Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Instances de compte d’IAM Identity Center
Avec une instance de compte d'IAM Identity Center, vous pouvez déployer des applications AWS gérées prises en charge et des applications gérées par le client basées sur l'OIDC. Les instances de compte prennent en charge les déploiements isolés d'applications en une seule instance Compte AWS, en tirant parti des fonctionnalités du portail d'identité et d'accès du personnel d'IAM Identity Center.
Les instances de compte sont liées à une instance unique Compte AWS et sont utilisées uniquement pour gérer l'accès des utilisateurs et des groupes pour les applications prises en charge dans le même compte et Région AWS. Vous êtes limité à une instance de compte par Compte AWS. Vous pouvez créer une instance de compte à partir de l'une des options suivantes : un compte de membre dans AWS Organizations ou un compte autonome Compte AWS qui n'est pas géré par AWS Organizations.
Pour obtenir des instructions sur l'activation d'une instance de compte d'IAM Identity Center, consultez [Pour activer une instance d'IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance) et sélectionnez l'onglet **Compte**.
## Quand utiliser une instance de compte
Dans la plupart des cas, une [instance d'organisation](organization-instances-identity-center.md) est recommandée. Utilisez les instances de compte uniquement si l'un des scénarios suivants s'applique :
+ Vous souhaitez tester temporairement une application AWS gérée prise en charge afin de déterminer si l'application répond aux besoins de votre entreprise.
+ Vous n'avez pas l'intention d'adopter IAM Identity Center au sein de votre organisation, mais vous souhaitez prendre en charge une ou plusieurs applications AWS gérées.
+ Vous disposez d'une instance d'organisation d'IAM Identity Center, mais vous souhaitez déployer une application AWS gérée prise en charge vers un ensemble isolé d'utilisateurs distincts des utilisateurs de votre instance d'organisation.
+ Vous ne contrôlez pas l' AWS organisation dans laquelle vous opérez. Par exemple, un tiers contrôle l' AWS organisation qui gère votre Comptes AWS.
**Important**
Si vous envisagez d'utiliser IAM Identity Center pour prendre en charge les applications de plusieurs comptes, utilisez une instance d'organisation. Les instances de compte ne prennent pas en charge ce cas d'utilisation.
## AWS applications gérées qui prennent en charge les instances de compte
Consultez [AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md) la section pour savoir quelles applications AWS gérées prennent en charge les instances de compte d'IAM Identity Center. Vérifiez la disponibilité de la création d'instances de compte avec votre application AWS gérée.
## Contraintes de disponibilité pour les comptes membres
Pour déployer des instances de compte d'IAM Identity Center dans des comptes AWS Organizations membres, l'une des conditions suivantes doit être remplie :
+ Il n'existe aucune instance d'IAM Identity Center dans votre organisation.
+ Il existe une instance organisationnelle d'IAM Identity Center dans votre organisation et l'administrateur de l'instance autorise la création d'instances de compte d'IAM Identity Center (pour les instances d'organisation créées après le 15 novembre 2023).
+ Il existe une instance organisationnelle d'IAM Identity Center dans votre organisation et l'administrateur de l'instance a activé manuellement la création d'instances de compte par les comptes membres de l'organisation (pour les instances d'organisation créées avant le 15 novembre 2023). Pour obtenir des instructions, veuillez consulter [Autoriser la création d'instances de compte dans les comptes des membres](enable-account-instance-console.md).
Une fois que l'une des conditions précédentes est remplie, toutes les conditions suivantes doivent être remplies :
+ Votre administrateur n'a pas créé de [politique de contrôle des services](control-account-instance.md) qui empêche les comptes membres de créer des instances de compte.
+ Quoi qu'il en soit, vous ne possédez pas encore d'instance d'IAM Identity Center dans ce même compte. Région AWS
+ Vous travaillez dans un Région AWS endroit où IAM Identity Center est disponible. Pour plus d'informations sur les régions, consultez[Stockage des données et opérations dans la région du centre d'identité IAM](regions.md).
## Considérations relatives aux instances de compte
Une instance de compte est conçue pour des cas d'utilisation spécialisés et propose un sous-ensemble de fonctionnalités disponibles pour une instance d'organisation. Tenez compte des points suivants avant de créer une instance de compte :
+ Les instances de compte ne prennent pas en charge les ensembles d'autorisations et ne prennent donc pas en charge l'accès à Comptes AWS.
+ Vous ne pouvez pas convertir ou fusionner une instance de compte en une instance d'organisation.
+ Seules certaines [applications AWS gérées prennent en charge les](awsapps-that-work-with-identity-center.md) instances de compte.
+ Utilisez des instances de compte pour les utilisateurs isolés qui utiliseront les applications d'un seul compte et pendant toute la durée de vie des applications utilisées.
+ Les applications associées à une instance de compte doivent rester attachées à l'instance de compte jusqu'à ce que vous supprimiez l'application et ses ressources.
+ Une instance de compte doit rester Compte AWS là où elle a été créée.
# Autoriser la création d'instances de compte dans les comptes des membres
Si vous avez activé IAM Identity Center avant le 15 novembre 2023, vous disposez d'une [instance organisationnelle](organization-instances-identity-center.md) d'IAM Identity Center dont la possibilité pour les comptes membres de créer des instances de compte est désactivée par défaut. Vous pouvez choisir si vos comptes membres peuvent créer des instances de compte en activant la fonctionnalité d'instance de compte dans la console IAM Identity Center.
**Pour permettre la création d'instances de compte par les comptes membres de votre organisation**
**Important**
L'activation des instances de compte d'IAM Identity Center pour les comptes des membres est une opération unique. Cela signifie que cette opération ne peut pas être annulée. Une fois activée, vous pouvez limiter la création d'instances de compte en créant une politique de contrôle des services (SCP). Pour obtenir des instructions, consultez la section [Contrôle de la création d'instances de compte à l'aide des politiques de contrôle des services](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html).
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres**, puis sélectionnez l'onglet **Gestion**.
1. Dans la section **Instances de compte d'IAM Identity Center**, choisissez **Activer les instances de compte d'IAM Identity** Center.
1. Dans la boîte de dialogue **Activer les instances de compte d'IAM Identity Center**, confirmez que vous souhaitez autoriser les comptes membres de votre organisation à créer des instances de compte en choisissant **Activer**.
# Utiliser les politiques de contrôle des services pour contrôler la création d'instances de compte
La possibilité pour les comptes membres de créer des instances de compte dépend de la date à laquelle vous avez activé IAM Identity Center :
+ **Avant novembre 2023** : vous devez [autoriser la création d'instances de compte dans les comptes des membres](enable-account-instance-console.md), une action irréversible.
+ **Après le 15 novembre 2023,** les comptes membres peuvent créer des instances de compte par défaut.
Dans les deux cas, vous pouvez utiliser les politiques de contrôle des services (SCPs) pour :
+ Empêchez tous les comptes membres de créer des instances de compte.
+ N'autorisez que des comptes de membres spécifiques à créer des instances de compte.
## Empêcher les instances de compte
Utilisez la procédure suivante pour générer un SCP qui empêche les comptes membres de créer des instances de compte d'IAM Identity Center.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sur le **tableau de bord**, dans la section **Gestion centrale**, cliquez sur le bouton **Empêcher les instances de compte**.
1. Dans la boîte de dialogue **Attacher un SCP pour empêcher la création de nouvelles instances de compte**, un SCP vous est fourni. Copiez le SCP et cliquez sur le bouton **Accéder au tableau de bord du SCP**. Vous serez dirigé vers la [AWS Organizations console](https://console.aws.amazon.com/organizations/v2) pour créer le SCP ou le joindre sous forme de déclaration à un SCP existant. SCPs sont une fonctionnalité de AWS Organizations. Pour obtenir des instructions sur la connexion d'un SCP, consultez les [politiques de contrôle de service relatives à l'attachement et au détachement](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) du guide de l'*AWS Organizations utilisateur*.
## Limiter les instances de compte
Au lieu d'empêcher toute création d'instance de compte, cette politique interdit toute tentative de création d'une instance de compte d'IAM Identity Center pour tous, à l' Comptes AWS exception de ceux qui sont explicitement répertoriés dans l'*""*espace réservé.
**Example : politique de refus visant à limiter la création d'instances de compte**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ Remplacez [*""*] par le ou les Compte AWS identifiants réels que vous souhaitez autoriser à créer une instance de compte d'IAM Identity Center.
+ Vous pouvez répertorier plusieurs comptes IDs autorisés au format tableau : [*"111122223333", "444455556666"*].
+ Associez cette politique au SCP de votre organisation pour renforcer le contrôle centralisé de la création d'instances de compte IAM Identity Center.
Pour obtenir des instructions sur la connexion d'un SCP, consultez les [politiques de contrôle de service relatives à l'attachement et au détachement](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) du guide de l'*AWS Organizations utilisateur*.