AWS applications gérées - AWS IAM Identity Center
Contrôle de l'accès aux applicationsPartage d'informations d'identité Limiter l'utilisation de AWS applications gérées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS applications gérées

AWS IAM Identity Center rationalise et simplifie la tâche consistant à connecter les utilisateurs de votre personnel à AWS applications gérées telles qu'Amazon Q Developer et Amazon QuickSight. Avec IAM Identity Center, vous pouvez connecter votre fournisseur d'identité existant une seule fois et synchroniser les utilisateurs et les groupes depuis votre annuaire, ou créer et gérer vos utilisateurs directement dans IAM Identity Center. En fournissant un point de fédération unique, IAM Identity Center élimine le besoin de configurer la fédération ou la synchronisation des utilisateurs et des groupes pour chaque application et réduit vos efforts administratifs. Vous bénéficiez également d'une vue commune des attributions des utilisateurs et des groupes.

Pour une table de AWS applications compatibles avec IAM Identity Center, voirAWS applications gérées que vous pouvez utiliser avec IAM Identity Center.

Contrôle de l'accès à AWS applications gérées

Accès à AWS les applications gérées sont contrôlées de deux manières :

  • Entrée initiale dans l'application

    IAMIdentity Center gère cela par le biais d'assignations à l'application. Par défaut, les assignations sont obligatoires pour AWS applications gérées. Si vous êtes administrateur d'applications, vous pouvez choisir d'exiger ou non des affectations à une application.

    Si des assignations sont requises, lorsque les utilisateurs se connectent au Portail d'accès AWS, seuls les utilisateurs affectés à l'application directement ou par le biais d'une attribution de groupe peuvent voir la vignette de l'application.

    Si aucune attribution n'est requise, vous pouvez autoriser tous les utilisateurs IAM d'Identity Center à accéder à l'application. Dans ce cas, l'application gère l'accès aux ressources et la vignette de l'application est visible par tous les utilisateurs qui consultent le Portail d'accès AWS.

    Important

    Si vous êtes administrateur d'IAMIdentity Center, vous pouvez utiliser la console IAM Identity Center pour supprimer des attributions à AWS applications gérées. Avant de supprimer des attributions, nous vous recommandons de vous concerter avec l'administrateur de l'application. Vous devez également vous coordonner avec l'administrateur de l'application si vous envisagez de modifier le paramètre qui détermine si des affectations sont requises ou d'automatiser les affectations d'applications.

  • Accès aux ressources de l'application

    L'application gère cela par le biais d'affectations de ressources indépendantes qu'elle contrôle.

AWS les applications gérées fournissent une interface utilisateur administrative que vous pouvez utiliser pour gérer l'accès aux ressources de l'application. Par exemple, QuickSight les administrateurs peuvent assigner aux utilisateurs l'accès aux tableaux de bord en fonction de leur appartenance à un groupe. La plupart AWS les applications gérées fournissent également une AWS Management Console expérience qui vous permet d'attribuer des utilisateurs à l'application. L'expérience de console de ces applications peut intégrer les deux fonctions, afin de combiner les capacités d'attribution des utilisateurs avec la capacité de gérer l'accès aux ressources de l'application.

Partage d'informations d'identité

Considérations relatives au partage des informations d'identité dans Comptes AWS

IAMIdentity Center prend en charge les attributs les plus couramment utilisés dans toutes les applications. Ces attributs incluent le prénom et le nom de famille, le numéro de téléphone, l'adresse e-mail, l'adresse et la langue préférée. Examinez attentivement quelles applications et quels comptes peuvent utiliser ces informations personnelles identifiables.

Vous pouvez contrôler l'accès à ces informations de l'une des manières suivantes :

  • Vous pouvez choisir d'activer l'accès uniquement dans AWS Organizations compte de gestion ou dans tous les comptes dans AWS Organizations.

  • Vous pouvez également utiliser les politiques de contrôle des services (SCPs) pour contrôler quelles applications peuvent accéder aux informations dans quels comptes dans AWS Organizations.

Par exemple, si vous activez l'accès dans AWS Organizations compte de gestion uniquement, les applications des comptes membres n'ont alors aucun accès aux informations. Toutefois, si vous activez l'accès dans tous les comptes, vous pouvez interdire l'accès SCPs à toutes les applications, à l'exception de celles que vous souhaitez autoriser.

Les politiques de contrôle des services sont une fonctionnalité de AWS Organizations. Pour obtenir des instructions sur la manière de joindre unSCP, consultez la section Attacher et détacher les politiques de contrôle des services dans le AWS Organizations Guide de l'utilisateur.

Configuration IAM d'Identity Center pour partager les informations d'identité

IAMIdentity Center fournit un magasin d'identités qui contient les attributs des utilisateurs et des groupes, à l'exception des informations de connexion. Vous pouvez utiliser l'une des méthodes suivantes pour maintenir à jour les utilisateurs et les groupes de votre IAM banque d'identités Identity Center :

  • Utilisez le magasin IAM d'identités Identity Center comme source d'identité principale. Si vous choisissez cette méthode, vous gérez vos utilisateurs, leurs identifiants de connexion et les groupes depuis la console IAM Identity Center ou AWS Command Line Interface (AWS CLI). Pour plus d'informations, consultezGérer les identités dans IAM Identity Center.

  • Configurez le provisionnement (synchronisation) des utilisateurs et des groupes provenant de l'une des sources d'identité suivantes vers votre banque IAM d'identités Identity Center :

    Si vous choisissez cette méthode de provisionnement, vous continuez à gérer vos utilisateurs et vos groupes depuis votre source d'identité, et ces modifications sont synchronisées avec le magasin IAM d'identités Identity Center.

Quelle que soit la source d'IAMidentité que vous choisissez, Identity Center peut partager les informations des utilisateurs et des groupes avec AWS applications gérées. Ainsi, vous pouvez connecter une source d'IAMidentité à Identity Center une seule fois, puis partager les informations d'identité avec plusieurs applications dans le AWS Cloud. Il n'est donc plus nécessaire de configurer indépendamment la fédération et le provisionnement des identités pour chaque application. Cette fonctionnalité de partage permet également de donner facilement à vos utilisateurs l'accès à de nombreuses applications dans différents Comptes AWS.

Limiter l'utilisation de AWS applications gérées

Lorsque vous activez IAM Identity Center pour la première fois, AWS permet l'utilisation de AWS applications gérées automatiquement dans tous les comptes dans AWS Organizations. Pour restreindre les applications, vous devez implémenter des politiques de contrôle des services (SCPs). SCPssont une fonctionnalité de AWS Organizations que vous pouvez utiliser pour contrôler de manière centralisée les autorisations maximales que peuvent avoir les identités (utilisateurs et rôles) au sein de votre organisation. Vous pouvez l'utiliser SCPs pour bloquer l'accès aux informations des utilisateurs et des groupes d'IAMIdentity Center et pour empêcher le démarrage de l'application, sauf pour les comptes désignés. Pour plus d'informations, voir Politiques de contrôle des services (SCPs) dans le AWS Organizations Guide de l'utilisateur.