Crée un jeu d'autorisations. - AWS IAM Identity Center
Créez un ensemble d'autorisations qui applique les autorisations du moindre privilège

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Crée un jeu d'autorisations.

Les ensembles d'autorisations sont stockés dans IAM Identity Center et définissent le niveau d'accès des utilisateurs et des groupes à un Compte AWS. Le premier ensemble d'autorisations que vous créez est le jeu d'autorisations administratives. Si vous avez terminé l'un d'entre eux, Tutoriels de mise en route vous avez déjà créé votre ensemble d'autorisations administratives. Utilisez cette procédure pour créer des ensembles d'autorisations, comme décrit dans la rubrique Politiques AWS gérées pour les fonctions professionnelles du Guide de l'utilisateur IAM.

  1. Procédez de l'une des manières suivantes pour vous connecter au AWS Management Console.

    • Nouvel utilisateur AWS (utilisateur root) : connectez-vous en tant que propriétaire du compte en choisissant Utilisateur root et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.

    • Vous utilisez déjà AWS (informations d'identification IAM) : connectez-vous à l'aide de vos informations d'identification IAM avec des autorisations administratives.

  2. Ouvrez la console IAM Identity Center.

  3. Dans le volet de navigation d'IAM Identity Center, sous Autorisations multi-comptes, sélectionnez Ensembles d'autorisations.

  4. Choisissez Create permission set (Créer un jeu d'autorisations).

    1. Sur la page Sélectionner le type d'ensemble d'autorisations, dans la section Type d'ensemble d'autorisations, choisissez Ensemble d'autorisations prédéfini.

    2. Dans la section Politique pour un ensemble d'autorisations prédéfini, choisissez l'une des options suivantes :

      • AdministratorAccess

      • Facturation

      • DatabaseAdministrator

      • DataScientist

      • NetworkAdministrator

      • PowerUserAccess

      • ReadOnlyAccess

      • SecurityAudit

      • SupportUser

      • SystemAdministrator

      • ViewOnlyAccess

  5. Sur la page Spécifier les détails de l'ensemble d'autorisations, conservez les paramètres par défaut et choisissez Next. Le paramètre par défaut limite votre session à une heure.

  6. Sur la page Réviser et créer, confirmez les points suivants :

    1. Pour l'étape 1 : Sélectionnez le type d'ensemble d'autorisations, affiche le type d'ensemble d'autorisations que vous avez choisi.

    2. Pour l'étape 2 : définir les détails de l'ensemble d'autorisations, affiche le nom du jeu d'autorisations que vous avez choisi.

    3. Choisissez Créer.

Créez un ensemble d'autorisations qui applique les autorisations du moindre privilège

Pour suivre la meilleure pratique consistant à appliquer des autorisations de moindre privilège, après avoir créé un ensemble d'autorisations administratives, vous créez un ensemble d'autorisations plus restrictif et vous l'attribuez à un ou plusieurs utilisateurs. Les ensembles d'autorisations créés lors de la procédure précédente constituent un point de départ pour évaluer le niveau d'accès aux ressources dont vos utilisateurs ont besoin. Pour passer aux autorisations du moindre privilège, vous pouvez exécuter IAM Access Analyzer pour surveiller les principaux à l'aide AWS de politiques gérées. Après avoir appris quelles autorisations ils utilisent, vous pouvez rédiger une politique personnalisée ou générer une politique avec uniquement les autorisations requises pour votre équipe.

Avec IAM Identity Center, vous pouvez attribuer plusieurs ensembles d'autorisations au même utilisateur. Votre utilisateur administratif doit également se voir attribuer des ensembles d'autorisations supplémentaires, plus restrictifs. De cette façon, ils peuvent accéder à vous uniquement Compte AWS avec les autorisations requises, au lieu de toujours utiliser leurs autorisations administratives.

Par exemple, si vous êtes développeur, après avoir créé votre utilisateur administratif dans IAM Identity Center, vous pouvez créer un nouvel ensemble d'autorisations qui octroie des PowerUserAccess autorisations, puis vous attribuer cet ensemble d'autorisations. Contrairement à l'ensemble d'autorisations administratives, qui utilise des AdministratorAccess autorisations, le jeu PowerUserAccess d'autorisations ne permet pas la gestion des utilisateurs et des groupes IAM. Lorsque vous vous connectez au portail AWS d'accès pour accéder à votre AWS compte, vous pouvez choisir d'effectuer des tâches de développement dans le compte PowerUserAccess plutôt que de le AdministratorAccess faire.

Gardez les considérations suivantes à l'esprit :

  • Pour commencer rapidement à créer un ensemble d'autorisations plus restrictif, utilisez un ensemble d'autorisations prédéfini plutôt qu'un ensemble d'autorisations personnalisé.

    Avec un ensemble d'autorisations prédéfini, qui utilise des autorisations prédéfinies, vous choisissez une seule politique AWS gérée parmi la liste des politiques disponibles. Chaque politique accorde un niveau spécifique d'accès aux AWS services et aux ressources ou des autorisations pour une fonction professionnelle commune. Pour plus d'informations sur chacune de ces politiques, consultez la section Politiques AWS gérées pour les fonctions de travail.

  • Vous pouvez configurer la durée de session pour un ensemble d'autorisations afin de contrôler la durée pendant laquelle un utilisateur est connecté à un Compte AWS.

    Lorsque les utilisateurs se fédérent dans leur Compte AWS et utilisent la console de AWS gestion ou l'interface de ligne de AWS commande (AWS CLI), IAM Identity Center utilise le paramètre de durée de session figurant sur le jeu d'autorisations pour contrôler la durée de la session. Par défaut, la valeur de la durée de session, qui détermine la durée pendant laquelle un utilisateur peut être connecté ou Compte AWS avant AWS de le déconnecter de la session, est définie sur une heure. Vous pouvez spécifier une valeur maximale de 12 heures. Pour plus d’informations, consultez Définir la durée de la session.

  • Vous pouvez également configurer la durée de session du portail d' AWS accès pour contrôler la durée pendant laquelle un utilisateur du personnel est connecté au portail.

    Par défaut, la valeur de la durée maximale de session, qui détermine la durée pendant laquelle un utilisateur du personnel peut se connecter au portail d' AWS accès avant de devoir s'authentifier à nouveau, est de huit heures. Vous pouvez spécifier une valeur maximale de 90 jours. Pour plus d’informations, consultez Configurer la durée de session du portail d' AWS accès et des applications intégrées d'IAM Identity Center.

  • Lorsque vous vous connectez au portail AWS d'accès, choisissez le rôle qui fournit les autorisations les moins privilégiées.

    Chaque ensemble d'autorisations que vous créez et attribuez à votre utilisateur apparaît comme un rôle disponible dans le portail AWS d'accès. Lorsque vous vous connectez au portail en tant qu'utilisateur, choisissez le rôle qui correspond à l'ensemble d'autorisations le plus restrictif que vous pouvez utiliser pour effectuer des tâches dans le compte, plutôt queAdministratorAccess.

  • Vous pouvez ajouter d'autres utilisateurs à IAM Identity Center et leur attribuer des ensembles d'autorisations existants ou nouveaux.

    Pour plus d'informations, voir,Attribuer Compte AWS l'accès aux groupes.