Identity and Access Management dans AWS Control Tower - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Identity and Access Management dans AWS Control Tower

Pour effectuer n'importe quelle opération dans votre landing zone, telle que le provisionnement de comptes dans Account Factory ou la création de nouvelles unités organisationnelles (UO) dans la console AWS Control Tower, vous pouvezAWS Identity and Access Management(IAM) ouAWS IAM Identity Center (successor to AWS Single Sign-On)(IAM Identity Center) exigent que vous certifiez que vous êtes un organisme agrééAWSUtilisateur. Par exemple, si vous utilisez la console AWS Control Tower, vous authentifiez votre identité en fournissant votre nom d'utilisateur AWS et un mot de passe.

Une fois que vous avez authentifié votre identité, IAM contrôle votre accès àAWSavec un ensemble défini d'autorisations sur un ensemble spécifique d'opérations et de ressources. Si vous êtes un administrateur de compte, vous pouvez utiliser IAM pour contrôler l'accès d'autres utilisateurs IAM aux ressources qui sont associées à votre compte.

Authentification

Vous pouvez utiliser les types d'identité suivants pour accéder à AWS :

  • Utilisateur racine d'un compte AWS— Lorsque vous créez un compte AWS, vous commencez avec une identité disposant d'un accès complet à tous les services et ressources AWS du compte. Cette identité est appelée l'utilisateur racine du compte AWS. Vous avez accès à cette identité lorsque vous vous connectez avec l'adresse e-mail et le mot de passe que vous avez utilisés pour créer le compte. Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour vos tâches quotidiennes, y compris pour les tâches administratives. Respectez plutôt la bonne pratique qui consiste à avoir recours à l'utilisateur racine uniquement pour créer le premier utilisateur IAM. Ensuite, mettez en sécurité les informations d'identification de l'utilisateur racine et utilisez-les uniquement pour effectuer certaines tâches de gestion des comptes et des services. Pour plus d'informations, consultez Quand se connecter en tant qu'utilisateur root.

  • Utilisateur IAM— UnUtilisateur IAMest une entité au sein de votre compte AWS qui dispose d'autorisations personnalisées spécifiques. Vous pouvez utiliser un nom d'utilisateur et un mot de passe IAM pour vous connecter aux pages web AWS sécurisées telles que AWS Management Console, les forums de discussion AWS et AWS Support Center.

    En plus de générer un nom utilisateur et un mot de passe, vous pouvez générer des clés d'accès pour chaque utilisateur. Vous pouvez utiliser ces clés lorsque vous accédez aux services AWS par programmation, soit par le biais d'un des kits SDK, soit via l'interface de ligne de commande &AWS. Les outils SDK et CLI utilisent les clés d'accès pour signer de façon cryptographique votre demande. Si vous n'utilisez pas les outils AWS, vous devez signer la requête vous-même. AWS Control Tower prend en charge Signature Version 4, un protocole permettant l'authentification des demandes d'API entrantes. Pour plus d'informations sur l'authentification des demandes, consultez Processus de signature Signature Version 4 dans les Références générales AWS.

  • Rôle IAM : un rôle IAM est une identité IAM que vous pouvez créer dans votre compte et qui dispose d'autorisations spécifiques. Un rôle IAM est similaire à un utilisateur IAM, car il s'agit d'une identité AWS avec des stratégies d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire dans AWS. En revanche, au lieu d'être associé de manière unique à une personne, un rôle est conçu pour être assumé par tout utilisateur qui en a besoin. En outre, un rôle ne dispose pas d'informations d'identification standard à long terme comme un mot de passe ou des clés d'accès associées. Au lieu de cela, lorsque vous adoptez un rôle, il vous fournit des informations d'identification de sécurité temporaires pour votre session de rôle. Les rôles IAM avec des informations d'identification temporaires sont utiles dans les cas suivants :

    • Accès par des utilisateurs fédérés : au lieu de créer un utilisateur IAM, vous pouvez utiliser des identités existantes provenant de AWS Directory Service, de votre répertoire d'utilisateurs d'entreprise ou d'un fournisseur d'identité web. Ces derniers sont appelés utilisateurs fédérés. AWS attribue un rôle à un utilisateur fédéré lorsque l'accès est demandé par le biais d’un fournisseur d'identité. Pour plus d'informations sur les utilisateurs fédérés, consultez Utilisateurs fédérés et rôles dans le Guide de l'utilisateur IAM.

    • Accès à un service AWS— Un rôle de service est un rôle IAM qu'un service endosse pour effectuer des actions dans votre compte en votre nom. Lorsque vous configurez certains environnements de services AWS, vous devez définir un rôle que ce service devra assumer. Ce rôle de service doit comprendre toutes les autorisations nécessaires pour que le service puisse accéder aux ressources AWS dont il a besoin. Les rôles de service varient d'un service à un service, mais nombre d'entre eux vous permettent de choisir vos autorisations, tant que vous respectez les exigences documentées pour le service en question. Les rôles de service fournissent un accès uniquement au sein de votre compte et ne peuvent pas être utilisés pour accorder l'accès à des services dans d'autres comptes. Vous pouvez créer, modifier et supprimer un rôle de service depuis IAM. Par exemple, vous pouvez créer un rôle qui autorise Amazon Redshift à accéder à un compartiment Amazon S3 en votre nom, puis à charger les données de ce compartiment dans un cluster Amazon Redshift. Pour plus d'informations, consultez Création d'un rôle pour la délégation d'autorisations à un service AWS dans le Guide de l'utilisateur IAM.

    • Applications exécutées sur Amazon EC2— Vous pouvez utiliser un rôle IAM pour gérer des informations d'identification temporaires pour les applications s'exécutant sur une instance Amazon EC2 et effectuant des demandes par l'interface de ligne de commande ou par des API AWS. Cette solution est préférable au stockage des clés d'accès au sein de l'instance Amazon EC2. Pour attribuer un rôle AWS à une instance Amazon EC2 et le rendre disponible à toutes les applications associées, vous pouvez créer un profil d'instance attaché à l'instance. Un profil d'instance contient le rôle et permet aux programmes qui s'exécutent sur l'instance Amazon EC2 d'obtenir des informations d'identification temporaires. Pour plus d'informations, consultez Utilisation d'un rôle IAM pour accorder des autorisations à des applications s'exécutant sur des instances Amazon EC2 dans le Guide de l’utilisateur IAM.

  • Utilisateur d'IAM Identity CenterL'authentification sur le portail utilisateur d'IAM Identity Center est contrôlée par le répertoire que vous avez connecté à IAM Identity Center. Toutefois, l'autorisation pour les comptes AWS disponibles aux utilisateurs finaux depuis le portail utilisateur est déterminée par deux facteurs :

    • À qui a été attribué l'accès à ces comptes AWS dans la console SSO. Pour plus d'informations, veuillez consulter la rubriqueAccès Single Sign-Ondans leAWS IAM Identity Center (successor to AWS Single Sign-On)Guide de l'utilisateur.

    • Quel niveau d'autorisations a été accordé aux utilisateurs finaux dans leAWSConsole IAM Identity Center pour leur permettre l'accès approprié à ces comptes AWS. Pour plus d'informations, veuillez consulter la rubriqueSets d'autorisationsdans leAWS IAM Identity Center (successor to AWS Single Sign-On)Guide de l'utilisateur.

Contrôle d'accès

Pour créer, mettre à jour, supprimer ou répertorier des ressources AWS Control Tower ou d'autres ressources AWS dans votre landing zone, vous devez détenir les autorisations nécessaires pour effectuer l'opération et pour accéder aux ressources correspondantes. En outre, pour effectuer l'opération par programmation, vous avez besoin de clés d'accès rapide valides.

Les sections suivantes décrivent comment gérer les autorisations pour AWS Control Tower :