Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Créer un rôle pour un fournisseur d’identité tiers
Vous pouvez utiliser des fournisseurs d'identité au lieu de créer des utilisateurs IAM dans votre Compte AWS. Avec un fournisseur d'identité (IdP), vous pouvez gérer vos identités d'utilisateurs en dehors de l'extérieur AWS et leur donner les autorisations d'accéder aux AWS ressources de votre compte. Pour plus d'informations sur la fédération et les fournisseurs d'identité, consultez [Fournisseurs d'identité et fédération au sein de AWS](id_roles_providers.md).
## Création d’un rôle pour les principaux fédérés OIDC et SAML (console)
Les procédures permettant de créer un rôle dépendent des fournisseurs tiers choisis :
+ Pour OpenID Connect (OIDC), consultez [Création d’un rôle pour la fédération OpenID Connect (console)](id_roles_create_for-idp_oidc.md).
+ Pour SAML 2.0, consultez [Création d’un rôle pour la fédération SAML 2.0 (console)](id_roles_create_for-idp_saml.md).
## Création d'un rôle pour l'accès fédéré (AWS CLI)
Les étapes à suivre pour la création d'un rôle pour les fournisseurs d'identité pris en charge (OIDC ou SAML) à partir de la AWS CLI sont identiques. La différence porte sur le contenu de la politique d'approbation que vous créez dans les étapes préalables requises. Commencez par suivre les étapes de la section **Prérequis** pour le type de fournisseur que vous utilisez :
+ Pour un fournisseur OIDC, consultez [Prérequis pour la création d’un rôle pour OIDC](id_roles_create_for-idp_oidc.md#idp_oidc_Prerequisites).
+ Pour un fournisseur SAML, consultez [Prérequis pour la création d'un rôle pour SAML](id_roles_create_for-idp_saml.md#idp_saml_Prerequisites).
La création d'un rôle à partir de AWS CLI implique plusieurs étapes. Lorsque vous utilisez la console pour créer un rôle, la plupart des étapes sont effectuées pour vous, mais AWS CLI vous devez effectuer chaque étape vous-même de manière explicite. Vous devez créer le rôle et lui attribuer une politique d'autorisations. Vous pouvez également définir la [limite d'autorisations](access_policies_boundaries.md) pour votre rôle.
**Pour créer un rôle (AWS CLI)**
1. Créez un rôle : [aws iam create-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-role.html)
1. Associez une politique d'autorisation au rôle : [aws iam attach-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/attach-role-policy.html)
or
Créez une politique d'autorisation intégrée pour le rôle : [aws iam put-role-policy](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-policy.html)
1. (Facultatif) Ajoutez des attributs personnalisés au rôle en associant des balises : [aws iam tag-role](https://docs.aws.amazon.com/cli/latest/reference/iam/tag-role.html)
Pour de plus amples informations, veuillez consulter [Gestion des balises sur les rôles IAM (AWS CLI ou AWS API)](id_tags_roles.md#id_tags_roles_procs-cli-api).
1. (Facultatif) Définissez la [limite des autorisations](access_policies_boundaries.md) pour le rôle : [aws iam put-role-permissions-boundary](https://docs.aws.amazon.com/cli/latest/reference/iam/put-role-permissions-boundary.html)
Une limite d'autorisations contrôle les autorisations maximum dont un rôle peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.
L'exemple suivant illustre les deux premières étapes les plus courantes pour créer un rôle de fournisseur d'identité dans un environnement simple. Cet exemple permet à tout utilisateur du compte `123456789012` d'endosser le rôle et d'afficher le compartiment Amazon S3 `example_bucket`. Cet exemple suppose également que vous exécutez le AWS CLI sur un ordinateur exécutant Windows et que vous l'avez déjà configuré AWS CLI avec vos informations d'identification. Pour plus d’informations, consultez [Configuration de l’ AWS Command Line Interface](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-getting-started.html).
L'exemple de politique de confiance suivant est conçu pour une application mobile si l'utilisateur se connecte à l'aide d'Amazon Cognito. Dans cet exemple, *us-east:12345678-ffff-ffff-ffff-123456* représente l'ID du pool d'identités attribué par Amazon Cognito.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Sid": "RoleForCognito",
"Effect": "Allow",
"Principal": {"Federated": "cognito-identity.amazonaws.com"},
"Action": "sts:AssumeRoleWithWebIdentity",
"Condition": {"StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east:12345678-ffff-ffff-ffff-123456"}}
}
}
```
------
La politique d'autorisations suivante permet à toute personne endossant le rôle d'exécuter uniquement l'action `ListBucket` sur le compartiment Amazon S3 `example_bucket`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "s3:ListBucket",
"Resource": "arn:aws:s3:::example_bucket"
}
}
```
------
Pour créer ce rôle `Test-Cognito-Role`, vous devez d'abord enregistrer la politique de confiance précédente avec le nom `trustpolicyforcognitofederation.json` et la politique d'autorisations précédente avec le nom `permspolicyforcognitofederation.json` dans le dossier `policies` de votre disque local `C:`. Vous pouvez ensuite utiliser les commandes suivantes pour créer le rôle et attacher la politique en ligne.
```
# Create the role and attach the trust policy that enables users in an account to assume the role.
$ aws iam create-role --role-name Test-Cognito-Role --assume-role-policy-document file://C:\policies\trustpolicyforcognitofederation.json
# Attach the permissions policy to the role to specify what it is allowed to do.
aws iam put-role-policy --role-name Test-Cognito-Role --policy-name Perms-Policy-For-CognitoFederation --policy-document file://C:\policies\permspolicyforcognitofederation.json
```
## Création d'un rôle pour l'accès fédéré (AWS API)
Les étapes à suivre pour la création d'un rôle pour les fournisseurs d'identité pris en charge (OIDC ou SAML) à partir de la AWS CLI sont identiques. La différence porte sur le contenu de la politique d'approbation que vous créez dans les étapes préalables requises. Commencez par suivre les étapes de la section **Prérequis** pour le type de fournisseur que vous utilisez :
+ Pour un fournisseur OIDC, consultez [Prérequis pour la création d’un rôle pour OIDC](id_roles_create_for-idp_oidc.md#idp_oidc_Prerequisites).
+ Pour un fournisseur SAML, consultez [Prérequis pour la création d'un rôle pour SAML](id_roles_create_for-idp_saml.md#idp_saml_Prerequisites).
**Pour créer un rôle (AWS API)**
1. Créez un rôle : [CreateRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateRole.html)
1. Associez une politique d'autorisation au rôle : [AttachRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AttachRolePolicy.html)
or
Créez une politique d'autorisation intégrée pour le rôle : [PutRolePolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePolicy.html)
1. (Facultatif) Ajoutez des attributs personnalisés à l'utilisateur en attachant des balises : [TagRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagRole.html)
Pour de plus amples informations, veuillez consulter [Gestion des balises sur les utilisateurs IAM (AWS CLI ou AWS API)](id_tags_users.md#id_tags_users_procs-cli-api).
1. (Facultatif) Définissez la [limite des autorisations](access_policies_boundaries.md) pour le rôle : [PutRolePermissionsBoundary](https://docs.aws.amazon.com/IAM/latest/APIReference/API_PutRolePermissionsBoundary.html)
Une limite d'autorisations contrôle les autorisations maximum dont un rôle peut disposer. Les limites d'autorisations constituent une AWS fonctionnalité avancée.