Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Comment IAM Identity Center affecte-t-il mes identités IAM ou la configuration de ma fédération ?
Je souhaite utiliser AWS IAM Identity Center pour permettre aux utilisateurs d'accéder à nos comptes et applications AWS. Je souhaite savoir si IAM Identity Center affecte mes identités Gestion des identités et des accès AWS (AWS IAM).
Brève description
Vous pouvez utiliser IAM Identity Center ou IAM pour fédérer vos équipes au sein de comptes et des applications AWS.
La fédération IAM vous permet d'activer un IdP SAML 2.0 ou OIDC distinct pour chaque compte AWS. Vous pouvez utiliser des fournisseurs d'identité plutôt que des utilisateurs IAM dans votre compte AWS. Pour en savoir plus, consultez la page Fournisseurs d'identité et fédération.
IAM Identity Center utilise des rôles liés aux services IAM. Il n'est pas nécessaire d'ajouter manuellement des autorisations pour les rôles liés aux services. Pour en savoir plus, consultez la section Utilisation de rôles liés à un service pour IAM Identity Center.
Résolution
IAM Identity Center est indépendant de la fédération d'identité que vous configurez avec IAM. IAM Identity Center n'a donc aucune incidence sur les identités IAM ni sur la configuration de votre fédération.
IAM Identity Center utilise le rôle lié à un service AWSServiceRoleForSSO pour accorder les autorisations nécessaires à la gestion des ressources AWS. Le rôle AWSServiceRoleForSSO créé dans les comptes AWS approuve uniquement le service IAM Identity Center qui est similaire à la stratégie d'approbation IAM suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sso.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Les rôles IAM créés par le rôle lié à un service AWSServiceRoleForSSO disposent d’une stratégie d'approbation IAM similaire à la suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::444455556666:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "signin.aws.amazon.com/saml" } } } ] }
Remarque : Cette politique IAM approuve uniquement le fournisseur SAML créé automatiquement par IAM Identity Center.
Dans le cadre de la fédération IAM, vous devez créer manuellement des rôles IAM dans vos comptes AWS avec une stratégie d'approbation similaire à la suivante :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::444455556666:saml-provider/ExampleIdP" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "saml:edupersonorgdn": "ExampleOrg", "saml:aud": "signin.aws.amazon.com/saml" } } } ] }
Remarque : Seules les entités IAM de votre organisation auxquelles cette stratégie est attachée peuvent accéder à vos comptes AWS.
Informations connexes
Comment créer et gérer des utilisateurs dans AWS IAM Identity Center
Comment attribuer un accès utilisateur aux applications cloud dans la console IAM Identity Center ?
Comment utiliser les jeux d'autorisations IAM Identity Center ?
- Balises
- AWS IAM Identity Center
- Langue
- Français
Contenus pertinents
- demandé il y a 6 mois
- demandé il y a 2 ans
- demandé il y a 2 ans
- demandé il y a 2 ans
- demandé il y a 2 ans
- AWS OFFICIELA mis à jour il y a 2 ans