AWS IAM Identity Center concepts pour le AWS CLI - AWS Command Line Interface
Qu'est-ce que IAM Identity CenterConditionsComment fonctionne IAM Identity CenterRessources supplémentaires

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS IAM Identity Center concepts pour le AWS CLI

Cette rubrique décrit les concepts clés de AWS IAM Identity Center (IAMIdentity Center). IAMIdentity Center est un IAM service basé sur le cloud qui simplifie la gestion de l'accès des utilisateurs à de multiples Comptes AWS applications et outils en s'intégrant aux fournisseurs d'identité (IdP) existants. SDKs Il permet l'authentification unique sécurisée, la gestion des autorisations et l'audit via un portail utilisateur centralisé, rationalisant ainsi la gouvernance des identités et des accès pour les entreprises.

Qu'est-ce que IAM Identity Center

IAMIdentity Center est un service de gestion des identités et des accès (IAM) basé sur le cloud qui vous permet de gérer de manière centralisée l'accès à Comptes AWS de multiples applications professionnelles.

Il fournit un portail utilisateur où les utilisateurs autorisés peuvent accéder aux applications Comptes AWS et aux applications pour lesquelles ils ont été autorisés, en utilisant leurs informations d'identification professionnelles existantes. Cela permet aux entreprises d'appliquer des politiques de sécurité cohérentes et de rationaliser la gestion des accès des utilisateurs.

Quel que soit l'IdP que vous utilisez, IAM Identity Center élimine ces distinctions. Par exemple, vous pouvez connecter Microsoft Azure AD comme décrit dans l'article de blog The Next Evolution in IAM Identity Center.

Note

Pour plus d'informations sur l'utilisation de l'authentification au porteur, qui n'utilise aucun identifiant de compte ni rôle, consultez la section Configuration pour utiliser l'authentification AWS CLI avec CodeCatalyst dans le guide de CodeCatalyst l'utilisateur Amazon.

Conditions

Les termes courants utilisés lors de l'utilisation IAM d'Identity Center sont les suivants :

Fournisseur d'identité

Un système de gestion des IAM identités tel qu'Identity Center, Microsoft Azure AD, Okta ou votre propre service d'annuaire d'entreprise.

AWS IAM Identity Center

IAMIdentity Center est le AWS service IdP détenu. Anciennement connu sous le AWS nom de Single Sign-On, SDKs les outils conservent les sso API espaces de noms pour des raisons de rétrocompatibilité. Pour plus d'informations, voir Renommer IAM Identity Center dans le guide de l'AWS IAM Identity Center utilisateur.

Portail d'accès AWS

Votre centre IAM d'identité unique URL pour accéder à vos services autorisés Comptes AWS et à vos ressources.

Fédération

Processus d'établissement de la confiance entre IAM Identity Center et un fournisseur d'identité pour activer l'authentification unique (SSO).

Comptes AWS

Le via Comptes AWS lequel vous fournissez l'accès aux utilisateurs AWS IAM Identity Center.

Ensembles d'autorisations, AWS informations d'identification, informations d'identification, informations d'identification sigv4

Collections prédéfinies d'autorisations qui peuvent être attribuées à des utilisateurs ou à des groupes pour qu'ils accordent l'accès Services AWS.

Champs d'enregistrement, champs d'accès, champs d'application

Les scopes sont un mécanisme de la OAuth version 2.0 qui limite l'accès d'une application au compte d'un utilisateur. Une application peut demander une ou plusieurs étendues, et le jeton d'accès délivré à l'application est limité aux étendues accordées. Pour plus d'informations sur les étendues, voir les étendues d'accès OAuth 2.0 dans le guide de l'utilisateur IAM d'Identity Center.

Jetons, jeton d'actualisation, jeton d'accès

Les jetons sont des identifiants de sécurité temporaires qui vous sont délivrés lors de l'authentification. Ces jetons contiennent des informations sur votre identité et les autorisations qui vous ont été accordées.

Lorsque vous accédez à une AWS ressource ou à une application via le portail IAM Identity Center, votre jeton est présenté à des AWS fins d'authentification et d'autorisation. Cela permet AWS de vérifier votre identité et de vous assurer que vous disposez des autorisations nécessaires pour effectuer les actions demandées.

Le jeton d'authentification est mis en cache sur le disque sous le ~/.aws/sso/cache répertoire avec un JSON nom de fichier basé sur le nom de session.

Session

Une session IAM Identity Center fait référence à la période pendant laquelle un utilisateur est authentifié et autorisé à accéder à AWS des ressources ou à des applications. Lorsqu'un utilisateur se connecte au portail IAM Identity Center, une session est établie et le jeton de l'utilisateur est valide pendant une durée spécifiée. Pour plus d'informations sur la définition de la durée des sessions, voir Définir la durée des sessions dans le Guide de l'AWS IAM Identity Center utilisateur.

Au cours de la session, vous pouvez naviguer entre différents AWS comptes et applications sans avoir à vous authentifier à nouveau, tant que leur session reste active. Lorsque la session expire, reconnectez-vous pour renouveler votre accès.

IAMLes sessions Identity Center contribuent à offrir une expérience utilisateur fluide tout en appliquant les meilleures pratiques de sécurité en limitant la validité des informations d'accès des utilisateurs.

Comment fonctionne IAM Identity Center

IAMIdentity Center s'intègre au fournisseur d'identité de votre organisation, tel qu'IAMIdentity Center, Microsoft Azure AD ou Okta. Les utilisateurs s'authentifient auprès de ce fournisseur d'IAMidentité, et Identity Center associe ensuite ces identités aux autorisations et aux accès appropriés au sein de votre AWS environnement.

Le flux de travail IAM Identity Center suivant suppose que vous avez déjà configuré le vôtre AWS CLI pour utiliser IAM Identity Center :

  1. Dans le terminal de votre choix, exécutez la aws sso login commande.

  2. Connectez-vous à votre compte Portail d'accès AWS pour démarrer une nouvelle session.

    • Lorsque vous démarrez une nouvelle session, vous recevez un jeton d'actualisation et un jeton d'accès mis en cache.

    • Si vous avez déjà une session active, la session existante est réutilisée et expire en même temps que la session existante.

  3. Sur la base du profil que vous avez défini dans votre config fichier, IAM Identity Center utilise les ensembles d'autorisations appropriés, accordant l'accès aux applications Comptes AWS et aux applications pertinentes.

  4. Les outils AWS CLI SDKs, et utilisent votre IAM rôle assumé pour effectuer des appels, par Services AWS exemple pour créer des compartiments Amazon S3 jusqu'à l'expiration de cette session.

  5. Le jeton d'accès d'IAMIdentity Center est vérifié toutes les heures et est automatiquement actualisé à l'aide du jeton d'actualisation.

    • Si le jeton d'accès est expiré, l'outil SDK or utilise le jeton d'actualisation pour obtenir un nouveau jeton d'accès. Les durées de session de ces jetons sont ensuite comparées, et si le jeton d'actualisation n'est pas expiré, IAM Identity Center fournit un nouveau jeton d'accès.

    • Si le jeton d'actualisation a expiré, aucun nouveau jeton d'accès n'est fourni et votre session est terminée.

  6. Les sessions se terminent après l'expiration des jetons d'actualisation ou lorsque vous vous déconnectez manuellement à l'aide de la aws sso logout commande. Les informations d'identification mises en cache sont supprimées. Pour continuer à accéder aux services via IAM Identity Center, vous devez démarrer une nouvelle session à l'aide de la aws sso login commande.

Ressources supplémentaires

Les ressources supplémentaires sont les suivantes.