Passer au contenu principal
Cliquez ici pour revenir à la page d'accueil d'Amazon Web Services
À propos d'AWS Nous contacter Support  Français   Mon compte  
Se connecter
Créer un compte AWS
  • Produits
  • Solutions
  • Tarification
  • Documentation
  • Apprendre
  • Réseau de partenaires
  • AWS Marketplace
  • Déploiements clients
  • Événements
  • Découvrir davantage
Fermer
  • عربي
  • Bahasa Indonesia
  • Deutsch
  • English
  • Español
  • Français
  • Italiano
  • Português
  • Tiếng Việt
  • Türkçe
  • Ρусский
  • ไทย
  • 日本語
  • 한국어
  • 中文 (简体)
  • 中文 (繁體)
Fermer
  • Mon profil
  • Se déconnecter de l'identifiant AWS Builder
  • Console de gestion AWS
  • Paramètres de compte
  • Gestion de la facturation et des coûts
  • Informations d'identification de sécurité
  • AWS Personal Health Dashboard
Fermer
  • Centre de support
  • Aide d'experts
  • Centre de connaissances
  • Présentation d'AWS Support
  • AWS re:Post
Cliquer ici pour revenir à la page d'accueil d'Amazon Web Services
Se lancer gratuitement
Nous contacter
  • Produits
  • Solutions
  • Tarification
  • Introduction à AWS
  • Mise en route
  • Documentation
  • Formation et certification
  • Centre pour développeurs
  • Témoignages de réussite
  • Réseau de partenaires
  • AWS Marketplace
  • Support
  • AWS re:Post
  • Se connecter à la console
  • Télécharger l'application mobile
AWS IAM Identity Center
Présentation Fonctions Questions fréquentes (FAQ)
  • AWS Identity and Access Management (IAM)›
  • IAM Identity Center›
  • Fonctionnalités

Fonctionnalités d’AWS IAM Identity Center

AWS IAM Identity Center facilite la gestion centralisée de l’accès à plusieurs comptes AWS et applications professionnelles. Il fournit à votre personnel un accès à authentification unique à toutes les applications et tous les comptes attribués, à partir d'un seul emplacement. Grâce à IAM Identity Center, vous pouvez facilement gérer l'accès centralisé et les autorisations des utilisateurs pour tous vos comptes dans les AWS Organizations. IAM Identity Center configure et gère automatiquement toutes les autorisations nécessaires pour vos comptes, sans nécessiter de configuration supplémentaire dans les comptes individuels. Vous pouvez attribuer des autorisations aux utilisateurs selon les fonctions professionnelles courantes et personnaliser ces autorisations pour répondre à vos besoins spécifiques de sécurité. IAM Identity Center comprend également des intégrations aux applications AWS (comme les services d'analyse AWS, Amazon SageMaker Studio, le gestionnaire des changements AWS Systems Manager) et à de nombreuses applications métier telles que Salesforce, Box et Microsoft 365.

Vous pouvez créer et gérer les identités des utilisateurs dans le magasin d'identités d'IAM Identity Center, ou vous connecter facilement à votre source d'identité existante, notamment Microsoft Active Directory, Okta, Ping Identity, JumpCloud et Microsoft Entra ID (anciennement Azure AD). IAM Identity Center vous permet de sélectionner des attributs utilisateur, tels que le centre de coûts, le titre ou le lieu, à partir de votre source d'identité, puis de les utiliser pour le contrôle d'accès basé sur les attributs (ABAC) dans AWS.

Il est facile de démarrer avec IAM Identity Center. En quelques clics dans la console de gestion IAM Identity Center, vous pouvez vous connecter à votre source d'identité existante. De là, vous pouvez configurer les autorisations qui accordent à vos utilisateurs l’accès aux comptes qui leur sont attribués dans AWS Organizations et à des centaines d’applications cloud préalablement configurées, à partir d’un seul et unique portail utilisateur.

Page Topics

Gestion centralisée des identités Autorisations et affectations précises Fonctions administratives et de gouvernance
Gestion centralisée des identités

Gestion centralisée des identités

Créer et gérer les utilisateurs dans IAM Identity Center

IAM Identity Center vous fournit par défaut un magasin d'identité que vous pouvez utiliser pour créer des utilisateurs et les organiser dans des groupes dans IAM Identity Center. Vous pouvez créer des utilisateurs dans IAM Identity Center en définissant leur adresse e-mail et leur nom. Par défaut, lorsque vous créez un utilisateur, IAM Identity Center envoie un e-mail à l'utilisateur, afin qu'il puisse définir son propre mot de passe. En quelques minutes, vous pouvez accorder à vos utilisateurs et groupes des autorisations sur les ressources AWS dans tous vos comptes AWS, ainsi que dans de nombreuses applications métier. Vos utilisateurs se connectent à un portail utilisateur avec les informations d'identification qu'ils ont configurées dans IAM Identity Center pour accéder à tous les comptes et applications qui leur sont attribués dans un seul et unique emplacement.

Connexion et provisionnement automatique des utilisateurs à partir de fournisseurs d'identité basés sur des normes

Vous pouvez connecter IAM Identity Center à Okta Universal Directory, Microsoft Entra ID ou à un autre fournisseur d'identité (IdP) pris en charge par le biais de Security Assertion Markup Language (SAML) 2.0, afin que vos utilisateurs puissent se connecter avec leurs informations d'identification existantes. En outre, IAM Identity Center prend également en charge System for Cross-domain Identity Management (SCIM) pour l'automatisation du provisionnement des utilisateurs. Vous pouvez gérer vos utilisateurs dans votre IdP, les intégrer rapidement dans AWS et gérer de manière centralisée leur accès à tous les comptes AWS et à toutes les applications métier. IAM Identity Center vous permet également de sélectionner plusieurs attributs d'utilisateur, tels que le centre de coût, le titre ou le lieu, dans votre annuaire universel Okta, puis de les utiliser pour ABAC, afin de simplifier et de centraliser votre administration des accès.

Se connecter à Microsoft Active Directory

Avec IAM Identity Center, vous pouvez gérer l'accès par authentification unique aux comptes et aux applications en utilisant vos identités d'entreprise existantes à partir de Microsoft Active Directory Domain Services (AD DS). IAM Identity Center se connecte à AD DS par le biais d'AWS Directory Service et vous permet d'accorder aux utilisateurs l'accès aux comptes et aux applications en les ajoutant simplement aux groupes AD appropriés. Par exemple, vous pouvez créer un groupe pour une équipe de développeurs qui travaillent sur une application et accorder au groupe l'accès aux comptes AWS de l'application. Lorsque de nouveaux développeurs rejoignent l'équipe et que vous les ajoutez au groupe AD, ils peuvent automatiquement accéder à tous les comptes AWS de l'application. IAM Identity Center vous permet également de sélectionner plusieurs attributs d'utilisateur, tels que le centre de coût, le titre ou le lieu, dans votre AD, puis de les utiliser pour ABAC, afin de simplifier et de centraliser votre administration des accès.

Authentification multifactorielle

IAM Identity Center vous permet d'appliquer l'authentification multifactorielle (MFA) à tous vos utilisateurs, y compris l'obligation pour les utilisateurs de configurer des dispositifs MFA lors de la connexion. Grâce à IAM Identity Center, vous pouvez utiliser des fonctionnalités d'authentification solides basées sur des normes pour tous vos utilisateurs dans toutes vos sources d'identité. Si vous utilisez un IdP SAML 2.0 pris en charge comme source d'identité, vous pouvez activer les fonctionnalités d'authentification multifactorielle (MFA) de votre fournisseur. Lorsque vous utilisez Active Directory ou IAM Identity Center comme source d'identité, IAM Identity Center prend en charge la spécification Web Authentication pour vous aider à sécuriser l'accès des utilisateurs aux comptes AWS et aux applications professionnelles à l'aide d'une clé de sécurité compatible FIDO, telle que YubiKey, et d'authentificateurs biométriques intégrés, tels que Touch ID sur les Apple MacBooks et la reconnaissance faciale sur les PC. Vous pouvez également activer des mots de passe à usage uniques temporaires (TOTP) en utilisant des applications d'authentification telles que Google Authenticator ou Twilio Authy.

Autorisations et affectations précises

Autorisations multi-comptes

IAM Identity Center repose sur les rôles et les politiques d'AWS Identity and Access Management (IAM) pour gérer les accès de manière centralisée pour tous les comptes AWS de votre organisation AWS. IAM Identity Center utilise des ensembles d'autorisation, à savoir des collections d'une ou plusieurs politiques IAM. Vous attribuez ensuite un ou plusieurs ensembles d'autorisations pour définir l'accès de vos utilisateurs/groupes. Le service crée un rôle IAM contrôlé par IAM Identity Center en fonction des ces attributions, et attache les politiques spécifiées dans l'ensemble d'autorisations à ces rôles dans chaque compte assigné. Aucune autre configuration n'est requise au niveau des comptes individuels.  

Options d'accès de niveau élevé temporaire

IAM Identity Center offre un accès de niveau élevé temporaire par l'intermédiaire d'une gamme d'options d'intégration destinées aux partenaires. AWS a confirmé l'utilisation de CyberArk Secure Cloud Access, Tenable Cloud Security et Okta Access Requests pour vous aider à répondre à divers scénarios d'accès de niveau élevé temporaire, notamment les opérations sensibles nécessitant une auditabilité complète, les environnements multicloud avec des droits et des besoins d'audit complexes, et les organisations utilisant de multiples sources d'identité et intégrations d'applications. Les utilisateurs employés qui ne disposent pas d'autorisations permanentes pour effectuer des opérations sensibles, telles que la modification de la configuration d'une ressource de grande valeur dans un environnement de production, peuvent demander un accès, recevoir une approbation et effectuer l'opération pendant une période spécifiée. De plus, vos auditeurs peuvent consulter un journal des actions et des approbations dans la solution partenaire.

Affectations d'applications

Dans la console IAM Identity Center, utilisez les affectations d'applications pour fournir un accès par authentification unique à de nombreuses applications métier SAML 2.0, notamment Salesforce, Box et Microsoft 365. Vous pouvez facilement configurer l'accès par authentification unique à ces applications en suivant les instructions étape par étape dans IAM Identity Center. Il vous aide à entrer les URL, les certificats et les métadonnées requis. Pour obtenir la liste complète des applications métier pré-intégrées à IAM Identity Center, voir Applications cloud IAM Identity Center.

Propagation fiable des identités

La propagation fiable des identités repose sur le cadre d'autorisation OAuth 2.0, qui permet aux applications d'accéder aux données et à d'autres ressources pour le compte d'un utilisateur spécifique, sans communiquer ses informations d'identification. Cette fonctionnalité d'IAM Identity Center simplifie la gestion de l'accès aux données pour les utilisateurs, les audits et améliore l'expérience de connexion des utilisateurs d'analyses sur plusieurs applications d'analyse AWS. Pour commencer, le propriétaire de l'application, la source d'identité et l'administrateur des données connectent l'application au service et commencent à gérer les accès en fonction des utilisateurs et des groupes. Les administrateurs de ressources peuvent ensuite configurer et gérer l'accès aux ressources de données au sein des applications en utilisant les identités existantes et les appartenances à des groupes à partir de leur source d'identité. Les équipes d'audit et de sécurité peuvent retracer l'accès aux ressources de données et remonter jusqu'à chaque utilisateur. Les analystes de données peuvent accéder facilement aux données qui leur sont attribuées via les services d’analytique AWS (Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR et AWS LakeFormation) à l’aide d’une expérience d’authentification unique et simple. En savoir plus sur la propagation d'identité approuvée. 

Contrôle d’accès basé sur les attributs

IAM Identity Center facilite la création et l'utilisation d'autorisations précises pour votre personnel, en fonction des attributs utilisateur définis dans votre magasin d'identité IAM Identity Center. IAM Identity Center vous permet de sélectionner plusieurs attributs, tels que le centre de coût, le titre ou le lieu, puis de les utiliser pour le contrôle d'accès en fonction d'attributs (ABAC), afin de simplifier et de centraliser l'administration des accès. Vous pouvez définir les autorisations une fois pour toute votre organisation AWS, puis accorder, révoquer ou modifier l'accès AWS en changeant simplement les attributs dans la source d'identité.

En savoir plus sur ABAC »

Fonctions administratives et de gouvernance

Administration déléguée à partir d'un compte membre

IAM Identity Center prend en charge l'administration centralisée et l'accès aux API à partir d'un compte d'administrateur délégué AWS Organizations pour tous les comptes membres de votre organisation. Ainsi, vous pouvez désigner un compte de votre organisation qui peut être utilisé pour administrer de façon centralisée tous les comptes membres. Grâce à l'administration déléguée, vous pouvez suivre les pratiques recommandées en réduisant le recours à votre compte de gestion.

Prise en charge des normes de sécurité et des certifications de conformité

IAM Identity Center prend en charge les normes de sécurité et les exigences de conformité, notamment Payment Card Industry - Data Security Standard (PCI DSS), International Organization for Standardization (ISO), System and Organization Controls (SOC) 1, 2 et 3, Esquema Nacional de Seguridad (ENS) High, Financial Market Supervisory Authority (FINMA) International Standard on Assurance Engagements (ISAE) 3000 Type 2 Report et Multi-Tier Cloud Security (MTCS). Le service reste évalué par Information Security Registered Assessors Program (IRAP) au niveau PROTÉGÉ.

Flexibilité de déploiement

IAM Identity Center peut être déployé en tant qu'instance d'organisation ou en tant qu'instance de compte. Une instance d’organisation d’IAM Identity Center est déployée dans le compte de gestion d’AWS Organizations. Il s’agit de la pratique et de l’approche recommandées pour authentifier et autoriser votre personnel. Il s’agit d’un point de contrôle d’accès unique et central pour les applications et les comptes AWS dans un environnement de production à comptes multiples. Une instance de compte d’IAM Identity Center est un déploiement à portée limitée qui peut être effectué par des utilisateurs liés à des entreprises. Ainsi, ils sont en mesure d’évaluer rapidement une application AWS prise en charge (par exemple Amazon Redshift) et de la mettre à disposition d’un nombre restreint d’utilisateurs de l’application. L’administrateur d’une instance d’organisation peut contrôler la capacité des utilisateurs liés à des entreprises à créer des instances de compte par le biais de politiques de contrôle des services (SCP), une fonctionnalité d’AWS Organizations.

Assistant de configuration des applications SAML

Vous pouvez créer des intégrations d'authentification unique dans des applications compatibles SAML 2.0 à l'aide de l'assistant de configuration des affectations d'applications d'IAM Identity Center. L'assistant de configuration des affectations d'applications vous permet de sélectionner et de formater les informations à envoyer aux applications pour activer l'accès par authentification unique. Par exemple, vous pouvez créer un attribut SAML pour un nom d'utilisateur et préciser le format de l'attribut en fonction de l'adresse e-mail du profil AD d'un utilisateur.

Auditer les événements d'accès dans les applications et les comptes AWS

Toutes les activités d'accès administratif et multicompte sont enregistrées dans AWS CloudTrail, afin de vous permettre de contrôler l'activité IAM Identity Center de manière centralisée. Grâce à CloudTrail, vous pouvez visualiser des activités telles que les tentatives de connexion, les affectations d'applications et les changements d'intégration d'annuaire. Par exemple, vous pouvez déterminer les applications auxquelles un utilisateur a accédé sur une période donnée ou à quel moment un utilisateur a reçu un accès à une application spécifique.

Étapes suivantes

Getting Started

Découvrir comment démarrer avec AWS IAM

Consultez la page relative à la mise en route
Console

Prêt à concevoir ?

Démarrer avec IAM

D'autres questions ?

Nous contacter
Connectez-vous à la console

Se renseigner sur AWS

  • Qu'est-ce qu'AWS ?
  • Qu'est-ce que le cloud computing ?
  • Inclusion, diversité et égalité d'AWS
  • En quoi consiste le DevOps ?
  • Qu'est-ce qu'un conteneur ?
  • Qu'est-ce qu'un data lake ?
  • Sécurité dans le Cloud AWS
  • Nouveautés
  • Blogs
  • Communiqués de presse

Ressources pour AWS

  • Mise en route
  • Formation et certification
  • Bibliothèque de solutions AWS
  • Centre d'architecture
  • Questions fréquentes (FAQ) techniques et sur les produits
  • Rapports d'analystes
  • Partenaires AWS

Développeurs sur AWS

  • Centre pour développeurs
  • Kits SDK et outils
  • .NET sur AWS
  • Python sur AWS
  • Java sur AWS
  • PHP sur AWS
  • JavaScript sur AWS

Aide

  • Contactez-nous
  • Obtenez l'aide d'experts
  • Soumettre un ticket de support
  • AWS re:Post
  • Centre de connaissances
  • Présentation d'AWS Support
  • Domaine juridique
  • Emplois AWS
Créer un compte AWS
Amazon est un employeur qui souscrit aux principes d'équité en matière d'emploi : minorités, femmes, handicaps, seniors, identité de genre, orientation sexuelle, âge.
  • Langue
  • عربي
  • Bahasa Indonesia
  • Deutsch
  • English
  • Español
  • Français
  • Italiano
  • Português
  • Tiếng Việt
  • Türkçe
  • Ρусский
  • ไทย
  • 日本語
  • 한국어
  • 中文 (简体)
  • 中文 (繁體)
  • Confidentialité
  • |
  • Conditions d'utilisation du site
  • |
  • Préférences des cookies
  • |
  • © 2023, Amazon Web Services, Inc. ou ses sociétés apparentées. Tous droits réservés.

Fin de la prise en charge d'Internet Explorer

Compris
La prise en charge AWS d'Internet Explorer s'arrête le 07/31/2022. Les navigateurs pris en charge sont Chrome, Firefox, Edge et Safari. En savoir plus »
Compris