Travailler avec AWS IAM Identity Center et AWS Control Tower

Dans AWS Control Tower, l'IAM Identity Center permet aux administrateurs cloud centraux et aux utilisateurs finaux de gérer l'accès à plusieurs AWS comptes et applications professionnelles. Par défaut, AWS Control Tower utilise ce service pour configurer et gérer l'accès aux comptes créés via Account Factory, sauf si vous avez sélectionné l'option permettant de gérer vous-même votre identité et votre contrôle d'accès.

Pour plus d'informations sur la sélection d'un fournisseur d'identité, consultezConseils relatifs à l'IAM Identity Center.

Pour un bref didacticiel expliquant comment configurer les utilisateurs et les autorisations de votre IAM Identity Center dans AWS Control Tower, vous pouvez visionner cette vidéo (6:23). Pour un visionnage de meilleure qualité, sélectionnez l'icône dans le coin inférieur droit de la vidéo pour l'afficher en plein écran. Le sous-titrage est disponible.

À propos de la configuration d'AWS Control Tower avec IAM Identity Center

Lors de la configuration initiale d'AWS Control Tower, seuls l'utilisateur root et les utilisateurs IAM disposant des autorisations appropriées peuvent ajouter des utilisateurs IAM Identity Center. Toutefois, une fois que les utilisateurs finaux ont été ajoutés au AWSAccountFactorygroupe, ils peuvent créer de nouveaux utilisateurs IAM Identity Center à l'aide de l'assistant Account Factory. Pour de plus amples informations, veuillez consulter Provisionner et gérer des comptes avec Account Factory.

Si vous choisissez la valeur par défaut recommandée, AWS Control Tower configure votre zone de landing zone avec un répertoire préconfiguré qui vous aide à gérer les identités des utilisateurs et l'authentification unique, afin que vos utilisateurs disposent d'un accès fédéré entre les comptes. Lorsque vous configurez votre zone de landing zone, ce répertoire par défaut est créé pour contenir les groupes d'utilisateurs et les ensembles d'autorisations.

Note

Vous pouvez déléguer l'administration de AWS IAM Identity Center votre organisation à un compte autre que le compte de gestion, en utilisant la fonctionnalité d'administrateur délégué d'IAM Identity Center. Si vous choisissez d'utiliser cette fonctionnalité, sachez que les administrateurs autorisés à gérer l'appartenance à un groupe peuvent également gérer les groupes assignés au compte de gestion. Pour plus d'informations, consultez ce billet de blog intitulé Getting started with AWS SSO Delegated Administration

Ce qu'il faut savoir sur les comptes IAM Identity Center et AWS Control Tower

Voici quelques informations utiles à connaître lorsque vous travaillez avec des comptes utilisateur IAM Identity Center dans AWS Control Tower.

• Si votre compte utilisateur AWS IAM Identity Center est désactivé, vous recevrez un message d'erreur lorsque vous tenterez de configurer de nouveaux comptes dans Account Factory. Vous pouvez réactiver votre utilisateur IAM Identity Center dans la console IAM Identity Center.

• Si vous spécifiez une nouvelle adresse e-mail utilisateur IAM Identity Center lorsque vous mettez à jour le produit provisionné associé à un compte vendu par Account Factory, AWS Control Tower crée un nouveau compte utilisateur IAM Identity Center. Le compte d'utilisateur créé précédemment n'est pas supprimé. Si vous préférez supprimer l'ancienne adresse e-mail de l'utilisateur IAM Identity Center d' AWS IAM Identity Center, consultez la section Désactivation d'un utilisateur.

• AWS IAM Identity Center a été intégré à Azure Active Directory, et vous pouvez connecter votre Azure Active Directory existant à AWS Control Tower.

• Pour plus d'informations sur la manière dont le comportement d'AWS Control Tower interagit avec AWS IAM Identity Center et les différentes sources d'identité, consultez les considérations relatives à la modification de votre source d'identité dans la documentation d' AWS IAM Identity Center.