Gestion de l'identité du personnel

La gestion de l'identité du personnel, illustrée dans le schéma suivant, fait référence à la gestion de l'accès humain aux ressources qui aident à créer et à gérer vos activités au sein de votre infrastructure et de vos applications cloud. Il permet de sécuriser le provisionnement, la gestion et la suppression de l'accès lorsque les employés rejoignent une organisation, changent de rôle et quittent une organisation. Les administrateurs d'identité peuvent créer des identités directement dans AWS ou se connecter à un fournisseur d'identité externe (IdP) pour permettre aux employés d'utiliser leurs informations d'identification professionnelles pour accéder en toute sécurité aux comptes AWS et aux applications professionnelles à partir d'un seul endroit.

En utilisant AWS IAM Identity Center pour gérer l'accès aux applications gérées par AWS, vous pouvez bénéficier de nouvelles fonctionnalités telles que la propagation fiable des identités de votre application de requête vers le service de données AWS, et de nouveaux services tels qu'Amazon Q qui offrent une expérience utilisateur continue lorsque les utilisateurs passent d'un service compatible Amazon Q à un autre. L'utilisation d'IAM Identity Center pour accéder aux comptes AWS empêche la création et l'utilisation d'utilisateurs IAM, qui ont un accès à long terme aux ressources. Au lieu de cela, il permet aux identités du personnel d'accéder aux ressources des comptes AWS en utilisant des informations d'identification temporaires provenant d'IAM Identity Center, ce qui constitue une bonne pratique en matière de sécurité. Les services de gestion des identités du personnel vous permettent de définir un contrôle d'accès précis pour les ressources ou les applications AWS dans votre environnement AWS multi-comptes en fonction de fonctions professionnelles ou d'attributs utilisateur spécifiques. Ces services permettent également d'auditer et d'examiner les activités des utilisateurs au sein de votre environnement AWS.

AWS propose plusieurs options pour la gestion des identités et des accès du personnel : AWS IAM Identity Center, fédération IAM SAML et AWS Managed Microsoft AD.

AWS IAM Identity Center est le service recommandé pour gérer l'accès du personnel aux applications AWS et à plusieurs comptes AWS. Vous pouvez utiliser ce service avec une source d'identité existante, telle qu'Okta, Microsoft Entra ID ou Active Directory sur site, ou en créant des utilisateurs dans son annuaire. IAM Identity Center fournit tous les services AWS avec une compréhension partagée des utilisateurs et des groupes de votre personnel. Les applications gérées par AWS s'y intègrent, vous n'avez donc pas besoin de connecter votre source d'identité individuellement à chaque service, et vous pouvez gérer et consulter l'accès de votre personnel depuis un emplacement central. Vous pouvez utiliser IAM Identity Center pour gérer l'accès aux applications AWS tout en continuant à utiliser votre configuration établie pour accéder aux comptes AWS. Pour les nouveaux environnements multi-comptes, IAM Identity Center est le service recommandé pour gérer l'accès de votre personnel à l'environnement. Vous pouvez attribuer des autorisations de manière cohérente entre les comptes AWS, et vos utilisateurs bénéficient d'un accès par authentification unique sur AWS.
Une autre façon d'autoriser votre personnel à accéder aux comptes AWS consiste à utiliser la fédération IAM SAML 2.0. Cela implique de créer un one-to-one lien de confiance entre l'IdP de votre organisation et chaque compte AWS, et n'est pas recommandé pour les environnements multi-comptes. Au sein de votre organisation, vous devez disposer d'un IdP compatible avec le protocole SAML 2.0, tel que Microsoft Entra ID, Okta ou un autre fournisseur SAML 2.0 compatible.
Une autre option consiste à utiliser Microsoft Active Directory (AD) en tant que service géré pour exécuter des charges de travail compatibles avec les annuaires dans AWS. Vous pouvez également configurer une relation de confiance entre AWS Managed Microsoft AD dans le cloud AWS et votre Microsoft Active Directory sur site existant, afin de permettre aux utilisateurs et aux groupes d'accéder aux ressources de l'un ou l'autre domaine à l'aide d'AWS IAM Identity Center.

Considérations relatives à la conception

Bien que cette section traite de plusieurs services et options, nous vous recommandons d'utiliser IAM Identity Center pour gérer l'accès du personnel, car il présente des avantages par rapport aux deux autres approches. Les sections suivantes traitent des avantages et des cas d'utilisation des approches individuelles. Un nombre croissant d'applications gérées par AWS nécessitent l'utilisation d'IAM Identity Center. Si vous utilisez actuellement la fédération IAM, vous pouvez activer et utiliser IAM Identity Center avec les applications AWS sans modifier vos configurations existantes.
Pour améliorer la résilience de la fédération, nous vous recommandons de configurer votre fédération IdP et AWS pour prendre en charge plusieurs points de terminaison de connexion SAML. Pour plus de détails, consultez le billet de blog AWS How to use regional SAML endpoints for failover.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion des identités

Centre d'identité AWS IAM