Gestion des identités et des accès dans AWS Control Tower

Pour effectuer n'importe quelle opération dans votre landing zone, telle que le provisionnement de comptes dans Account Factory ou la création de nouvelles unités organisationnelles (UO) dans la console AWS Control Tower, vous pouvez soit AWS Identity and Access Management (IAM), soit vous AWS IAM Identity Center (successor to AWS Single Sign-On) demander de vous authentifier en tant qu'utilisateur approuvé. AWS Par exemple, si vous utilisez la console AWS Control Tower, vous authentifiez votre identité en fournissant vos AWS informations d'identification, telles que fournies par votre administrateur.

Une fois que vous avez authentifié votre identité, IAM contrôle votre accès à AWS avec un ensemble défini d'autorisations sur un ensemble spécifique d'opérations et de ressources. Si vous êtes un administrateur de compte, vous pouvez utiliser IAM pour contrôler l'accès d'autres utilisateurs IAM aux ressources qui sont associées à votre compte.

Rubriques

• Authentification
• Contrôle d'accès
• Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower
• Empêchez les usurpations d'identité inter-services
• Utilisation des politiques basées sur l'identité (politiques IAM) pour AWS Control Tower

Authentification

Vous avez accès AWS à tous les types d'identité suivants :

• AWSUtilisateur racine de compte — lorsque vous créez dans un premier AWS temps un compte, vous commencez avec une identité qui bénéficie d'un accès complet à tous les AWS services et ressources du compte. Cette identité est appelée l'utilisateur racine du AWS compte. Vous avez accès à cette identité lorsque vous vous connectez avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM Identity Center (recommandé) ou IAM (ce n'est pas une bonne pratique dans la plupart des cas d'utilisation). Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services. Pour plus d'informations, veuillez consulter Quand se connecter en tant qu'utilisateur root.

• Utilisateur IAM : un utilisateur IAM est une identité au sein de votre AWS compte qui dispose d'autorisations spécifiques et personnalisées. Vous pouvez utiliser les informations d'identification utilisateur IAM pour vous connecter à des AWS pages web sécurisées telles que la console de AWS gestion, les forums de AWS discussion ou le centre d'AWSSupport. AWSles meilleures pratiques recommandent de créer un utilisateur IAM Identity Center plutôt qu'un utilisateur IAM, car le risque de sécurité augmente lorsque vous créez un utilisateur IAM doté d'informations d'identification à long terme.

  Si vous devez créer un utilisateur IAM dans un but précis, vous pouvez générer des clés d'accès pour chaque utilisateur IAM. Vous pouvez utiliser ces clés lorsque vous appelez AWS des services par programmation, soit par le biais d'un des kits SDK, soit via l'interface de ligne de AWS commande (CLI). Les outils de la CLI et les kits SDK utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pas les outils AWS, vous devez signer la demande vous-même. AWS Control Tower prend en charge Signature Version 4, un protocole permettant l'authentification des demandes d'API entrantes. Pour de plus amples informations sur l'authentification des demandes, consultez Processus de signature Signature Version 4 dans les Références AWS générales.

• Rôle IAM : un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une AWS identité, et des stratégies d'autorisation déterminent ce que l'identité peut et ne peut pas faire dans. AWS En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

  • Accès par des utilisateurs fédérés : au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités existantes provenant de AWS Directory Service, de votre répertoire d'utilisateurs d'entreprise ou d'un fournisseur d'identité web. Ces derniers s'appellent des utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé via un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.

  • AWSAccès par un service : un rôle de service est un rôle IAM qu'un service endosse pour effectuer des actions dans votre compte en votre nom. Lorsque vous configurez certains environnements de services AWS, vous devez définir un rôle que ce service devra endosser. Ce rôle de service doit inclure toutes les autorisations requises pour que le service puisse accéder aux AWS ressources dont il a besoin. Les rôles de service varient d'un service à un service, mais nombre d'entre eux vous permettent de choisir vos autorisations, tant que vous respectez les exigences documentées pour le service en question. Les rôles de service fournissent un accès uniquement au sein de votre compte et ne peuvent pas être utilisés pour accorder l'accès à des services dans d'autres comptes. Vous pouvez créer, modifier et supprimer un rôle de service depuis IAM. Par exemple, vous pouvez créer un rôle qui autorise Amazon Redshift à accéder à un compartiment Amazon S3 en votre nom, puis à charger les données de ce compartiment dans un cluster Amazon Redshift. Pour plus d'informations, veuillez consulter Création d'un rôle pour la délégation d'autorisations à un service AWS dans le Guide de l'utilisateur IAM.

  • Applications s'exécutant sur Amazon EC2 — Vous pouvez utiliser un rôle IAM pour gérer des informations d'identification temporaires pour les applications s'exécutant sur une instance Amazon EC2 et effectuant des demandes par l'AWSCLI ou par des API. AWS Cette solution est préférable au stockage des clés d'accès au sein de l'instance Amazon EC2. Pour attribuer un AWS rôle à une instance Amazon EC2 et le rendre disponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance Amazon EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le Guide de l’utilisateur IAM.

• L'authentification des utilisateurs d'IAM Identity Center sur le portail utilisateur d'IAM Identity Center est contrôlée par le répertoire que vous avez connecté à IAM Identity Center. Toutefois, l'autorisation pour les comptes AWS disponibles aux utilisateurs finaux depuis le portail utilisateur est déterminée par deux facteurs :

  • Qui s'est vu attribuer l'accès à ces AWS comptes dans la console AWS IAM Identity Center. Pour plus d'informations, consultez la section Accès par authentification unique du Guide de l'AWS IAM Identity Center (successor to AWS Single Sign-On)utilisateur.

  • Quel niveau d'autorisations a été accordé aux utilisateurs finaux dans la console AWS IAM Identity Center pour leur permettre l'accès approprié à ces AWS comptes. Pour plus d'informations, consultez la section Ensembles d'autorisations du Guide de AWS IAM Identity Center (successor to AWS Single Sign-On) l'utilisateur.

Contrôle d'accès

Pour créer, mettre à jour, supprimer ou répertorier des ressources AWS Control Tower ou d'autres AWS ressources de votre landing zone, vous devez détenir les autorisations nécessaires pour effectuer l'opération et pour accéder aux ressources correspondantes. En outre, pour effectuer l'opération par programmation, vous avez besoin de clés d'accès rapide valides.

Les sections suivantes décrivent comment gérer les autorisations pour AWS Control Tower :

Rubriques

• Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower

• Utilisation des politiques basées sur l'identité (politiques IAM) pour AWS Control Tower