Administration déléguée - AWS IAM Identity Center
Bonnes pratiquesPrérequisEnregistrez un compte membreAnnuler l'enregistrement d'un compte membreAfficher quel compte de membre a été enregistré en tant qu'administrateur délégué

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Administration déléguée

L'administration déléguée permet aux utilisateurs assignés à un compte membre enregistré d'effectuer la plupart des tâches administratives IAM d'Identity Center de manière pratique. Lorsque vous activez IAM Identity Center, votre instance IAM Identity Center est créée AWS Organizations par défaut dans le compte de gestion. Cela a été initialement conçu de cette façon pour qu'IAMIdentity Center puisse fournir, déprovisionner et mettre à jour les rôles sur tous les comptes membres de votre organisation. Même si votre instance IAM Identity Center doit toujours résider dans le compte de gestion, vous pouvez choisir de déléguer l'administration d'IAMIdentity Center à un compte membre AWS Organizations, étendant ainsi la possibilité de gérer IAM Identity Center depuis l'extérieur du compte de gestion.

L'activation de l'administration déléguée offre les avantages suivants :

  • Minimise le nombre de personnes ayant besoin d'accéder au compte de gestion pour atténuer les problèmes de sécurité

  • Permet à certains administrateurs d'attribuer des utilisateurs et des groupes aux applications et aux comptes des membres de votre organisation

Pour plus d'informations sur le fonctionnement IAM d'Identity Center AWS Organizations, consultezGérez l'accès à Comptes AWS. Pour plus d'informations et pour consulter un exemple de scénario d'entreprise illustrant comment configurer l'administration déléguée, consultez Getting Started with IAM Identity Center Delegated Administration dans le blog AWS de sécurité.

Bonnes pratiques

Voici quelques bonnes pratiques à prendre en compte avant de configurer l'administration déléguée.

  • Accorder le moindre privilège au compte de gestion — Sachant que le compte de gestion est un compte hautement privilégié et pour respecter le principe du moindre privilège, nous vous recommandons vivement de restreindre l'accès au compte de gestion au moins de personnes possible. La fonctionnalité d'administrateur délégué vise à minimiser le nombre de personnes ayant besoin d'accéder au compte de gestion.

  • Créez des ensembles d'autorisations à utiliser uniquement dans le compte de gestion : cela facilite l'administration des ensembles d'autorisations adaptés uniquement aux utilisateurs accédant à votre compte de gestion et permet de les différencier des ensembles d'autorisations gérés par votre compte d'administrateur délégué.

  • Tenez compte de votre emplacement Active Directory : si vous prévoyez d'utiliser Active Directory comme source IAM d'identité de votre centre d'identité, localisez le répertoire dans le compte membre sur lequel vous avez activé la fonctionnalité d'administrateur délégué IAM d'Identity Center. Si vous décidez de remplacer la IAM source d'identité d'Identity Center par une autre source par Active Directory, ou de passer d'Active Directory à une autre source, le répertoire doit résider dans le compte membre administrateur délégué d'IAMIdentity Center (s'il en existe un) ; sinon, il doit se trouver dans le compte de gestion.

  • Créer des attributions d'utilisateurs uniquement dans le compte de gestion : l'administrateur délégué ne peut pas modifier les ensembles d'autorisations fournis dans le compte de gestion. Toutefois, les administrateurs délégués peuvent ajouter, modifier et supprimer des groupes et des attributions de groupes.

Prérequis

Avant de pouvoir enregistrer un compte en tant qu'administrateur délégué, vous devez d'abord déployer l'environnement suivant :

  • AWS Organizations doit être activé et configuré avec au moins un compte membre en plus de votre compte de gestion par défaut.

  • Si votre source d'identité est définie sur Active Directory, la Synchronisation AD configurable par IAM Identity Center fonctionnalité doit être activée.

Enregistrez un compte membre

Pour configurer l'administration déléguée, vous devez d'abord enregistrer un compte membre dans votre organisation en tant qu'administrateur délégué. Les utilisateurs de ce compte membre disposant d'autorisations suffisantes auront un accès administratif à IAM Identity Center. Une fois qu'un compte membre est enregistré avec succès pour l'administration déléguée, il est appelé compte d'administrateur délégué. Pour en savoir plus sur les tâches que le compte administrateur délégué peut effectuer, consultezCompte AWS types.

IAMIdentity Center prend en charge l'enregistrement d'un seul compte membre en tant qu'administrateur délégué à la fois. Vous ne pouvez créer un compte membre que lorsque vous êtes connecté avec les informations d'identification du compte de gestion.

Utilisez la procédure suivante pour accorder un accès administratif à IAM Identity Center en enregistrant un compte de membre spécifique dans votre AWS organisation en tant qu'administrateur délégué.

Important

Cette opération délègue IAM l'accès administratif d'Identity Center aux utilisateurs administrateurs de ce compte membre. Tous les utilisateurs disposant d'autorisations suffisantes sur ce compte d'administrateur délégué peuvent effectuer toutes les tâches administratives IAM d'Identity Center à partir de ce compte, à l'exception des suivantes :

  • Activation du centre IAM d'identité

  • Supprimer les configurations IAM d'Identity Center

  • Gestion des ensembles d'autorisations fournis dans le compte de gestion

  • Enregistrer ou désenregistrer d'autres comptes membres en tant qu'administrateurs délégués

  • Activation ou désactivation de l'accès utilisateur dans le compte de gestion

L'administrateur délégué peut modifier l'appartenance au groupe.

Pour créer un compte membre

  1. Connectez-vous à l' AWS Management Console aide des informations d'identification de votre compte de gestion dans AWS Organizations. Les informations d'identification du compte de gestion sont requises pour exécuter le RegisterDelegatedAdministratorAPI.

  2. Sélectionnez la région dans laquelle IAM Identity Center est activé, puis ouvrez la console IAM Identity Center.

  3. Choisissez Paramètres, puis sélectionnez l'onglet Gestion.

  4. Dans la section Administrateur délégué, choisissez Enregistrer un compte.

  5. Sur la page Enregistrer un administrateur délégué, sélectionnez celui que Compte AWS vous souhaitez enregistrer, puis choisissez Enregistrer un compte.

Annuler l'enregistrement d'un compte membre

Vous ne pouvez annuler l'enregistrement d'un compte membre que lorsque vous êtes connecté avec les informations d'identification du compte de gestion.

Utilisez la procédure suivante pour supprimer l'accès administratif à IAM Identity Center en annulant l'enregistrement d'un compte de membre de votre AWS organisation qui avait été précédemment désigné comme administrateur délégué.

Important

Lorsque vous désenregistrez un compte, vous empêchez effectivement tous les utilisateurs administrateurs de gérer IAM Identity Center à partir de ce compte. Par conséquent, ils ne peuvent plus administrer les identités IAM Identity Center, la gestion des accès, l'authentification ou l'accès aux applications à partir de ce compte. Cette opération n'affectera aucune autorisation ou attribution configurée dans IAM Identity Center et n'aura donc aucun impact sur vos utilisateurs finaux, car ils continueront d'avoir accès à leurs applications et Comptes AWS depuis le portail AWS d'accès.

Pour annuler l'enregistrement d'un compte membre

  1. Connectez-vous à l' AWS Management Console aide des informations d'identification de votre compte de gestion dans AWS Organizations. Les informations d'identification du compte de gestion sont requises pour exécuter le DeregisterDelegatedAdministratorAPI.

  2. Sélectionnez la région dans laquelle IAM Identity Center est activé, puis ouvrez la console IAM Identity Center.

  3. Choisissez Paramètres, puis sélectionnez l'onglet Gestion.

  4. Dans la section Administrateur délégué, choisissez Désenregistrer le compte.

  5. Dans la boîte de dialogue Désenregistrer le compte, examinez les implications en matière de sécurité, puis entrez le nom du compte membre pour confirmer que vous avez bien compris.

  6. Choisissez Désenregistrer le compte.

Afficher quel compte de membre a été enregistré en tant qu'administrateur délégué

Suivez la procédure ci-dessous pour savoir quel compte de membre AWS Organizations a été configuré en tant qu'administrateur délégué pour IAM Identity Center.

Pour consulter votre compte de membre enregistré

  1. Ouvrez la console IAM Identity Center.

  2. Sélectionnez Settings (Paramètres).

  3. Dans la section Détails, recherchez le nom du compte enregistré sous Administrateur délégué. Vous pouvez également trouver ces informations en sélectionnant l'onglet Gestion et en les consultant dans la section Administrateur délégué.