Accès par authentification unique à Comptes AWS - AWS IAM Identity Center
Attribuer un accès utilisateur à Comptes AWSSupprimer l'accès des utilisateurs et des groupesRévoquer une session d'ensemble d'autorisations activeDéléguer les personnes habilitées à attribuer un accès d'authentification unique aux utilisateurs et aux groupes du compte de gestion

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Accès par authentification unique à Comptes AWS

Vous pouvez attribuer aux utilisateurs de votre annuaire connecté des autorisations d'accès au compte de gestion ou aux comptes de membres de votre organisation en AWS Organizations fonction des fonctions professionnelles courantes. Vous pouvez également utiliser des autorisations personnalisées pour répondre à vos spécifications de sécurité spécifiques. Par exemple, vous pouvez accorder aux administrateurs de base de données des autorisations étendues sur Amazon RDS dans les comptes de développement, mais limiter leurs autorisations dans les comptes de production. IAM Identity Center configure automatiquement toutes les autorisations utilisateur nécessaires dans votre Comptes AWS système.

Note

Vous devrez peut-être accorder à des utilisateurs ou à des groupes des autorisations pour opérer dans le compte AWS Organizations de gestion. Comme il s'agit d'un compte à privilèges élevés, des restrictions de sécurité supplémentaires nécessitent que vous disposiez de la FullAccess politique IAM ou d'autorisations équivalentes avant de pouvoir le configurer. Ces restrictions de sécurité supplémentaires ne sont requises pour aucun des comptes membres de votre AWS organisation.

Attribuer un accès utilisateur à Comptes AWS

Utilisez la procédure suivante pour attribuer un accès par authentification unique aux utilisateurs et aux groupes de votre annuaire connecté et utiliser des ensembles d'autorisations pour déterminer leur niveau d'accès.

Pour vérifier l'accès des utilisateurs et des groupes existants, voirAfficher les attributions des utilisateurs et des groupes.

Note

Pour simplifier l'administration des autorisations d'accès, nous vous recommandons d'attribuer l'accès directement aux groupes et non pas aux différents utilisateurs. Avec les groupes, vous pouvez accorder ou refuser des autorisations à des groupes d'utilisateurs au lieu d'avoir à les appliquer individuellement à chaque utilisateur. Si un utilisateur change d'organisation, il vous suffit de le déplacer dans un autre groupe et il reçoit automatiquement les autorisations nécessaires pour la nouvelle organisation.

Pour attribuer un accès à un utilisateur ou à un groupe à Comptes AWS

  1. Ouvrez la console IAM Identity Center.

    Note

    Assurez-vous que la console IAM Identity Center utilise la région dans laquelle se trouve votre AWS Managed Microsoft AD répertoire avant de passer à l'étape suivante.

  2. Dans le volet de navigation, sous Autorisations multi-comptes, sélectionnez Comptes AWS.

  3. Sur la Comptes AWSpage, une liste arborescente de votre organisation apparaît. Cochez la case à côté d'une ou de plusieurs Comptes AWS personnes auxquelles vous souhaitez attribuer un accès par authentification unique.

    Note

    Vous pouvez en sélectionner jusqu'à 10 Comptes AWS à la fois par ensemble d'autorisations lorsque vous attribuez un accès par authentification unique à des utilisateurs et à des groupes. Pour en attribuer plus de 10 Comptes AWS au même ensemble d'utilisateurs et de groupes, répétez cette procédure selon les besoins pour les comptes supplémentaires. Lorsque vous y êtes invité, sélectionnez les mêmes utilisateurs, groupes et ensembles d'autorisations.

  4. Choisissez Attribuer des utilisateurs ou des groupes.

  5. Pour l'étape 1 : Sélectionnez les utilisateurs et les groupes, sur la page Affecter des utilisateurs et des groupes à « AWS-account-name », procédez comme suit :

    1. Dans l'onglet Utilisateurs, sélectionnez un ou plusieurs utilisateurs auxquels vous souhaitez accorder l'accès par authentification unique.

      Pour filtrer les résultats, commencez à saisir le nom de l'utilisateur souhaité dans le champ de recherche.

    2. Dans l'onglet Groupes, sélectionnez un ou plusieurs groupes auxquels vous souhaitez accorder un accès par authentification unique.

      Pour filtrer les résultats, commencez à taper le nom du groupe souhaité dans le champ de recherche.

    3. Pour afficher les utilisateurs et les groupes que vous avez sélectionnés, choisissez le triangle latéral à côté de Utilisateurs et groupes sélectionnés.

    4. Après avoir confirmé que les utilisateurs et les groupes sélectionnés sont corrects, choisissez Next.

  6. Pour l'étape 2 : sélectionner des ensembles d'autorisations, sur la page Attribuer des ensembles d'autorisations à « AWS-account-name », procédez comme suit :

    1. Sélectionnez un ou plusieurs ensembles d'autorisations. Si nécessaire, vous pouvez créer et sélectionner de nouveaux ensembles d'autorisations.

      • Pour sélectionner un ou plusieurs ensembles d'autorisations existants, sous Ensembles d'autorisations, sélectionnez les ensembles d'autorisations que vous souhaitez appliquer aux utilisateurs et aux groupes que vous avez sélectionnés à l'étape précédente.

      • Pour créer un ou plusieurs nouveaux ensembles d'autorisations, choisissez Créer un ensemble d'autorisations et suivez les étapes décrites dansCrée un jeu d'autorisations.. Après avoir créé les ensembles d'autorisations que vous souhaitez appliquer, dans la console IAM Identity Center, revenez Comptes AWSet suivez les instructions jusqu'à ce que vous atteigniez l'étape 2 : Sélectionnez les ensembles d'autorisations. Lorsque vous atteignez cette étape, sélectionnez les nouveaux ensembles d'autorisations que vous avez créés et passez à l'étape suivante de cette procédure.

    2. Après avoir confirmé que les ensembles d'autorisations appropriés sont sélectionnés, choisissez Next.

  7. Pour l'étape 3 : Révision et envoi, sur la page Réviser et envoyer les assignations à « AWS-account-name », procédez comme suit :

    1. Passez en revue les utilisateurs, les groupes et les ensembles d'autorisations sélectionnés.

    2. Après avoir confirmé que les utilisateurs, groupes et ensembles d'autorisations appropriés sont sélectionnés, choisissez Soumettre.

      Important

      Le processus d'attribution des utilisateurs et des groupes peut prendre quelques minutes. Laissez cette page ouverte jusqu'à ce que le processus soit terminé avec succès.

      Note

      Vous devrez peut-être accorder à des utilisateurs ou à des groupes des autorisations pour opérer dans le compte AWS Organizations de gestion. Comme il s'agit d'un compte à privilèges élevés, des restrictions de sécurité supplémentaires nécessitent que vous disposiez de la FullAccess politique IAM ou d'autorisations équivalentes avant de pouvoir le configurer. Ces restrictions de sécurité supplémentaires ne sont requises pour aucun des comptes membres de votre AWS organisation.

Supprimer l'accès des utilisateurs et des groupes

Utilisez cette procédure pour supprimer l'accès par authentification unique Compte AWS à un ou plusieurs utilisateurs et groupes de votre annuaire connecté.

Pour supprimer l'accès des utilisateurs et des groupes à un Compte AWS

  1. Ouvrez la console IAM Identity Center.

  2. Dans le volet de navigation, sous Autorisations multi-comptes, sélectionnez Comptes AWS.

  3. Sur la Comptes AWSpage, une liste arborescente de votre organisation apparaît. Sélectionnez le nom Compte AWS qui contient les utilisateurs et les groupes pour lesquels vous souhaitez supprimer l'accès par authentification unique.

  4. Sur la page d'aperçu de Compte AWS, sous Utilisateurs et groupes assignés, sélectionnez le nom d'un ou de plusieurs utilisateurs ou groupes, puis choisissez Supprimer l'accès.

  5. Dans la boîte de dialogue Supprimer l'accès, vérifiez que les noms des utilisateurs ou des groupes sont corrects, puis choisissez Supprimer l'accès.

Révoquer les sessions de rôle IAM actives créées par des ensembles d'autorisations

La procédure générale suivante permet de révoquer une session d'ensemble d'autorisations active pour un utilisateur d'IAM Identity Center. La procédure part du principe que vous souhaitez supprimer tout accès à un utilisateur dont les informations d'identification ont été compromises ou à un acteur malveillant présent dans le système. La condition préalable est d'avoir suivi les directives enPréparez-vous à révoquer une session de rôle IAM active créée par un ensemble d'autorisations. Nous supposons que la politique de refus de tout est présente dans une politique de contrôle des services (SCP).

Note

AWS vous recommande de créer une automatisation pour gérer toutes les étapes, à l'exception des opérations relatives à la console uniquement.

  1. Obtenez le nom d'utilisateur de la personne dont vous devez révoquer l'accès. Vous pouvez utiliser les API du magasin d'identités pour trouver l'utilisateur à l'aide de son nom d'utilisateur.

  2. Mettez à jour la politique de refus pour ajouter l'ID utilisateur de l'étape 1 dans votre politique de contrôle des services (SCP). Une fois cette étape terminée, l'utilisateur cible perd son accès et n'est plus en mesure d'effectuer des actions avec les rôles concernés par la politique.

  3. Supprimez tous les ensembles d'autorisations attribués à l'utilisateur. Si l'accès est attribué par le biais d'appartenances à des groupes, supprimez l'utilisateur de tous les groupes et de toutes les attributions directes d'ensembles d'autorisations. Cette étape empêche l'utilisateur d'assumer des rôles IAM supplémentaires. Si un utilisateur possède une session active sur le portail d' AWS accès et que vous le désactivez, il peut continuer à assumer de nouveaux rôles jusqu'à ce que vous supprimiez son accès.

  4. Si vous utilisez un fournisseur d'identité (IdP) ou Microsoft Active Directory comme source d'identité, désactivez l'utilisateur dans la source d'identité. La désactivation de l'utilisateur empêche la création de sessions supplémentaires sur le portail AWS d'accès. Utilisez la documentation de votre IdP ou de l'API Microsoft Active Directory pour savoir comment automatiser cette étape. Si vous utilisez le répertoire IAM Identity Center comme source d'identité, ne désactivez pas encore l'accès des utilisateurs. Vous allez désactiver l'accès des utilisateurs à l'étape 6.

  5. Dans la console IAM Identity Center, recherchez l'utilisateur et supprimez sa session active.

    1. Choisissez Utilisateurs.

    2. Choisissez l'utilisateur dont vous souhaitez supprimer la session active.

    3. Sur la page détaillée de l'utilisateur, choisissez l'onglet Sessions actives.

    4. Cochez les cases à côté des sessions que vous souhaitez supprimer et choisissez Supprimer la session.

    Cela garantit que la session du portail d' AWS accès de l'utilisateur s'arrête dans un délai d'environ 60 minutes. En savoir plus sur la durée des sessions.

  6. Dans la console IAM Identity Center, désactivez l'accès des utilisateurs.

    1. Choisissez Utilisateurs.

    2. Choisissez l'utilisateur dont vous souhaitez désactiver l'accès.

    3. Sur la page détaillée de l'utilisateur, développez Informations générales et cliquez sur le bouton Désactiver l'accès utilisateur pour empêcher toute nouvelle connexion de l'utilisateur.

  7. Laissez la politique de refus en place pendant au moins 12 heures. Dans le cas contraire, l'utilisateur disposant d'une session de rôle IAM active aura restauré les actions avec le rôle IAM. Si vous attendez 12 heures, les sessions actives expirent et l'utilisateur ne pourra plus accéder au rôle IAM.

Important

Si vous désactivez l'accès d'un utilisateur avant d'arrêter la session utilisateur (vous avez effectué l'étape 6 sans terminer l'étape 5), vous ne pouvez plus arrêter la session utilisateur via la console IAM Identity Center. Si vous désactivez par inadvertance l'accès utilisateur avant d'arrêter la session utilisateur, vous pouvez réactiver l'utilisateur, arrêter sa session, puis désactiver à nouveau son accès.

Vous pouvez désormais modifier les informations d'identification de l'utilisateur si son mot de passe a été compromis et rétablir ses attributions.

Déléguer les personnes habilitées à attribuer un accès d'authentification unique aux utilisateurs et aux groupes du compte de gestion

L'attribution d'un accès d'authentification unique au compte de gestion à l'aide de la console IAM Identity Center est une action privilégiée. Par défaut, seul un Utilisateur racine d'un compte AWS ou un utilisateur auquel AWSSSOMasterAccountAdministratorles politiques IAMFullAccess AWS gérées sont associées peut attribuer un accès par authentification unique au compte de gestion. Les IAMFullAccesspolitiques AWSSSOMasterAccountAdministratoret gèrent l'accès par authentification unique au compte de gestion au sein d'une AWS Organizations organisation.

Suivez les étapes ci-dessous pour déléguer des autorisations afin de gérer l'accès par authentification unique aux utilisateurs et aux groupes de votre annuaire.

Pour accorder des autorisations permettant de gérer l'accès par authentification unique aux utilisateurs et aux groupes de votre annuaire

  1. Connectez-vous à la console IAM Identity Center en tant qu'utilisateur root du compte de gestion ou avec un autre utilisateur disposant d'autorisations d'administrateur sur le compte de gestion.

  2. Suivez les étapes décrites Crée un jeu d'autorisations. pour créer un ensemble d'autorisations, puis procédez comme suit :

    1. Sur la page Créer un nouvel ensemble d'autorisations, cochez la case Créer un ensemble d'autorisations personnalisé, puis choisissez Suivant : Détails.

    2. Sur la page Créer un nouvel ensemble d'autorisations, spécifiez un nom pour le jeu d'autorisations personnalisé et, éventuellement, une description. Si nécessaire, modifiez la durée de la session et spécifiez l'URL de l'état du relais.

      Note

      Pour l'URL de l'état du relais, vous devez spécifier une URL qui se trouve dans le AWS Management Console. Par exemple :

      https://console.aws.amazon.com/ec2/

      Pour plus d’informations, consultez Définir l'état du relais.

    3. Sous Quelles politiques souhaitez-vous inclure dans votre ensemble d'autorisations ? , cochez la case Joindre les politiques AWS gérées.

    4. Dans la liste des politiques IAM, sélectionnez à la fois les politiques AWSSSOMasterAccountAdministratoret les politiques IAMFullAccess AWS gérées. Ces politiques accordent des autorisations à tous les utilisateurs et groupes auxquels l'accès à cet ensemble d'autorisations sera attribué à l'avenir.

    5. Choisissez Suivant : Balises.

    6. Sous Ajouter des balises (facultatif), spécifiez les valeurs de clé et de valeur (facultatif), puis choisissez Suivant : Révision. Pour en savoir plus sur les identifications, consultez Balisage de ressources AWS IAM Identity Center.

    7. Passez en revue les sélections que vous avez effectuées, puis choisissez Créer.

  3. Suivez les étapes décrites Attribuer un accès utilisateur à Comptes AWS pour attribuer les utilisateurs et les groupes appropriés à l'ensemble d'autorisations que vous venez de créer.

  4. Communiquez ce qui suit aux utilisateurs assignés : lorsqu'ils se connectent au portail AWS d'accès et choisissent l'onglet Comptes, ils doivent choisir le nom de rôle approprié pour être authentifiés avec les autorisations que vous venez de déléguer.