Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Concepts AWS IAM Identity Center pour l’AWS CLI
Cette rubrique décrit les concepts clés d’AWS IAM Identity Center (IAM Identity Center). IAM Identity Center est un service IAM basé sur le cloud qui simplifie la gestion de l’accès des utilisateurs à plusieurs Comptes AWS, kits SDK et outils en s’intégrant aux fournisseurs d’identité (IdP) existants. Il permet l’authentification unique sécurisée, la gestion des autorisations et l’audit via un portail utilisateur centralisé, rationalisant ainsi la gouvernance des identités et des accès pour les entreprises.
Rubriques
Qu’est-ce que IAM Identity Center
IAM Identity Center est un service de gestion des identités et des accès (IAM) basé sur le cloud qui vous permet de gérer de manière centralisée l’accès à plusieurs Comptes AWS et applications professionnelles.
Il fournit un portail utilisateur où les utilisateurs autorisés peuvent accéder aux Comptes AWS et aux applications pour lesquels ils ont obtenu une autorisation, en utilisant leurs informations d’identification professionnelles existantes. Cela permet aux entreprises d’appliquer des politiques de sécurité cohérentes et de rationaliser la gestion des accès des utilisateurs.
Quel que soit l’IdP que vous utilisez, IAM Identity Center élimine ces distinctions. Par exemple, vous pouvez connecter Microsoft Azure AD comme décrit dans l’article de blog The Next Evolution in IAM Identity Center
Note
Pour plus d’informations sur l’utilisation de l’authentification par jeton de porteur, qui n’utilise aucun ID de compte ni rôle, consultez Configuration pour l’utilisation de l’AWS CLI avec CodeCatalyst dans le Guide de l’utilisateur Amazon CodeCatalyst.
Conditions
Les termes courants utilisés lors de l’utilisation d’IAM Identity Center sont les suivants :
- Fournisseur d’identité (IdP)
-
Un système de gestion des identités tel que IAM Identity Center, Microsoft Azure AD, Okta ou votre propre service d’annuaire d’entreprise.
- AWS IAM Identity Center
-
IAM Identity Center est le service IdP détenu par AWS. Il était anciennement appelé Authentification unique AWS. Les kits SDK et les outils conservent les espaces de noms des API
ssoà des fins de rétrocompatibilité. Pour plus d’informations, consultez IAM Identity Center rename dans le Guide de l’utilisateur AWS IAM Identity Center. - URL Portail d'accès AWS, URL de démarrage SSO, URL de démarrage
-
URL IAM Identity Center unique de votre organisation pour accéder à vos Comptes AWS, services et ressources autorisés.
- URL de l’émetteur
-
URL de l’émetteur IAM Identity Center unique de votre organisation pour un accès par programmation à vos Comptes AWS, services et ressources autorisés. À compter de la version 2.22.0 de l’AWS CLI, l’URL de l’émetteur peut être utilisée de manière interchangeable avec l’URL de démarrage.
- Fédération
-
Processus qui consiste à établir un lien de confiance entre IAM Identity Center et un fournisseur d’identité pour activer l’authentification unique (SSO).
- Comptes AWS
-
Comptes AWS dont vous autorisez l’accès aux utilisateurs via AWS IAM Identity Center.
- Jeu d’autorisations, informations d’identification AWS, informations d’identification, informations d’identification sigv4
-
Collections prédéfinies d’autorisations qui peuvent être attribuées à des utilisateurs ou à des groupes afin de leur accorder l’accès aux Services AWS.
- Portées d’enregistrement, portées d’accès, portées
-
Les portées sont un mécanisme OAuth 2.0 permettant de limiter l’accès d’une application au compte d’un utilisateur. Une application peut demander une ou plusieurs portées, et le jeton d’accès émis pour l’application est limité aux portées accordées. Pour plus d’informations sur les portées, consultez Portées des accès dans le Guide de l’utilisateur IAM Identity Center.
- Jetons, jeton d’actualisation, jeton d’accès
-
Les jetons sont des informations d’identification temporaires qui vous sont délivrés lors de l’authentification. Ces jetons contiennent des informations sur votre identité et les autorisations qui vous ont été accordées.
Lorsque vous accédez à une ressource ou à une application AWS via le portail IAM Identity Center, votre jeton est présenté à AWS à des fins d’authentification et d’autorisation. Cela permet à AWS de vérifier votre identité et de vérifier que vous disposez des autorisations nécessaires pour exécuter les actions demandées.
Le jeton d’authentification est mis en cache sur le disque sous le répertoire
~/.aws/sso/cacheavec un nom de fichier JSON basé sur le nom de session. - Session
-
Une session IAM Identity Center fait référence à la période pendant laquelle un utilisateur est authentifié et autorisé à accéder à des ressources ou à des applications AWS. Lorsqu’un utilisateur se connecte au portail IAM Identity Center, une session est établie et le jeton de l’utilisateur est valide pendant une durée spécifiée. Pour plus d’informations sur la définition des durées de session, consultez Définir la durée de la session dans le Guide de l’utilisateur AWS IAM Identity Center.
Au cours de la session, vous pouvez naviguer entre différents comptes et applications AWS sans avoir à vous authentifier à nouveau, tant que leur session reste active. Lorsque la session expire, reconnectez-vous pour renouveler votre accès.
Les sessions IAM Identity Center contribuent à offrir une expérience utilisateur fluide tout en appliquant les meilleures pratiques de sécurité en limitant la validité des informations d’identification des utilisateurs.
- Octroi de code d’autorisation avec PKCE, PKCE, Proof Key for Code Exchange
-
À compter de la version 2.22.0, PKCE (Proof Key for Code Exchange) est un flux d’autorisation d’authentification OAuth 2.0 pour les appareils dotés d’un navigateur. PKCE est un moyen simple et sûr de vous authentifier et d’obtenir le consentement pour accéder à vos ressources AWS à partir d’ordinateurs de bureau et d’appareils mobiles équipés de navigateurs Web. Il s’agit du comportement d’autorisation par défaut. Pour plus d’informations sur PKCE, consultez Octroi de code d’autorisation avec PKCE dans le Guide de l’utilisateur AWS IAM Identity Center.
- Octroi d’autorisation d’appareil
-
Un flux d’autorisation d’authentification OAuth 2.0 pour les appareils avec ou sans navigateur Web. Pour plus d’informations sur la définition des durées de session, consultez Octroi d’autorisation d’appareil dans le Guide de l’utilisateur AWS IAM Identity Center.
Fonctionnement d’IAM Identity Center
IAM Identity Center s’intègre au fournisseur d’identité de votre organisation, tel que IAM Identity Center, Microsoft Azure AD ou Okta. Les utilisateurs s’authentifient auprès de ce fournisseur d’identité, et IAM Identity Center associe ensuite ces identités aux autorisations et aux accès appropriés au sein de votre environnement AWS.
Le flux de travail IAM Identity Center suivant suppose que vous avez déjà configuré votre AWS CLI pour utiliser IAM Identity Center :
-
Dans votre terminal préféré, exécutez la commande
aws sso login. -
Connectez-vous à votre Portail d'accès AWS pour démarrer une nouvelle session.
-
Lorsque vous démarrez une nouvelle session, vous recevez un jeton d’actualisation et un jeton d’accès mis en cache.
-
Si vous avez déjà une session active, la session existante est réutilisée et expire en même temps que la session existante.
-
-
Sur la base du profil que vous avez défini dans votre fichier
config, IAM Identity Center utilise les jeux d’autorisations appropriés, en accordant l’accès aux Comptes AWS et aux applications pertinents. -
L’AWS CLI, les kits SDK et les outils utilisent votre rôle IAM assumé pour effectuer des appels aux Services AWS, notamment pour demander la création de compartiments Amazon S3 jusqu’à l’expiration de cette session.
-
Le jeton d’accès d’IAM Identity Center est vérifié toutes les heures et est automatiquement actualisé à l’aide du jeton d’actualisation.
-
Si le jeton d’accès a expiré, le kit SDK ou l’outil utilise le jeton d’actualisation pour obtenir un nouveau jeton d’accès. Les durées de session de ces jetons sont ensuite comparées, et si le jeton d’actualisation n’a pas expiré, IAM Identity Center fournit un nouveau jeton d’accès.
-
Si le jeton d’actualisation a expiré, aucun nouveau jeton d’accès n’est fourni et votre session est terminée.
-
-
Les sessions se terminent après l’expiration des jetons d’actualisation ou lorsque vous vous déconnectez manuellement à l’aide de la commande
aws sso logout. Les informations d’identification mises en cache sont supprimées. Pour continuer à accéder aux services via IAM Identity Center, vous devez démarrer une nouvelle session à l’aide de la commandeaws sso login.
Ressources supplémentaires
Les ressources supplémentaires sont les suivantes.
-
Configuration de l’authentification IAM Identity Center à l’aide de l’AWS CLI
-
Didacticiel : utilisation d’IAM Identity Center pour exécuter des commandes Amazon S3 dans l’AWS CLI
-
Installation de la dernière version de l’AWS CLI ou mise à jour vers celle-ci
-
Paramètres des fichiers de configuration et d’informations d’identification dans l’ AWS CLI
-
aws configure ssodans la Référence de l’AWS CLI version 2 -
aws configure sso-sessiondans la Référence de l’AWS CLI version 2 -
aws sso logindans la Référence de l’AWS CLI version 2 -
aws sso logoutdans la Référence de l’AWS CLI version 2 -
IAM Identity Center rename dans le Guide de l’utilisateur AWS IAM Identity Center
-
Portées des accès OAuth 2.0 dans le Guide de l’utilisateur IAM Identity Center
-
Définir la durée de la session dans le Guide de l’utilisateur AWS IAM Identity Center
-
Didacticiels de démarrage dans le Guide de l’utilisateur IAM Identity Center
