Gestion des utilisateurs et des accès via AWS IAM Identity Center (successor to AWS Single Sign-On) - AWS Control Tower

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion des utilisateurs et des accès via AWS IAM Identity Center (successor to AWS Single Sign-On)

AWS IAM Identity Center (successor to AWS Single Sign-On)est un service basé sur le cloud qui simplifie la gestion de l'accès à IAM Identity Center àAWScomptes et applications commerciales. Vous pouvez contrôler l'accès à IAM Identity Center et les autorisations des utilisateurs sur tous vosAWScomptes dansAWS Organizations. Vous pouvez également administrer l'accès aux applications métier et aux applications personnalisées qui prennent en charge le langage Security Assertion Markup Language (SAML) 2.0. En outre, IAM Identity Center propose un portail utilisateur où vos utilisateurs peuvent trouver toutes les informations qui leur sont attribuéesAWScomptes, applications professionnelles et applications personnalisées en un seul endroit. Pour plus d'informations, consultez le AWS IAM Identity Center (successor to AWS Single Sign-On) guide de l'utilisateur.

Utilisation d'AWSCentre d'identité IAM et AWS Control Tower

Dans AWS Control Tower,AWS IAM Identity Center (successor to AWS Single Sign-On)permet aux administrateurs du cloud central et aux utilisateurs finaux de gérer l'accès à plusieursAWScomptes et applications commerciales. AWS Control Tower utilise ce service pour configurer et gérer l'accès aux comptes créés viaAWS Service Catalog.

Pour un bref didacticiel sur la façon de configurer les utilisateurs et les autorisations de votre IAM Identity Center dans AWS Control Tower, vous pouvez visionner cette vidéo (6:23). Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.

À propos de la configuration d'AWS Control Tower avec IAM Identity Center

Lorsque vous configurez AWS Control Tower pour la première fois, seuls l'utilisateur root et tous les utilisateurs IAM disposant des autorisations appropriées peuvent ajouter des utilisateurs IAM Identity Center. Toutefois, une fois que les utilisateurs finaux ont été ajoutés dansAWSAccountFactorygroupe, ils peuvent créer de nouveaux utilisateurs IAM Identity Center à partir de l'assistant Account Factory. Pour plus d'informations, consultez Approvisionnez et gérez vos comptes avec Account Factory.

Votre landing zone est configurée avec un répertoire préconfiguré qui vous permet de gérer les identités des utilisateurs et l'authentification unique, afin que vos utilisateurs disposent d'un accès fédéré sur tous les comptes. Lorsque vous configurez votre landing zone, ce répertoire par défaut est créé pour contenirgroupes d'utilisateursetjeux d'autorisations.

Note

Vous pouvez déléguer l'administration deAWS IAM Identity Center (successor to AWS Single Sign-On)dans votre organisation vers un compte autre que le compte de gestion. Pour plus d'informations, consultez ce billet de blog, intituléDémarrage avecAWSAdministration déléguée via SSO

Groupes d'utilisateurs, rôles et jeux d'autorisations

Les groupes d'utilisateurs gèrent les rôles spécialisés définis dans vos comptes partagés. Les rôles établissent des jeux d'autorisations qui sont liés entre eux. Tous les membres d'un groupe héritent des jeux d'autorisations, ou rôles, associés à ce groupe. Vous pouvez créer d'autres groupes pour les utilisateurs finaux de vos comptes membres. De cette façon, vous pouvez personnaliser l'affectation des rôles en n'affectant que ceux qui sont nécessaires aux tâches spécifiques effectuées par un groupe.

Les ensembles d'autorisations disponibles couvrent un large éventail d'exigences d'autorisation utilisateur distinctes, telles que l'accès en lecture seule, l'accès administratif à la AWS Control Tower etAWS Service Catalogaccès. Ces ensembles d'autorisations permettent à vos utilisateurs finaux de configurer leurs propres autorisationsAWScomptes dans votre landing zone rapidement et conformément aux directives de votre entreprise.

Pour obtenir des conseils sur la planification des allocations d'utilisateurs, de groupes et d'autorisations, consultez Recommandations relatives à la configuration de groupes, rôles et stratégies.

Pour de plus amples informations sur la manière d'utiliser ce service dans le contexte d'AWS Control Tower, veuillez consulter les rubriques suivantes dans leAWS IAM Identity Center (successor to AWS Single Sign-On)Guide de l'utilisateur.

Avertissement

AWS Control Tower configure votre répertoire IAM Identity Center dans votre région d'origine. Si vous configurez votre landing zone dans une autre région, puis que vous accédez à la console IAM Identity Center, vous devez remplacer la région par votre région d'origine. Ne supprimez pas la configuration de votre centre d'identité IAM dans votre région d'origine.

Ce qu'il faut savoir sur les comptes IAM Identity Center et la AWS Control Tower

Voici quelques bonnes choses à savoir lorsque vous travaillez avec des comptes utilisateur IAM Identity Center dans AWS Control Tower.

  • Si votreAWSLe compte utilisateur IAM Identity Center est désactivé. Vous recevrez un message d'erreur lorsque vous tenterez de configurer de nouveaux comptes dans Account Factory. Vous pouvez réactiver votre utilisateur IAM Identity Center dans la console IAM Identity Center.

  • Si vous spécifiez une nouvelle adresse e-mail utilisateur IAM Identity Center lorsque vous mettez à jour le produit approvisionné associé à un compte qui a été vendu par Account Factory, AWS Control Tower crée un nouveau compte utilisateur IAM Identity Center. Le compte d'utilisateur créé précédemment n'est pas supprimé. Si vous préférez supprimer l'ancienne adresse e-mail de l'utilisateur IAM Identity Center deAWSIAM Identity Center, consultez.Désactivation d'un utilisateur.

  • AWSIAM Identity Center a étéintégré à Azure Active Directory, et vous pouvez connecter votre Azure Active Directory existant à AWS Control Tower.

  • Pour plus d'informations sur la façon dont le comportement d'AWS Control Tower est compatible avecAWSIAM Identity Center et différentes sources d'identité, consultez leConsidérations relatives au changement de votre source d'identitédans leAWSDocumentation d'IAM Identity Center.

Groupes d'IAM Identity Center pour AWS Control Tower

AWS Control Tower propose des groupes préconfigurés pour organiser les utilisateurs qui effectuent des tâches spécifiques sur vos comptes. Vous pouvez ajouter des utilisateurs et les affecter à ces groupes directement dans IAM Identity Center. Cela permet de faire correspondre les jeux d'autorisations aux utilisateurs dans des groupes au sein de vos comptes. Les groupes créés lors de la configuration de votre landing zone sont les suivants.

AWSAccountFactory
Compte Jeux d'autorisations Description
Compte de gestion AWSServiceCatalogEndUserAccess Ce groupe est uniquement utilisé dans ce compte pour approvisionner de nouveaux comptes à l'aide d'Account Factory.
AWSServiceCatalogAdmins
Compte Jeux d'autorisations Description
Compte de gestion AWSServiceCatalogAdminFullAccess Ce groupe est uniquement utilisé dans ce compte pour apporter des modifications administratives à Account Factory. Les utilisateurs de ce groupe ne peuvent pas approvisionner de nouveaux comptes s'ils ne font pas également partie duAWSAccountFactorygroupe.
AWSControlTowerAdmins
Compte Jeux d'autorisations Description
Compte de gestion AWSAdministratorAccess Les utilisateurs de ce groupe sur ce compte sont les seuls à avoir accès à la console AWS Control Tower.
Compte d'archivage des journaux AWSAdministratorAccess Les utilisateurs ont un accès administrateur dans ce compte.
Compte d'audit AWSAdministratorAccess Les utilisateurs ont un accès administrateur dans ce compte.
Comptes membres AWSOrganizationsFullAccess Les utilisateurs ont un accès complet aux Organizations sur ce compte.
AWSSecurityAuditPowerUsers
Compte Jeux d'autorisations Description
Compte de gestion AWSPowerUserAccess Les utilisateurs peuvent effectuer des tâches de développement d'application, et créer et configurer des ressources et des services prenant en chargeAWSdéveloppement d'applications conscient.
Compte d'archivage des journaux AWSPowerUserAccess Les utilisateurs peuvent effectuer des tâches de développement d'application, et créer et configurer des ressources et des services prenant en chargeAWSdéveloppement d'applications conscient.
Compte d'audit AWSPowerUserAccess Les utilisateurs peuvent effectuer des tâches de développement d'application, et créer et configurer des ressources et des services prenant en chargeAWSdéveloppement d'applications conscient.
Comptes membres AWSPowerUserAccess Les utilisateurs peuvent effectuer des tâches de développement d'application, et créer et configurer des ressources et des services prenant en chargeAWSdéveloppement d'applications conscient.
AWSSecurityAuditors
Compte Jeux d'autorisations Description
Compte de gestion AWSReadOnlyAccess Les utilisateurs ont un accès en lecture seule à tous les élémentsAWSles services et les ressources de ce compte.
Compte d'archivage des journaux AWSReadOnlyAccess Les utilisateurs ont un accès en lecture seule à tous les élémentsAWSles services et les ressources de ce compte.
Compte d'audit AWSReadOnlyAccess Les utilisateurs ont un accès en lecture seule à tous les élémentsAWSles services et les ressources de ce compte.
Comptes membres AWSReadOnlyAccess Les utilisateurs ont un accès en lecture seule à tous les élémentsAWSles services et les ressources de ce compte.
AWSLogArchiveAdmins
Compte Jeux d'autorisations Description
Compte d'archivage des journaux AWSAdministratorAccess Les utilisateurs ont un accès administrateur dans ce compte.
AWSLogArchiveViewers
Compte Jeux d'autorisations Description
Compte d'archivage des journaux AWSReadOnlyAccess Les utilisateurs ont un accès en lecture seule à tous les élémentsAWSles services et les ressources de ce compte.
AWSAuditAccountAdmins
Compte Jeux d'autorisations Description
Compte d'audit AWSAdministratorAccess Les utilisateurs ont un accès administrateur dans ce compte.