Gestion des identités et des accès dans AWS Control Tower

Pour effectuer n'importe quelle opération dans votre zone de landing zone, telle que l'approvisionnement de comptes dans Account Factory ou la création de nouvelles unités organisationnelles (OUs) dans la console AWS Control Tower, vous pouvez AWS Identity and Access Management (IAM) ou AWS IAM Identity Center vous demander d'authentifier que vous êtes approuvé AWS utilisateur. Par exemple, si vous utilisez la console AWS Control Tower, vous authentifiez votre identité en fournissant votre AWS informations d'identification, telles que fournies par votre administrateur.

Après avoir authentifié votre identité, IAM contrôle votre accès à AWS avec un ensemble défini d'autorisations sur un ensemble spécifique d'opérations et de ressources. Si vous êtes administrateur de compte, vous pouvez IAM contrôler l'accès des autres IAM utilisateurs aux ressources associées à votre compte.

Rubriques

• Authentification
• Contrôle d’accès
• Travailler avec AWS IAM Identity Center et AWS Control Tower
• Présentation de la gestion des autorisations d'accès aux ressources AWS de votre Control Tower
• Empêchez l'usurpation d'identité entre services
• Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower

Authentification

Vous avez accès à AWS sous l'un des types d'identités suivants :

• AWS utilisateur root du compte — Lorsque vous créez pour la première fois un AWS compte, vous commencez avec une identité qui a un accès complet à tous AWS services et ressources du compte. Cette identité s'appelle AWS utilisateur root du compte. Vous avez accès à cette identité lorsque vous vous connectez avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Adhérez plutôt à la meilleure pratique qui consiste à utiliser l'utilisateur root uniquement pour créer votre premier utilisateur IAM Identity Center (recommandé) ou IAM utilisateur (ce n'est pas une bonne pratique dans la plupart des cas d'utilisation). Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services. Pour de plus amples informations, veuillez consulter Quand se connecter en tant qu'utilisateur root.

• IAMutilisateur — Un IAMutilisateur est une identité au sein de votre AWS compte doté d'autorisations spécifiques et personnalisées. Vous pouvez utiliser les informations IAM d'identification de l'utilisateur pour vous connecter afin de sécuriser AWS des pages Web telles que AWS Console de gestion, AWS Forums de discussion, ou AWS Centre de support. AWS les meilleures pratiques recommandent de créer un utilisateur IAM Identity Center plutôt qu'un IAM utilisateur, car le risque de sécurité est accru lorsque vous créez un IAM utilisateur doté d'informations d'identification à long terme.

  Si vous devez créer un IAM utilisateur dans un certain but, outre les informations de connexion, vous pouvez générer des clés d'accès pour chaque IAM utilisateur. Vous pouvez utiliser ces touches lorsque vous appelez AWS services programmatiquement, soit par le biais de l'un des nombreux services, soit en SDKs utilisant le AWS Interface de ligne de commande (CLI). Les CLI outils SDK et utilisent les clés d'accès pour signer cryptographiquement votre demande. Si vous n'utilisez pas AWS outils, vous devez signer vous-même la demande. AWSControl Tower prend en charge Signature Version 4, un protocole permettant d'authentifier les demandes API entrantes. Pour plus d'informations sur l'authentification des demandes, voir Processus de signature de la version 4 de Signature dans le AWS Référence générale.

• IAMrôle : un IAMrôle est une IAM identité que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un IAM rôle est similaire à un IAM utilisateur dans la mesure où il s'agit d'un AWS identité, et il dispose de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire dans AWS. Cependant, au lieu d'être uniquement associé à une seule personne, un rôle est censé être assumé par quiconque en a besoin. En outre, un rôle ne dispose pas d’informations d’identification standard à long terme comme un mot de passe ou des clés d’accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d’identification de sécurité temporaires pour votre session de rôle. IAMles rôles dotés d'informations d'identification temporaires sont utiles dans les situations suivantes :

  • Accès utilisateur fédéré : au lieu de créer un IAM utilisateur, vous pouvez utiliser les identités existantes depuis AWS Directory Service, le répertoire des utilisateurs de votre entreprise ou un fournisseur d'identité Web. Ces derniers sont appelés utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé par le biais d'un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, consultez la section Utilisateurs fédérés et rôles du Guide de l'IAMutilisateur.

  • AWS accès au service — Un rôle de service est un IAM rôle qu'un service assume pour effectuer des actions sur votre compte en votre nom. Lorsque vous configurez certains AWS environnements de service, vous devez définir le rôle que le service doit assumer. Ce rôle de service doit inclure toutes les autorisations requises pour que le service accède au AWS les ressources dont elle a besoin. Les rôles de service varient d'un service à un service, mais nombre d'entre eux vous permettent de choisir vos autorisations, tant que vous respectez les exigences documentées pour le service en question. Les rôles de service fournissent un accès uniquement au sein de votre compte et ne peuvent pas être utilisés pour accorder l'accès à des services dans d'autres comptes. Vous pouvez créer, modifier et supprimer un rôle de service depuis l'intérieurIAM. Par exemple, vous pouvez créer un rôle qui autorise Amazon Redshift à accéder à un compartiment Amazon S3 en votre nom, puis à charger les données de ce compartiment dans un cluster Amazon Redshift. Pour plus d'informations, voir Création d'un rôle pour déléguer des autorisations à un AWS Service indiqué dans le guide de IAM l'utilisateur.

  • Applications exécutées sur Amazon EC2 : vous pouvez utiliser un IAM rôle pour gérer les informations d'identification temporaires pour les applications qui s'exécutent sur une EC2 instance Amazon et qui créent AWS CLIou AWS APIdemandes. Cela est préférable au stockage des clés d'accès dans l'EC2instance Amazon. Pour attribuer un AWS pour attribuer un rôle à une EC2 instance Amazon et la rendre disponible pour toutes ses applications, vous créez un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes exécutés sur l'EC2instance Amazon d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez la section Utiliser un IAM rôle pour accorder des autorisations aux applications exécutées sur des EC2 instances Amazon dans le guide de IAM l'utilisateur.

• IAML'authentification des utilisateurs d'IAMIdentity Center sur le portail utilisateur d'Identity Center est contrôlée par le répertoire que vous avez connecté à IAM Identity Center. Toutefois, l'autorisation accordée à AWS les comptes accessibles aux utilisateurs finaux depuis le portail utilisateur sont déterminés par deux facteurs :

  • Qui a obtenu l'accès à ces AWS comptes dans le AWS IAMConsole Identity Center. Pour plus d'informations, consultez la section Accès par authentification unique dans le AWS IAM Identity Center Guide de l'utilisateur.

  • Quel niveau d'autorisations a été accordé aux utilisateurs finaux dans le AWS IAMConsole Identity Center pour leur permettre l'accès approprié à ces AWS comptes. Pour plus d'informations, consultez la section Ensembles d'autorisations dans le AWS IAM Identity Center Guide de l'utilisateur.

Contrôle d’accès

Pour créer, mettre à jour, supprimer ou répertorier des ressources AWS Control Tower, ou d'autres AWS ressources dans votre zone de landing zone, vous avez besoin d'autorisations pour effectuer l'opération, et vous avez besoin d'autorisations pour accéder aux ressources correspondantes. En outre, pour effectuer l'opération par programmation, vous avez besoin de clés d'accès rapide valides.

Les sections suivantes décrivent comment gérer les autorisations pour AWS Control Tower :

Rubriques

• Présentation de la gestion des autorisations d'accès aux ressources AWS de votre Control Tower

• Utilisation de politiques basées sur l'identité (politiques IAM) pour AWS Control Tower