Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Instances d'organisation et de compte d'IAM Identity Center
Une instance est un déploiement unique d'IAM Identity Center. Deux types d'instances sont disponibles pour IAM Identity Center : les instances d'*organisation et les instances* de *compte*.
+ Instance d'organisation (recommandée)
Instance d'IAM Identity Center que vous activez dans le compte AWS Organizations de gestion. Les instances d'organisation prennent en charge toutes les fonctionnalités d'IAM Identity Center. Nous vous recommandons de déployer une instance d'organisation plutôt que des instances de compte afin de minimiser le nombre de points de gestion.
+ Instance de compte
Instance d'IAM Identity Center liée à une instance unique Compte AWS et visible uniquement dans la AWS région Compte AWS et dans laquelle elle est activée. Utilisez une instance de compte pour des scénarios de compte unique plus simples. Vous pouvez activer une instance de compte à partir de l'une des méthodes suivantes :
+ Et Compte AWS cela n'est pas géré par AWS Organizations
+ Un compte de membre dans AWS Organizations
## Compte AWS types qui peuvent activer IAM Identity Center
Pour activer IAM Identity Center, connectez-vous au en AWS Management Console utilisant l'une des informations d'identification suivantes, selon le type d'instance que vous souhaitez créer :
+ **Votre compte AWS Organizations de gestion (recommandé)** : obligatoire pour créer une [instance organisationnelle](organization-instances-identity-center.md) d'IAM Identity Center. Utilisez une instance d'organisation pour les autorisations multi-comptes et les attributions d'applications au sein de l'organisation.
+ **Votre compte de AWS Organizations membre** : à utiliser pour créer une [instance de compte](account-instances-identity-center.md) d'IAM Identity Center afin de permettre l'attribution d'applications au sein de ce compte membre. Un ou plusieurs comptes dotés d'une instance de niveau membre peuvent exister dans une organisation.
+ **Une instance autonome Compte AWS** : à utiliser pour créer une instance d'[organisation ou une instance](organization-instances-identity-center.md) de [compte](account-instances-identity-center.md) d'IAM Identity Center. Le système autonome Compte AWS n'est pas géré par AWS Organizations. Vous ne pouvez associer qu'une seule instance d'IAM Identity Center à une instance autonome Compte AWS et utiliser cette instance pour les attributions d'applications au sein de cette instance autonome. Compte AWS
Utilisez le tableau suivant pour comparer les fonctionnalités fournies par le type d'instance :
| Capacité | Instance dans le compte AWS Organizations de gestion (recommandé) | Instance dans un compte membre | Instance dans un environnement autonome Compte AWS |
| --- | --- | --- | --- |
| Gérer les utilisateurs | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui |
| AWS portail d'accès pour un accès par authentification unique à vos applications AWS gérées | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui |
| OAuth Applications gérées par le client 2.0 (OIDC) | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png)Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png)Oui |
| Autorisations multi-comptes | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non |
| AWS portail d'accès pour un accès par authentification unique à votre Comptes AWS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non |
| Applications SAML 2.0 gérées par le client | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non |
| L'administrateur délégué peut gérer l'instance | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non |
| Chiffrement au repos à l'aide d'une clé KMS gérée par le client | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non |
| Réplication d'IAM Identity Center vers d'autres régions | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non |
Pour plus d'informations sur les applications AWS gérées et IAM Identity Center, consultez[AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md).
**Topics**
+ [Compte AWS types qui peuvent activer IAM Identity Center](#identity-center-instances-account-types)
+ [Instances organisationnelles d'IAM Identity Center](organization-instances-identity-center.md)
+ [Instances de compte d’IAM Identity Center](account-instances-identity-center.md)
+ [Supprimer votre instance IAM Identity Center](delete-config.md)
# Instances organisationnelles d'IAM Identity Center
Lorsque vous activez IAM Identity Center conjointement avec AWS Organizations, vous créez une instance organisationnelle d'IAM Identity Center. Votre instance d’organisation doit être activée dans votre compte de gestion. Vous pouvez gérer de manière centralisée l’accès des utilisateurs et des groupes avec une seule instance d’organisation. Vous ne pouvez avoir qu'une seule instance d'organisation pour chaque compte de gestion dans AWS Organizations.
Si vous avez activé IAM Identity Center avant le 15 novembre 2023, vous disposez d'une instance organisationnelle d'IAM Identity Center.
Pour activer une instance organisationnelle d'IAM Identity Center, consultez[Pour activer une instance d'IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance).
## Quand utiliser une instance d'organisation
Une instance d'organisation est la principale méthode d'activation d'IAM Identity Center et une instance d'organisation est généralement recommandée. Les instances d'organisation offrent les avantages suivants :
+ **Support pour toutes les fonctionnalités d'IAM Identity Center**, y compris la gestion des autorisations pour plusieurs Comptes AWS utilisateurs de votre organisation, l'attribution d'accès aux applications gérées par les clients et la réplication multirégionale.
+ **Réduction du nombre de points de gestion** — Une instance d'organisation possède un point de gestion unique, le compte de gestion. Nous vous recommandons d'activer une instance d'organisation plutôt qu'une instance de compte afin de réduire le nombre de points de gestion.
+ **Contrôle centralisé de la création des instances de compte** : vous pouvez contrôler si des instances de compte peuvent être créées par les comptes des membres de votre organisation tant que vous n'avez pas déployé d'instance d'IAM Identity Center dans votre organisation dans une région optionnelle (Région AWS qui est désactivée par défaut).
Pour obtenir des instructions sur l'activation d'une instance d'organisation d'IAM Identity Center, consultez[Pour activer une instance d'IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance).
# Instances de compte d’IAM Identity Center
Avec une instance de compte d'IAM Identity Center, vous pouvez déployer des applications AWS gérées prises en charge et des applications gérées par le client basées sur l'OIDC. Les instances de compte prennent en charge les déploiements isolés d'applications en une seule instance Compte AWS, en tirant parti des fonctionnalités du portail d'identité et d'accès du personnel d'IAM Identity Center.
Les instances de compte sont liées à une instance unique Compte AWS et sont utilisées uniquement pour gérer l'accès des utilisateurs et des groupes pour les applications prises en charge dans le même compte et Région AWS. Vous êtes limité à une instance de compte par Compte AWS. Vous pouvez créer une instance de compte à partir de l'une des options suivantes : un compte de membre dans AWS Organizations ou un compte autonome Compte AWS qui n'est pas géré par AWS Organizations.
Pour obtenir des instructions sur l'activation d'une instance de compte d'IAM Identity Center, consultez [Pour activer une instance d'IAM Identity Center](enable-identity-center.md#to-enable-identity-center-instance) et sélectionnez l'onglet **Compte**.
## Quand utiliser une instance de compte
Dans la plupart des cas, une [instance d'organisation](organization-instances-identity-center.md) est recommandée. Utilisez les instances de compte uniquement si l'un des scénarios suivants s'applique :
+ Vous souhaitez tester temporairement une application AWS gérée prise en charge afin de déterminer si l'application répond aux besoins de votre entreprise.
+ Vous n'avez pas l'intention d'adopter IAM Identity Center au sein de votre organisation, mais vous souhaitez prendre en charge une ou plusieurs applications AWS gérées.
+ Vous disposez d'une instance d'organisation d'IAM Identity Center, mais vous souhaitez déployer une application AWS gérée prise en charge vers un ensemble isolé d'utilisateurs distincts des utilisateurs de votre instance d'organisation.
+ Vous ne contrôlez pas l' AWS organisation dans laquelle vous opérez. Par exemple, un tiers contrôle l' AWS organisation qui gère votre Comptes AWS.
**Important**
Si vous envisagez d'utiliser IAM Identity Center pour prendre en charge les applications de plusieurs comptes, utilisez une instance d'organisation. Les instances de compte ne prennent pas en charge ce cas d'utilisation.
## AWS applications gérées qui prennent en charge les instances de compte
Consultez [AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md) la section pour savoir quelles applications AWS gérées prennent en charge les instances de compte d'IAM Identity Center. Vérifiez la disponibilité de la création d'instances de compte avec votre application AWS gérée.
## Contraintes de disponibilité pour les comptes membres
Pour déployer des instances de compte d'IAM Identity Center dans des comptes AWS Organizations membres, l'une des conditions suivantes doit être remplie :
+ Il n'existe aucune instance d'IAM Identity Center dans votre organisation.
+ Il existe une instance organisationnelle d'IAM Identity Center dans votre organisation et l'administrateur de l'instance autorise la création d'instances de compte d'IAM Identity Center (pour les instances d'organisation créées après le 15 novembre 2023).
+ Il existe une instance organisationnelle d'IAM Identity Center dans votre organisation et l'administrateur de l'instance a activé manuellement la création d'instances de compte par les comptes membres de l'organisation (pour les instances d'organisation créées avant le 15 novembre 2023). Pour obtenir des instructions, veuillez consulter [Autoriser la création d'instances de compte dans les comptes des membres](enable-account-instance-console.md).
Une fois que l'une des conditions précédentes est remplie, toutes les conditions suivantes doivent être remplies :
+ Votre administrateur n'a pas créé de [politique de contrôle des services](control-account-instance.md) qui empêche les comptes membres de créer des instances de compte.
+ Quoi qu'il en soit, vous ne possédez pas encore d'instance d'IAM Identity Center dans ce même compte. Région AWS
+ Vous travaillez dans un Région AWS endroit où IAM Identity Center est disponible. Pour plus d'informations sur les régions, consultez[Stockage des données et opérations dans la région du centre d'identité IAM](regions.md).
## Considérations relatives aux instances de compte
Une instance de compte est conçue pour des cas d'utilisation spécialisés et propose un sous-ensemble de fonctionnalités disponibles pour une instance d'organisation. Tenez compte des points suivants avant de créer une instance de compte :
+ Les instances de compte ne prennent pas en charge les ensembles d'autorisations et ne prennent donc pas en charge l'accès à Comptes AWS.
+ Vous ne pouvez pas convertir ou fusionner une instance de compte en une instance d'organisation.
+ Seules certaines [applications AWS gérées prennent en charge les](awsapps-that-work-with-identity-center.md) instances de compte.
+ Utilisez des instances de compte pour les utilisateurs isolés qui utiliseront les applications d'un seul compte et pendant toute la durée de vie des applications utilisées.
+ Les applications associées à une instance de compte doivent rester attachées à l'instance de compte jusqu'à ce que vous supprimiez l'application et ses ressources.
+ Une instance de compte doit rester Compte AWS là où elle a été créée.
# Autoriser la création d'instances de compte dans les comptes des membres
Si vous avez activé IAM Identity Center avant le 15 novembre 2023, vous disposez d'une [instance organisationnelle](organization-instances-identity-center.md) d'IAM Identity Center dont la possibilité pour les comptes membres de créer des instances de compte est désactivée par défaut. Vous pouvez choisir si vos comptes membres peuvent créer des instances de compte en activant la fonctionnalité d'instance de compte dans la console IAM Identity Center.
**Pour permettre la création d'instances de compte par les comptes membres de votre organisation**
**Important**
L'activation des instances de compte d'IAM Identity Center pour les comptes des membres est une opération unique. Cela signifie que cette opération ne peut pas être annulée. Une fois activée, vous pouvez limiter la création d'instances de compte en créant une politique de contrôle des services (SCP). Pour obtenir des instructions, consultez la section [Contrôle de la création d'instances de compte à l'aide des politiques de contrôle des services](https://docs.aws.amazon.com/singlesignon/latest/userguide/control-account-instance.html).
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Paramètres**, puis sélectionnez l'onglet **Gestion**.
1. Dans la section **Instances de compte d'IAM Identity Center**, choisissez **Activer les instances de compte d'IAM Identity** Center.
1. Dans la boîte de dialogue **Activer les instances de compte d'IAM Identity Center**, confirmez que vous souhaitez autoriser les comptes membres de votre organisation à créer des instances de compte en choisissant **Activer**.
# Utiliser les politiques de contrôle des services pour contrôler la création d'instances de compte
La possibilité pour les comptes membres de créer des instances de compte dépend de la date à laquelle vous avez activé IAM Identity Center :
+ **Avant novembre 2023** : vous devez [autoriser la création d'instances de compte dans les comptes des membres](enable-account-instance-console.md), une action irréversible.
+ **Après le 15 novembre 2023,** les comptes membres peuvent créer des instances de compte par défaut.
Dans les deux cas, vous pouvez utiliser les politiques de contrôle des services (SCPs) pour :
+ Empêchez tous les comptes membres de créer des instances de compte.
+ N'autorisez que des comptes de membres spécifiques à créer des instances de compte.
## Empêcher les instances de compte
Utilisez la procédure suivante pour générer un SCP qui empêche les comptes membres de créer des instances de compte d'IAM Identity Center.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sur le **tableau de bord**, dans la section **Gestion centrale**, cliquez sur le bouton **Empêcher les instances de compte**.
1. Dans la boîte de dialogue **Attacher un SCP pour empêcher la création de nouvelles instances de compte**, un SCP vous est fourni. Copiez le SCP et cliquez sur le bouton **Accéder au tableau de bord du SCP**. Vous serez dirigé vers la [AWS Organizations console](https://console.aws.amazon.com/organizations/v2) pour créer le SCP ou le joindre sous forme de déclaration à un SCP existant. SCPs sont une fonctionnalité de AWS Organizations. Pour obtenir des instructions sur la connexion d'un SCP, consultez les [politiques de contrôle de service relatives à l'attachement et au détachement](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) du guide de l'*AWS Organizations utilisateur*.
## Limiter les instances de compte
Au lieu d'empêcher toute création d'instance de compte, cette politique interdit toute tentative de création d'une instance de compte d'IAM Identity Center pour tous, à l' Comptes AWS exception de ceux qui sont explicitement répertoriés dans l'*""*espace réservé.
**Example : politique de refus visant à limiter la création d'instances de compte**
****
```
{
"Version":"2012-10-17",
"Statement" : [
{
"Sid": "DenyMemberAccountInstances",
"Effect": "Deny",
"Action": "sso:CreateInstance",
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [""]
}
}
}
]
}
```
+ Remplacez [*""*] par le ou les Compte AWS identifiants réels que vous souhaitez autoriser à créer une instance de compte d'IAM Identity Center.
+ Vous pouvez répertorier plusieurs comptes IDs autorisés au format tableau : [*"111122223333", "444455556666"*].
+ Associez cette politique au SCP de votre organisation pour renforcer le contrôle centralisé de la création d'instances de compte IAM Identity Center.
Pour obtenir des instructions sur la connexion d'un SCP, consultez les [politiques de contrôle de service relatives à l'attachement et au détachement](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) du guide de l'*AWS Organizations utilisateur*.
# Supprimer votre instance IAM Identity Center
Lorsqu'une instance IAM Identity Center est supprimée, toutes les données de cette instance sont supprimées et ne peuvent pas être récupérées. Le tableau suivant décrit les données supprimées en fonction du type de répertoire configuré dans IAM Identity Center.
| Quelles données sont supprimées | Annuaire connecté - AWS Managed Microsoft AD, AD Connector ou fournisseur d'identité externe | Boutique d'identités IAM Identity Center |
| --- | --- | --- |
| Tous les ensembles d'autorisations que vous avez configurés pour Comptes AWS | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui |
| Toutes les applications que vous avez configurées dans IAM Identity Center | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui |
| Toutes les attributions d'utilisateurs que vous avez configurées Comptes AWS et les applications | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui |
| Tous les utilisateurs et groupes de l'annuaire ou du magasin | S/O | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui |
Si vous avez répliqué votre instance IAM Identity Center dans des régions supplémentaires, vous devez supprimer ces régions avant de supprimer l'instance.
Utilisez la procédure suivante pour supprimer votre instance IAM Identity Center.
**Pour supprimer votre instance IAM Identity Center**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Dans le panneau de navigation de gauche, choisissez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Gestion**.
1. Dans la section **Supprimer la configuration du centre d'identité IAM**, choisissez **Supprimer**.
1. Dans la boîte de dialogue de **configuration Supprimer IAM Identity Center**, cochez chaque case pour confirmer que vous comprenez que vos données seront supprimées. Tapez votre instance IAM Identity Center dans la zone de texte, puis choisissez **Confirmer**.