Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Considérations relatives à l'IAM Identity Center
Les rubriques suivantes fournissent des conseils pour configurer IAM Identity Center pour des environnements spécifiques. Avant de procéder, prenez connaissance des consignes qui s'appliquent à votre environnementPartie 2 : Création d'un utilisateur administratif dans IAM Identity Center.
Rubriques
Active Directory ou IdP externe
Si vous gérez déjà des utilisateurs et des groupes dans Active Directory ou un IdP externe, nous vous recommandons d'envisager de connecter cette source d'identité lorsque vous activez IAM Identity Center et que vous choisissez votre source d'identité. Cette opération avant de créer des utilisateurs et des groupes dans le répertoire par défaut d'Identity Center vous permettra d'éviter la configuration supplémentaire requise si vous modifiez votre source d'identité ultérieurement.
Si vous souhaitez utiliser Active Directory comme source d'identité, votre configuration doit répondre aux conditions préalables suivantes :
-
Si vous utilisez AWS Managed Microsoft AD, vous devez activer IAM Identity Center au même Région AWS endroit où votre AWS Managed Microsoft AD annuaire est configuré. IAM Identity Center stocke les données d'attribution dans la même région que le répertoire. Pour administrer IAM Identity Center, vous devrez peut-être passer à la région dans laquelle IAM Identity Center est configuré. Notez également que le portail AWS d'accès utilise la même URL d'accès que votre annuaire.
-
Utilisez un Active Directory résidant dans votre compte de gestion :
Vous devez disposer d'un AD Connector ou d'un AWS Managed Microsoft AD annuaire AD Connector existant dans votre compte de gestion AWS Directory Service, et celui-ci doit résider dans votre compte AWS Organizations de gestion. Vous ne pouvez connecter qu'un seul AD Connector ou un seul AWS Managed Microsoft AD à la fois. Si vous devez prendre en charge plusieurs domaines ou forêts, utilisez AWS Managed Microsoft AD. Pour plus d’informations, consultez :
-
Connectez un annuaire AWS Managed Microsoft AD à IAM Identity Center dans le guide de l'AWS IAM Identity Center utilisateur.
-
Connectez un annuaire autogéré dans Active Directory à IAM Identity Center dans le guide de l'AWS IAM Identity Center utilisateur.
-
-
Utilisez un Active Directory résidant dans le compte administrateur délégué :
Si vous envisagez d'activer l'administration déléguée d'IAM Identity Center et d'utiliser Active Directory comme source d'identité IAM, vous pouvez utiliser un AD Connector existant ou un AWS Managed Microsoft AD annuaire configuré dans un AWS annuaire résidant dans le compte d'administrateur délégué.
Si vous décidez de remplacer la source d'IAM Identity Center par une autre source par Active Directory, ou de passer d'Active Directory à une autre source, le répertoire doit résider (appartenir à) le compte membre administrateur délégué d'IAM Identity Center, s'il en existe un ; sinon, il doit figurer dans le compte de gestion.
AWS Organizations
Vous Compte AWS devez être géré par AWS Organizations. Si vous n'avez pas créé d'organisation, vous n'êtes pas obligé de le faire. Lorsque vous activez IAM Identity Center, vous pouvez choisir de AWS créer une organisation pour vous.
Si vous l'avez déjà configuré AWS Organizations, assurez-vous que toutes les fonctionnalités sont activées. Pour de plus amples informations, consultez Activation de toutes les fonctionnalités de l'organisation dans le Guide de l'utilisateur AWS Organizations .
Pour activer IAM Identity Center, vous devez vous connecter au en AWS Management Console utilisant les informations d'identification de votre compte de AWS Organizations gestion. Vous ne pouvez pas activer IAM Identity Center lorsque vous êtes connecté avec les informations d'identification d'un compte AWS Organizations membre. Pour plus d'informations, consultez la section Création et gestion d'une AWS organisation dans le guide de AWS Organizations l'utilisateur.
Rôles IAM
Si vous avez déjà configuré des rôles IAM dans votre compte Compte AWS, nous vous recommandons de vérifier si votre compte atteint le quota de rôles IAM. Pour plus d'informations, consultez la section Quotas d'objets IAM.
Si vous approchez du quota, pensez à demander une augmentation du quota. Sinon, vous risquez de rencontrer des problèmes avec IAM Identity Center lorsque vous attribuez des ensembles d'autorisations à des comptes qui ont dépassé le quota de rôles IAM. Pour plus d'informations sur la procédure à suivre pour demander une augmentation de quota, voir Demande d'augmentation de quota dans le Guide de l'utilisateur du Service Quotas.
Pare-feux de nouvelle génération et passerelles Web sécurisées
Si vous filtrez l'accès à des AWS domaines ou points de terminaison d'URL spécifiques à l'aide d'une solution de filtrage de contenu Web telle que NGFWs ou SWGs, vous devez ajouter les domaines ou points de terminaison d'URL suivants aux listes d'autorisation de votre solution de filtrage de contenu Web.
Domaines DNS spécifiques
*.awsapps.com (http://awsapps.com/)
*.signin.aws
Points de terminaison d'URL spécifiques
[yourdirectory]https://.awsapps.com/start[yourdirectory]https://.awsapps.com/loginhttps ://
[yourregion].signin. aws/platform/login
