Je souhaite utiliser le AWS IAM Identity Center (successeur d'AWS Single Sign-On) pour permettre aux utilisateurs d'accéder à nos comptes et applications AWS. Je souhaite savoir si l'utilisation du centre d'identité IAM affecte mes identités AWS Identity and Access Management (IAM) (utilisateurs, groupes et rôles).
Brève description
Vous pouvez utiliser l'IAM Identity Center ou IAM pour fédérer votre personnel au sein de comptes et d'applications AWS.
La fédération IAM vous permet d'activer un IdP SAML 2.0 ou OIDC distinct pour chaque compte AWS et chaque attribut utilisateur à des fins de contrôle d'accès. Vous pouvez utiliser des fournisseurs d'identité au lieu de créer des utilisateurs IAM dans votre compte AWS. Pour plus d'informations, consultez la section Fournisseurs d'identité et fédération.
IAM Identity Center utilise des rôles liés aux services IAM. Il n'est pas nécessaire d'ajouter manuellement des autorisations pour les rôles liés à des services. Pour plus d'informations, voir Utilisation des rôles liés aux services pour IAM Identity Center.
Solution
Le centre d'identité IAM est indépendant de la fédération d'identités configurée à l'aide d'IAM. L'utilisation du centre d'identité IAM n'a aucun impact sur les identités IAM ou la configuration de votre fédération.
IAM Identity Center utilise le rôle lié au service AWSServiceRoleForSSO pour accorder les autorisations nécessaires à la gestion des ressources AWS. Le rôle AWSServiceRoleForSSO créé dans les comptes AWS ne fait confiance qu'au service IAM Identity Center, qui est similaire à la politique de confiance IAM suivante :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service":"sso.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Les rôles IAM créés par le rôle lié au service AWSServiceRoleForSSO ont une politique de confiance IAM similaire à la suivante :
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Federated": "arn:aws:iam::AWS-account-ID:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {
"StringEquals": {
"SAML:aud": "https://signin.aws.amazon.com/saml"
}
}
}
]
}
Remarque : Cette politique IAM ne fait confiance qu'au fournisseur SAML créé automatiquement par l'IAM Identity Center.
Avec la fédération IAM, vous devez créer manuellement des rôles IAM dans vos comptes AWS à l'aide d'une politique de confiance similaire à la suivante :
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/MYIDP"},
"Action": "sts:AssumeRoleWithSAML",
"Condition": {"StringEquals": {
"saml:edupersonorgdn": "ExampleOrg",
"saml:aud": "https://signin.aws.amazon.com/saml"
}}
}]
}
Remarque : seules les entités IAM de votre organisation auxquelles cette politique est attachée peuvent accéder à vos comptes AWS.
Pour configurer le centre d'identité IAM, consultez Comment commencer à utiliser IAM Identity Center et accéder au portail d'accès AWS ?
Informations connexes
Comment créer et gérer des utilisateurs dans AWS IAM Identity Center
Comment attribuer l'accès utilisateur aux applications cloud dans IAM Identity Center ?
Comment utiliser les jeux d'autorisations IAM Identity Center ?
Fédération d'identités dans AWS