Gestion des identités et des accès dans AWS Control Tower

Pour effectuer n'importe quelle opération dans votre zone de landing zone, telle que la mise en service de comptes dans Account Factory ou la création de nouvelles unités organisationnelles (UO) dans la console AWS Control Tower, vous devez soit AWS Identity and Access Management (IAM) soit vous AWS IAM Identity Center demander de vous authentifier en tant qu'utilisateur approuvé. AWS Par exemple, si vous utilisez la console AWS Control Tower, vous authentifiez votre identité en fournissant vos AWS informations d'identification, telles que fournies par votre administrateur.

Une fois que vous avez authentifié votre identité, IAM contrôle votre accès AWS à un ensemble défini d'autorisations sur un ensemble spécifique d'opérations et de ressources. Si vous êtes administrateur de compte, vous pouvez utiliser IAM pour contrôler l'accès des autres utilisateurs IAM aux ressources associées à votre compte.

Rubriques

• Authentification
• Contrôle d’accès
• Travailler avec AWS IAM Identity Center et AWS Control Tower
• Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower
• Empêchez l'usurpation d'identité entre services
• Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower

Authentification

Vous avez accès à AWS l'un des types d'identités suivants :

• AWS utilisateur root du compte : lorsque vous créez un AWS compte pour la première fois, vous devez disposer d'une identité qui donne un accès complet à tous les AWS services et ressources du compte. Cette identité est appelée utilisateur root du AWS compte. Vous avez accès à cette identité lorsque vous vous connectez avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Adhérez plutôt à la meilleure pratique qui consiste à utiliser l'utilisateur root uniquement pour créer votre premier utilisateur IAM Identity Center (recommandé) ou utilisateur IAM (ce n'est pas une bonne pratique dans la plupart des cas d'utilisation). Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services. Pour plus d’informations, consultez Quand se connecter en tant qu'utilisateur root.

• Utilisateur IAM : un utilisateur IAM est une identité au sein de votre AWS compte dotée d'autorisations spécifiques et personnalisées. Vous pouvez utiliser les informations d'identification de l'utilisateur IAM pour vous connecter à des AWS pages Web sécurisées telles que la console de AWS gestion, les forums de AWS discussion ou le centre de AWS support. AWS les meilleures pratiques recommandent de créer un utilisateur IAM Identity Center au lieu d'un utilisateur IAM, car le risque de sécurité augmente lorsque vous créez un utilisateur IAM doté d'informations d'identification à long terme.

  Si vous devez créer un utilisateur IAM dans un certain but, outre les informations d'identification, vous pouvez générer des clés d'accès pour chaque utilisateur IAM. Vous pouvez utiliser ces touches lorsque vous appelez AWS des services par programmation, soit par le biais de l'un des nombreux SDK, soit à l'aide de l'interface de ligne de AWS commande (CLI). Les outils SDK et CLI utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pas d' AWS outils, vous devez signer vous-même la demande. AWS Control Tower prend en charge Signature Version 4, un protocole permettant d'authentifier les demandes d'API entrantes. Pour plus d'informations sur l'authentification des demandes, voir Processus de signature de la version 4 de Signature dans la référence AWS générale.

• Rôle IAM : un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM en ce sens qu'il s'agit d'une AWS identité et qu'il possède des politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être endossé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

  • Accès utilisateur fédéré : au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités existantes provenant du AWS Directory Service répertoire des utilisateurs de votre entreprise ou d'un fournisseur d'identité Web. Ils sont appelés utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé par le biais d'un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.

  • AWS accès au service — Un rôle de service est un rôle IAM qu'un service suppose d'effectuer des actions sur votre compte en votre nom. Lorsque vous configurez certains environnements de AWS service, vous devez définir le rôle que le service doit assumer. Ce rôle de service doit inclure toutes les autorisations requises pour que le service puisse accéder aux AWS ressources dont il a besoin. Les rôles de service varient d'un service à un service, mais nombre d'entre eux vous permettent de choisir vos autorisations, tant que vous respectez les exigences documentées pour le service en question. Les rôles de service fournissent un accès uniquement au sein de votre compte et ne peuvent pas être utilisés pour accorder l'accès à des services dans d'autres comptes. Vous pouvez créer, modifier et supprimer un rôle de service depuis IAM. Par exemple, vous pouvez créer un rôle qui autorise Amazon Redshift à accéder à un compartiment Amazon S3 en votre nom, puis à charger les données de ce compartiment dans un cluster Amazon Redshift. Pour plus d'informations, consultez la section Création d'un rôle pour déléguer des autorisations à un AWS service dans le guide de l'utilisateur IAM.

  • Applications exécutées sur Amazon EC2 : vous pouvez utiliser un rôle IAM pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une instance Amazon EC2 et qui envoient des requêtes CLI AWS ou API. AWS Cela est préférable au stockage des clés d'accès dans l'instance Amazon EC2. Pour attribuer un AWS rôle à une instance Amazon EC2 et le mettre à la disposition de toutes ses applications, vous devez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance Amazon EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le Guide de l’utilisateur IAM.

• L'authentification des utilisateurs d'IAM Identity Center sur le portail utilisateur d'IAM Identity Center est contrôlée par le répertoire que vous avez connecté à IAM Identity Center. Toutefois, l'autorisation AWS des comptes accessibles aux utilisateurs finaux depuis le portail utilisateur est déterminée par deux facteurs :

  • Qui a obtenu l'accès à ces AWS comptes dans la console AWS IAM Identity Center. Pour plus d'informations, consultez la section Accès par authentification unique dans le guide de l'AWS IAM Identity Center utilisateur.

  • Quel niveau d'autorisations a été accordé aux utilisateurs finaux dans la console AWS IAM Identity Center pour leur permettre l'accès approprié à ces AWS comptes. Pour plus d'informations, consultez la section Ensembles d'autorisations dans le guide de AWS IAM Identity Center l'utilisateur.

Contrôle d’accès

Pour créer, mettre à jour, supprimer ou répertorier des ressources AWS Control Tower, ou d'autres AWS ressources dans votre zone de landing zone, vous devez disposer d'autorisations pour effectuer l'opération et d'autorisations pour accéder aux ressources correspondantes. En outre, pour effectuer l'opération par programmation, vous avez besoin de clés d'accès rapide valides.

Les sections suivantes décrivent comment gérer les autorisations pour AWS Control Tower :

Rubriques

• Présentation de la gestion des autorisations d'accès à vos ressources AWS Control Tower

• Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower