Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Fédérez votre Active Directory avec les rôles AMS Gestion des identités et des accès AWS
L'objectif de la fédération de votre annuaire avec les rôles AMS IAM est de permettre aux utilisateurs de l'entreprise d'utiliser leurs informations d'identification d'entreprise pour interagir avec AWS Management Console et, par conséquent AWS APIs, avec la console AMS et. APIs
# Exemple de processus de fédération
Cet exemple utilise les services de fédération Active Directory (AD FS) ; toutefois, toute technologie prenant en charge la Gestion des identités et des accès AWS fédération est prise en charge. Pour plus d'informations sur la fédération IAM AWS prise en charge, consultez la section [Partenaires IAM](https://aws.amazon.com/iam/partners/), [fournisseurs d'identité et](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) fédération. Votre CSDM vous aidera tout au long de ce processus, qui implique un effort conjoint avec votre équipe AD et AMS.
Pour obtenir des informations détaillées sur l'intégration de SAML pour l'accès aux API, consultez ce AWS blog, [Comment implémenter un accès fédéré aux API et aux CLI à l'aide de SAML 2.0 et](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) d'AD FS.
**Note**
Pour un exemple d'installation de l'interface de ligne de commande AMS et du protocole SAML, consultez. [Annexe : règle de réclamation des services de ActiveDirectory fédération (ADFS) et paramètres SAML](apx-adfs-claim-rule-saml.md)
# Configuration de la fédération sur la console AMS (SALZ)
Les rôles IAM et le fournisseur d'identité SAML (entité de confiance) détaillés dans le tableau suivant ont été fournis dans le cadre de l'intégration de votre compte. Ces rôles vous permettent de soumettre et de surveiller RFCs les demandes de service et les rapports d'incidents, ainsi que d'obtenir des informations sur vous VPCs et vos stocks.
****
| Rôle | Fournisseur d'identité | Autorisations |
| --- | --- | --- |
| Client\$1 \$1Rôle ReadOnly | SAML | Pour les comptes AMS standard. Vous permet de soumettre RFCs pour apporter des modifications à l'infrastructure gérée par AMS, ainsi que de créer des demandes de service et des incidents. |
| customer\$1managed\$1ad\$1user\$1role | SAML | Pour les comptes Active Directory gérés par AMS. Vous permet de vous connecter à la console AMS pour créer des demandes de service et des incidents (non RFCs). |
Pour la liste complète des rôles disponibles sous différents comptes, voir[Rôle d'utilisateur IAM dans AMS](defaults-user-role.md).
Un membre de l'équipe d'intégration télécharge le fichier de métadonnées de votre solution de fédération vers le fournisseur d'identité préconfiguré. Vous utilisez un fournisseur d'identité SAML lorsque vous souhaitez établir un lien de confiance entre un IdP compatible SAML (fournisseur d'identité) tel que Shibboleth ou Active Directory Federation Services, afin que les utilisateurs de votre organisation puissent accéder aux ressources AWS. Les fournisseurs d'identité SAML dans IAM sont utilisés comme principaux dans une politique de confiance IAM avec les rôles ci-dessus.
Alors que d'autres solutions de fédération fournissent des instructions d'intégration pour AWS, AMS propose des instructions distinctes. À l'aide du billet de blog suivant, [Enabling Federation to AWS Using Windows Active Directory, AD FS et SAML 2.0](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/), ainsi que les modifications ci-dessous, permettront aux utilisateurs de votre entreprise d'accéder à plusieurs comptes AWS à partir d'un seul navigateur.
Après avoir créé la confiance de la partie utilisatrice conformément au billet de blog, configurez les règles de réclamation de la manière suivante :
+ **NameId**: Suivez le billet de blog.
+ **RoleSessionName**: utilisez les valeurs suivantes :
+ **Nom de la règle de réclamation** : RoleSessionName
+ **Magasin d'attributs** : Active Directory
+ **Attribut LDAP** : SAM-Account-Name
+ **Type de réclamation sortante** : https://aws.amazon.com/SAML/ Attributs/ RoleSessionName
+ Obtenir des groupes AD : suivez le billet de blog.
+ Affirmation de rôle : suivez le billet de blog, mais pour la règle personnalisée, utilisez ceci :
```
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
=> issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-",
"arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
```
Lorsque vous utilisez AD FS, vous devez créer des groupes de sécurité Active Directory pour chaque rôle au format indiqué dans le tableau suivant (customer\$1managed\$1ad\$1user\$1role est réservé aux comptes AD gérés par AMS uniquement) :
****
| Groupe | Rôle |
| --- | --- |
| AWS- [AccountNo] ReadOnly -Customer\$1 \$1Role | Client\$1 \$1Rôle ReadOnly |
| AWS- [AccountNo] -customer\$1managed\$1ad\$1user\$1role | customer\$1managed\$1ad\$1user\$1role |
Pour plus d'informations, voir [Configuration des assertions SAML pour la réponse d'authentification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html).
**Astuce**
Pour vous aider à résoudre les problèmes, téléchargez le plug-in de traçage SAML pour votre navigateur.
# Soumission de la demande de fédération à AMS
S'il s'agit de votre premier compte, collaborez avec votre ou vos architectes and/or cloud CSDM pour fournir le fichier XML de métadonnées à votre fournisseur d'identité.
Si vous créez un compte ou un fournisseur d'identité supplémentaire et que vous avez accès au compte de gestion ou au compte d'application souhaité, procédez comme suit.
1. Créez une demande de service depuis la console AMS, fournissez les informations nécessaires pour ajouter le fournisseur d'identité :
+ AccountId du compte sur lequel le nouveau fournisseur d'identité sera créé.
+ Nom du fournisseur d'identité souhaité, s'il n'est pas fourni, le nom par défaut sera **customer-saml** ; il doit généralement correspondre aux paramètres configurés dans votre fournisseur de fédération.
+ Pour les comptes existants, indiquez si le nouveau fournisseur d'identité doit être étendu à tous les rôles de console existants ou fournissez une liste des rôles qui doivent faire confiance au nouveau fournisseur d'identité.
+ Joignez le fichier XML de métadonnées exporté par votre agent de fédération à la demande de service sous forme de pièce jointe.
1. À partir du compte sur lequel vous avez créé la demande de service, créez une nouvelle RFC à l'aide du CT-ID ct-1e1xtak34nx76 (Management \$1 Other \$1 Other \$1 Create) avec les informations suivantes.
+ Titre : « Intégrer l'IDP SAML pour le compte < AccountId > ».
+ AccountId du compte sur lequel le fournisseur d'identité sera créé.
+ Nom du fournisseur d'identité.
+ Pour les comptes existants : si le fournisseur d'identité doit être propagé à tous les rôles de console existants, ou liste des rôles qui doivent faire confiance au nouveau fournisseur d'identité.
+ Numéro de dossier de la demande de service créée à l'étape 1, à laquelle le fichier XML de métadonnées est joint.
# Vérifier l'accès à la console
Une fois que vous avez configuré ADFS et que vous disposez de l'URL AMS à utiliser pour l'authentification, procédez comme suit.
Avec une configuration ADFS (Active Directory Federated Service), vous pouvez suivre les étapes suivantes :
1. Ouvrez une fenêtre de navigateur et accédez à la page de connexion qui vous a été fournie pour votre compte. La **IdpInitiatedSignOn**page ADFS de votre compte s'ouvre.
1. Sélectionnez le bouton radio à côté de **Se connecter à l'un des sites suivants**. La liste **de sélection du site de connexion** devient active.
1. **Choisissez le site **signin.aws.amazon.com** et cliquez sur Se connecter.** Les options de saisie de vos informations d'identification sont ouvertes.
1. Entrez vos informations d'identification CORP et cliquez sur **Se connecter**. Les AWS Management Console ouvertures.
1. Collez dans la barre d'adresse l'URL de la console AMS et appuyez sur **Entrée**. La console AMS s'ouvre.
# Vérifier l'accès à l'API
AMS utilise l'API AWS, avec certaines opérations spécifiques à AMS que vous pouvez consulter dans le manuel [AMS API](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html) Reference.
AWS en fournit plusieurs SDKs auxquels vous pouvez accéder sur [Tools for Amazon Web Services](https://aws.amazon.com/tools/). Si vous ne souhaitez pas utiliser de SDK, vous pouvez effectuer des appels d'API directs. Pour plus d'informations sur l'authentification, consultez [Signing AWS API Requests](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html). Si vous n'utilisez pas de SDK ou si vous effectuez des demandes d'API HTTP directes, vous pouvez utiliser l'AMS CLIs for Change Management (CM) et le SKMS.
# Installation de l'AMS CLIs
Pour un exemple d'installation de la CLI AWS Managed Services (AMS) à utiliser avec SAML, consultez[Annexe : règle de réclamation des services de ActiveDirectory fédération (ADFS) et paramètres SAML](apx-adfs-claim-rule-saml.md).
Si vous avez besoin d'un accès temporaire, pour obtenir et installer AWS Managed Services (AMS) SDKs, consultez la section [Accès temporaire à la console AMS](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html).
**Note**
Vous devez disposer des informations d'identification d'administrateur pour cette procédure.
L'AWS CLI est une condition préalable à l'utilisation d'AWS Managed Services (AMS) CLIs (Change Management et SKMS).
1. Pour installer l'interface de ligne de commande AWS, consultez [la section Installation de l'interface de ligne de commande AWS](https://docs.aws.amazon.com/cli/latest/userguide/installing.html) et suivez les instructions appropriées. Notez qu'au bas de cette page, vous trouverez des instructions pour utiliser différents programmes d'installation, [Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html), [MS Windows](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html), [macOS](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html), [Virtual Environment](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html), [Bundled Installer (Linux, macOS ou Unix](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html)).
Après l'installation, exécutez `aws help` pour vérifier l'installation.
1. Une fois l'interface de ligne de commande AWS installée, pour installer ou mettre à niveau l'interface de ligne de commande AMS, téléchargez le fichier zip distribuable de l'**interface** de ligne de commande **AMS ou du SDK AMS** et décompressez-le. Vous pouvez accéder aux distribuables de l'AMS CLI via le lien [https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources) dans le menu de navigation gauche de la console AMS.
1. Le fichier README fournit des instructions pour toute installation.
Ouvrez soit :
+ ZIP de la CLI : fournit uniquement la CLI AMS.
+ ZIP du SDK : fournit tous les AMS APIs et la CLI AMS.
Pour **Windows**, exécutez le programme d'installation approprié (systèmes 32 ou 64 bits uniquement) :
+ 32 bits : **ManagedCloudAPI\$1x86.msi**
+ 64 bits : **ManagedCloudAPI\$1x64.msi**
Pour **Mac/Linux**, exécutez le fichier nommé : **AWSManagedServices\$1InstallCLI.sh** en exécutant cette commande :. `sh AWSManagedServices_InstallCLI.sh` **Notez que les répertoires **amscm** et **amsskms** ainsi que leur contenu doivent se trouver dans le même répertoire que le fichier .sh. AWSManagedServices\$1InstallCLI**
1. Si les informations d'identification de votre entreprise sont utilisées par le biais de la fédération avec AWS (configuration par défaut d'AMS), vous devez installer un outil de gestion des informations d'identification qui peut accéder à votre service de fédération. Par exemple, vous pouvez utiliser ce blog de sécurité AWS consacré à la [mise en œuvre d'un accès fédéré aux API et CLI à l'aide de SAML 2.0 et d'AD FS](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS) pour vous aider à configurer vos outils de gestion des informations d'identification.
1. Après l'installation, lancez `aws amscm help` et consultez `aws amsskms help` les commandes et les options.
**Note**
L'AMS CLI doit être installée pour que ces commandes fonctionnent. Pour installer l'API ou la CLI AMS, rendez-vous sur la page **Ressources pour développeurs** de la console AMS. Pour des informations de référence sur l'API AMS CM ou l'API AMS SKMS, consultez la section Ressources d'information AMS du guide de l'utilisateur. Vous devrez peut-être ajouter une `--profile` option d'authentification ; par exemple,`aws amsskms ams-cli-command --profile SAML`. Vous devrez peut-être également ajouter `--region` cette option car toutes les commandes AMS sont exécutées à partir de us-east-1, par exemple. `aws amscm ams-cli-command --region=us-east-1`
# Planification des sauvegardes AMS au niveau du VPC
La planification des sauvegardes AWS Managed Services (AMS) dans le VPC, où les instances cibles sont allouées, est créée lors de l'enregistrement du compte avec une balise par défaut dans le schéma de création du VPC. Le système de sauvegarde planifie l'exécution des instantanés en fonction de cette balise VPC. La modification de l'horaire peut être effectuée en créant une demande de service. Pour plus d'informations, consultez la section [Balises VPC et](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html) paramètres par défaut.
Pour les valeurs de sauvegarde par défaut, voir [Comprendre les valeurs par défaut d'AMS](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html)