le champ vide pour le nom généré automatiquement)

  • SAMLProviderARN : ARN de l'IdP SAML (obligatoire)

  • RoleSessionDuration- Durée maximale de session en secondes (3600-43200, 7200 par défaut)

  • RolePermissionsBoundary- ARN facultatif de la politique de limite des autorisations

  • RolePath- Chemin du rôle IAM (par défaut/)

  • ManagedPolicy1-5 - Possibilité ARNs de joindre jusqu'à 5 politiques gérées

CloudFormation modèle

Enregistrez le code JSON ou YAML suivant dans un fichier distinct à utiliser comme CloudFormation modèle pour ce didacticiel.

JSON
{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Description": "[AWSDocs] IAM: tutorial_saml-federated-role",
  "Parameters": {
    "RoleName": {
      "Type": "String",
      "Description": "Name of the IAM Role (leave empty for auto-generated name like '{StackName}-{UniqueId}')",
      "Default": "",
      "AllowedPattern": "^$|^[\\w+=,.@-]{1,64}$",
      "ConstraintDescription": "Must be empty or 1-64 characters and can contain alphanumeric characters and +=,.@-"
    },
    "SAMLProviderARN": {
      "Type": "String",
      "Description": "ARN of the SAML Identity Provider",
      "AllowedPattern": "^arn:aws:iam::\\d{12}:saml-provider/[a-zA-Z0-9._-]+$",
      "ConstraintDescription": "Must be a valid SAML provider ARN"
    },
    "RoleSessionDuration": {
      "Type": "Number",
      "Description": "The maximum session duration (in seconds) that you want to set for the specified role (3600-43200)",
      "MinValue": 3600,
      "MaxValue": 43200,
      "Default": 7200
    },
    "RolePermissionsBoundary": {
      "Type": "String",
      "Description": "Optional ARN of the permissions boundary policy (leave empty for none)",
      "Default": ""
    },
    "RolePath": {
      "Type": "String",
      "Description": "Path for the IAM role (must start and end with /)",
      "Default": "/",
      "AllowedPattern": "^\/.*\/$|^\/$",
      "ConstraintDescription": "Role path must start and end with forward slash (/)"
    },
    "RoleManagedPolicy1": {
      "Type": "String",
      "Description": "Optional managed policy ARN 1",
      "Default": ""
    },
    "RoleManagedPolicy2": {
      "Type": "String",
      "Description": "Optional managed policy ARN 2",
      "Default": ""
    },
    "RoleManagedPolicy3": {
      "Type": "String",
      "Description": "Optional managed policy ARN 3",
      "Default": ""
    },
    "RoleManagedPolicy4": {
      "Type": "String",
      "Description": "Optional managed policy ARN 4",
      "Default": ""
    },
    "RoleManagedPolicy5": {
      "Type": "String",
      "Description": "Optional managed policy ARN 5",
      "Default": ""
    }
  },
  "Conditions": {
    "HasCustomRoleName": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleName"}, ""]}]},
    "HasPermissionsBoundary": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RolePermissionsBoundary"}, ""]}]},
    "HasPolicy1": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy1"}, ""]}]},
    "HasPolicy2": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy2"}, ""]}]},
    "HasPolicy3": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy3"}, ""]}]},
    "HasPolicy4": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy4"}, ""]}]},
    "HasPolicy5": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy5"}, ""]}]}
  },
  "Resources": {
    "SAMLFederatedRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "RoleName": {"Fn::If": ["HasCustomRoleName", {"Ref": "RoleName"}, {"Ref": "AWS::NoValue"}]},
        "Description": "IAM role with SAML provider trust",
        "MaxSessionDuration": {"Ref": "RoleSessionDuration"},
        "PermissionsBoundary": {"Fn::If": ["HasPermissionsBoundary", {"Ref": "RolePermissionsBoundary"}, {"Ref": "AWS::NoValue"}]},
        "Path": {"Ref": "RolePath"},
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Effect": "Allow",
              "Principal": {
                "Federated": {"Ref": "SAMLProviderARN"}
              },
              "Action": "sts:AssumeRoleWithSAML",
              "Condition": {
                "StringEquals": {
                  "SAML:aud": "https://signin.aws.amazon.com/saml"
                }
              }
            }
          ]
        },
        "ManagedPolicyArns": {
          "Fn::Split": [
            ",",
            {
              "Fn::Join": [
                ",",
                [
                  {"Fn::If": ["HasPolicy1", {"Ref": "RoleManagedPolicy1"}, {"Ref": "AWS::NoValue"}]},
                  {"Fn::If": ["HasPolicy2", {"Ref": "RoleManagedPolicy2"}, {"Ref": "AWS::NoValue"}]},
                  {"Fn::If": ["HasPolicy3", {"Ref": "RoleManagedPolicy3"}, {"Ref": "AWS::NoValue"}]},
                  {"Fn::If": ["HasPolicy4", {"Ref": "RoleManagedPolicy4"}, {"Ref": "AWS::NoValue"}]},
                  {"Fn::If": ["HasPolicy5", {"Ref": "RoleManagedPolicy5"}, {"Ref": "AWS::NoValue"}]}
                ]
              ]
            }
          ]
        }
      }
    }
  },
  "Outputs": {
    "RoleARN": {
      "Description": "ARN of the created IAM Role",
      "Value": {"Fn::GetAtt": ["SAMLFederatedRole", "Arn"]},
      "Export": {
        "Name": {"Fn::Sub": "${AWS::StackName}-RoleARN"}
      }
    }
  }
}
YAML
AWSTemplateFormatVersion: '2010-09-09'
Description: '[AWSDocs] IAM: tutorial_saml-federated-role'

Parameters:
  RoleName:
    Type: String
    Description: 'Name of the IAM Role (leave empty for auto-generated name like ''{StackName}-{UniqueId}'')'
    Default: ""
    AllowedPattern: '^$|^[\w+=,.@-]{1,64}$'
    ConstraintDescription: 'Must be empty or 1-64 characters and can contain alphanumeric characters and +=,.@-'
  
  SAMLProviderARN:
    Type: String
    Description: 'ARN of the SAML Identity Provider'
    AllowedPattern: '^arn:aws:iam::\d{12}:saml-provider/[a-zA-Z0-9._-]+$'
    ConstraintDescription: 'Must be a valid SAML provider ARN'
  
  RoleSessionDuration:
    Type: Number
    Description: 'The maximum session duration (in seconds) that you want to set for the specified role (3600-43200)'
    MinValue: 3600
    MaxValue: 43200
    Default: 7200
    
  RolePermissionsBoundary:
    Type: String
    Description: Optional ARN of the permissions boundary policy (leave empty for none)
    Default: ""

  RolePath:
    Type: String
    Description: 'Path for the IAM role (must start and end with /)'
    Default: "/"
    AllowedPattern: '^\/.*\/$|^\/$'
    ConstraintDescription: 'Role path must start and end with forward slash (/)'
  
  RoleManagedPolicy1:
    Type: String
    Description: Optional managed policy ARN 1
    Default: ""
  RoleManagedPolicy2:
    Type: String
    Description: Optional managed policy ARN 2
    Default: ""
  RoleManagedPolicy3:
    Type: String
    Description: Optional managed policy ARN 3
    Default: ""
  RoleManagedPolicy4:
    Type: String
    Description: Optional managed policy ARN 4
    Default: ""
  RoleManagedPolicy5:
    Type: String
    Description: Optional managed policy ARN 5
    Default: ""

Conditions:
  HasCustomRoleName: !Not [!Equals [!Ref RoleName, ""]]
  HasPermissionsBoundary: !Not [!Equals [!Ref RolePermissionsBoundary, ""]]
  HasPolicy1: !Not [!Equals [!Ref RoleManagedPolicy1, ""]]
  HasPolicy2: !Not [!Equals [!Ref RoleManagedPolicy2, ""]]
  HasPolicy3: !Not [!Equals [!Ref RoleManagedPolicy3, ""]]
  HasPolicy4: !Not [!Equals [!Ref RoleManagedPolicy4, ""]]
  HasPolicy5: !Not [!Equals [!Ref RoleManagedPolicy5, ""]]

Resources:
  SAMLFederatedRole:
    Type: 'AWS::IAM::Role'
    Properties:
      RoleName: !If
        - HasCustomRoleName
        - !Ref RoleName
        - !Ref AWS::NoValue
      Description: 'IAM role with SAML provider trust'
      MaxSessionDuration: !Ref RoleSessionDuration
      PermissionsBoundary: !If
        - HasPermissionsBoundary
        - !Ref RolePermissionsBoundary
        - !Ref AWS::NoValue
      Path: !Ref RolePath
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Federated: !Ref SAMLProviderARN
            Action: 'sts:AssumeRoleWithSAML'
            Condition:
              StringEquals:
                'SAML:aud': 'https://signin.aws.amazon.com/saml'
      ManagedPolicyArns:
        !Split
          - ','
          - !Join
            - ','
            - - !If [HasPolicy1, !Ref RoleManagedPolicy1, !Ref 'AWS::NoValue']
              - !If [HasPolicy2, !Ref RoleManagedPolicy2, !Ref 'AWS::NoValue']
              - !If [HasPolicy3, !Ref RoleManagedPolicy3, !Ref 'AWS::NoValue']
              - !If [HasPolicy4, !Ref RoleManagedPolicy4, !Ref 'AWS::NoValue']
              - !If [HasPolicy5, !Ref RoleManagedPolicy5, !Ref 'AWS::NoValue']

Outputs:
  RoleARN:
    Description: 'ARN of the created IAM Role'
    Value: !GetAtt SAMLFederatedRole.Arn
    Export:
      Name: !Sub '${AWS::StackName}-RoleARN'