FAQ AWS IAM Identity Center

Vous pouvez ajouter un compte AWS géré à IAM Identity Center en utilisant AWS Organizations. Vous devez activer toutes les fonctionnalités de vos organisations pour gérer vos comptes à authentification unique.

Vous pouvez sélectionner des comptes au sein de l'organisation ou filtrer les comptes par UO.

La propagation fiable des identités repose sur le cadre d'autorisation OAuth 2.0, qui permet aux applications d'accéder aux données et à d'autres ressources pour le compte d'un utilisateur spécifique, sans communiquer ses informations d'identification. Cette fonctionnalité d'IAM Identity Center simplifie la gestion de l'accès aux données pour les utilisateurs, les audits et améliore l'expérience de connexion des utilisateurs d'analyses sur plusieurs applications d'analyse AWS.

Les administrateurs de ressources et de bases de données peuvent limiter l'accès aux ressources à certains utilisateurs et aux membres de certains groupes. Les auditeurs peuvent examiner les actions des utilisateurs sur des applications d'informatique décisionnelle et d'analyse de données interconnectées. Les utilisateurs d'applications d'informatique décisionnelle peuvent s'authentifier une seule fois pour accéder aux sources de données AWS. La propagation fiable des identités permet aux clients de répondre aux exigences relatives à l'accès aux données selon le principe du moindre privilège dans le cadre de flux de travail analytiques couvrant de multiples applications et services AWS, tels qu'Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena et AWS LakeFormation. 

La propagation fiable d'identité est principalement utilisée pour permettre aux applications d'informatique décisionnelle d'interroger les services d'analyse AWS, tels qu'Amazon Redshift ou Amazon Quicksight, au sujet des données requises par les utilisateurs professionnels se connectant via une authentification unique par le biais du fournisseur d'identité existant du client, tout en gardant connaissance de l'identité de l'utilisateur. Cette fonctionnalité prend en charge différents types d'applications courantes d'informatique décisionnelle et utilise différents mécanismes pour diffuser l'identité de l'utilisateur entre les services.

Lorsque vous accordez l'accès à vos utilisateurs, vous pouvez limiter leurs autorisations en sélectionnant un ensemble d'autorisations. Les jeux d'autorisations sont un groupe d'autorisations que vous pouvez créer dans IAM Identity Center, en les modélisant en fonction de politiques gérées par AWS pour les fonctions professionnelles ou de toute autre stratégie gérée par AWS. Les stratégies gérées par AWS pour les fonctions professionnelles sont conçues de manière à s'aligner étroitement sur les tâches courantes du secteur de l'informatique. Si nécessaire, vous pouvez entièrement personnaliser l'ensemble d'autorisations pour répondre à vos exigences en matière de sécurité. IAM Identity Center applique automatiquement ces autorisations aux comptes sélectionnés. Lorsque vous apportez des modifications aux ensembles d'autorisations, IAM Identity Center vous permet d'appliquer facilement ces dernières aux comptes concernés. Lorsque les utilisateurs accèdent aux comptes sur le portail d'accès AWS, ces autorisations limitent leurs activités au sein de ces comptes. Vous pouvez également accorder plusieurs jeux d'autorisations aux utilisateurs. Lorsqu'ils accèdent au compte sur le portail utilisateur, ils peuvent choisir le jeux d'autorisations qu'ils souhaitent utiliser pour cette séance.

IAM Identity Center fournit des API et le prise en charge d'AWS CloudFormation pour automatiser la gestion des autorisations dans les environnements multi-comptes et récupérer les autorisations par programme à des fins d'audit et de gouvernance.

Pour implémenter ABAC, vous pouvez sélectionner des attributs dans le magasin d'identités d'IAM Identity Center pour les utilisateurs d'IAM Identity Center et les utilisateurs synchronisés depuis Microsoft AD ou des fournisseurs d'identité SAML 2.0 externes, notamment Okta Universal Directory, Microsoft Entra ID (anciennement Azure AD), OneLogin ou PingFederate. Lorsque vous utilisez un fournisseur d'identité comme source d'identité, vous avez la possibilité d'envoyer les attributs dans le cadre d'une assertion SAML 2.0.

Vous pouvez obtenir des informations d'identification pour AWS CLI pour toutes les autorisations de compte et d'utilisateur AWS que votre administrateur IAM Identity Center vous a attribuées. Ces informations d'identification pour la CLI peuvent être utilisées pour un accès par programmation au compte AWS.

Les informations d'identification pour AWS CLI récupérées par IAM Identity Center sont valides pendant 60 minutes. Vous pouvez obtenir de nouvelles informations d'identification aussi souvent que nécessaire.

Dans la console IAM Identity Center, accédez au volet des applications, choisissez « Configure new application » (Configurer de nouvelles applications) et sélectionnez une application dans la liste des applications cloud pré-intégrées à IAM Identity Center. Suivez les instructions à l'écran pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » (Accorder l'accès) pour terminer le processus.

Oui. Si votre application prend en charge le protocole SAML 2.0, vous pouvez la configurer en tant qu'application SAML 2.0 personnalisée. Dans la console IAM Identity Center, accédez au volet des applications et choisissez l'option « Configure new application » (Configurer les applications), puis « Custom SAML 2.0 application » (Application SAML 2.0 personnalisée). Suivez les instructions pour configurer l'application. Votre application est désormais configurée. Vous pouvez autoriser l'accès à cette dernière. Choisissez les groupes ou les utilisateurs que vous souhaitez autoriser à accéder à l'application, puis sélectionnez l'option « Assign Access » (Accorder l'accès) pour terminer le processus.

Non. IAM Identity Center prend uniquement en charge les applications basées sur le protocole SAML 2.0.

Non. IAM Identity Center prend en charge l'authentification unique pour les applications métier uniquement depuis un navigateur web.

Le centre d'identité IAM stockera des données sur les comptes AWS et les applications cloud attribués à des utilisateurs et des groupes, ainsi que sur les autorisations accordées pour accéder aux comptes AWS. IAM Identity Center créera et gérera également les rôles IAM dans les comptes AWS individuels pour chaque jeux d'autorisations auquel vous accordez l'accès à vos utilisateurs.

Avec IAM Identity Center, vous pouvez activer de fortes capacités d'authentification reposant sur des normes pour tous vos utilisateurs dans toutes les sources d'identité. Si vous utilisez un fournisseur d'identité SAML 2.0 pris en charge comme source d'identité, vous pouvez activer les capacités d'authentification MFA de votre fournisseur. Lorsque vous utilisez IAM Identity Center ou Active Directory comme source d'identité, IAM Identity Center prend en charge la spécification Web Authentication pour vous aider à sécuriser l'accès des utilisateurs aux comptes AWS et aux applications métier avec des clés de sécurité compatibles FIDO, telles que YubiKey, et des authentificateurs biométriques intégrés, tels que Touch ID sur les MacBooks Apple et la reconnaissance faciale sur les PC. Vous pouvez également activer les applications d'authentification utilisant des mots de passe à usage unique (TOTP) telles que Google Authenticator ou Twilio Authy.

Vous pouvez également utiliser votre configuration MFA RADIUS (Service d'authentification à distance des utilisateurs) existante avec IAM Identity Center et AWS Directory Services pour authentifier vos utilisateurs en tant que forme secondaire de vérification. Pour en savoir plus sur la configuration de MFA avec IAM Identity Center, référez-vous au guide de l'utilisateur d'IAM Identity Center.

Oui. Pour les identités d'utilisateur dans le magasin d'identités d'IAM Identity Center et Active Directory, IAM Identity Center prend en charge la spécification Web Authentification (WebAuthn) pour vous aider à sécuriser l'accès des utilisateurs aux comptes AWS et aux applications métier avec des clés de sécurité compatibles FIDO, telles que YubiKey, et des authentificateurs biométriques intégrés, tels que Touch ID sur les MacBooks Apple et la reconnaissance faciale sur les PC. Vous pouvez également activer les applications d'authentification utilisant des mots de passe à usage unique (TOTP) telles que Google Authenticator ou Twilio Authy.

Les employés peuvent commencer à utiliser IAM Identity Center en visitant le portail d'accès qui est généré lorsque vous configurez votre source d'identité dans IAM Identity Center. Si vous gérez vos utilisateurs dans IAM Identity Center, vos employés peuvent utiliser leur adresse e-mail et leur mot de passe configurés avec IAM Identity Center pour se connecter au portail utilisateur. Si vous connectez IAM Identity Center à Microsoft Active Directory ou à un fournisseur d'identité SAML 2.0, vos employés peuvent se connecter au portail utilisateur avec leurs informations d'identification d'entreprise existantes, puis voir les comptes et applications qui leur sont attribués. Pour accéder à un compte ou à une application, les employés sélectionnent l'icône correspondante dans le portail d'accès.

Oui. IAM Identity Center fournit des API d'affectation de compte pour vous aider à automatiser la gestion des autorisations dans les environnements multi-comptes, et récupérer les autorisations par programme à des fins d'audit et de gouvernance.