Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Conditions préalables et considérations relatives à l'IAM Identity Center
Vous pouvez utiliser IAM Identity Center pour accéder uniquement aux applications AWS gérées, Comptes AWS uniquement, ou les deux. Si vous utilisez la fédération IAM pour gérer l'accès à Comptes AWS, vous pouvez continuer à le faire tout en utilisant IAM Identity Center pour accéder aux applications.
Avant d'activer IAM Identity Center, tenez compte des points suivants :
+ AWS Région
Vous devez d'abord activer IAM Identity Center dans une seule région [prise en charge](regions.md) pour chaque instance d'IAM Identity Center. Si vous souhaitez utiliser IAM Identity Center pour accéder aux AWS comptes par authentification unique, la région doit être accessible à tous les utilisateurs de votre organisation. Si vous envisagez d'utiliser IAM Identity Center pour accéder aux applications, sachez que certaines applications AWS gérées, telles qu'Amazon SageMaker AI, ne peuvent fonctionner que dans les régions qu'elles prennent en charge. En outre, la plupart des applications AWS gérées nécessitent qu'IAM Identity Center soit disponible dans la même région que l'application. Cela peut être réalisé en les colocalisant dans la même région, ou en cas de prise en charge, en répliquant l'instance IAM Identity Center dans la région de déploiement souhaitée d'une AWS application gérée. Pour de plus amples informations, veuillez consulter [Considérations relatives au choix d'un Région AWS](identity-center-region-considerations.md).
+ Accès aux applications uniquement
Vous pouvez utiliser IAM Identity Center uniquement pour accéder aux applications telles que Kiro, en utilisant votre fournisseur d'identité existant. Pour de plus amples informations, veuillez consulter [Utilisation d'IAM Identity Center pour l'accès des utilisateurs aux applications uniquement](identity-center-for-apps-only.md).
**Note**
L'accès aux ressources de l'application est géré indépendamment par le propriétaire de l'application.
+ Quota pour les rôles IAM
IAM Identity Center crée des rôles IAM pour autoriser les utilisateurs à accéder aux ressources du compte. Pour de plus amples informations, veuillez consulter [Rôles IAM créés par IAM Identity Center](identity-center-and-iam-roles.md).
+ IAM Identity Center et AWS Organizations
AWS Organizations est recommandé, mais non obligatoire, pour une utilisation avec IAM Identity Center. Si vous n'avez pas créé d'organisation, vous n'êtes pas obligé de le faire. Si vous avez déjà configuré AWS Organizations et que vous comptez ajouter IAM Identity Center à votre organisation, assurez-vous que toutes les AWS Organizations fonctionnalités sont activées. Pour de plus amples informations, veuillez consulter [IAM Identity Center et AWS Organizations](identity-center-and-orgs.md).
Les interfaces Web d'IAM Identity Center, y compris le portail d'accès et la console IAM Identity Center, sont destinées à être accessibles aux humains via les navigateurs Web compatibles. Les navigateurs compatibles incluent les trois dernières versions de Microsoft Edge, Mozilla Firefox, Google Chrome et Apple Safari. L'accès à ces points de terminaison à l'aide de chemins non basés sur un navigateur n'est pas pris en charge. Pour un accès programmatique aux services IAM Identity Center, nous vous recommandons d'utiliser la documentation APIs disponible dans les guides de référence de l'API IAM Identity Center et Identity Store.
# Considérations relatives au choix d'un Région AWS
Vous pouvez activer IAM Identity Center en un seul outil, compatible Région AWS de votre choix et disponible pour les utilisateurs du monde entier. Cette disponibilité globale vous permet de configurer plus facilement l'accès des utilisateurs à plusieurs applications Comptes AWS et applications. Voici les principales considérations à prendre en compte pour choisir un Région AWS.
+ **Emplacement géographique de vos utilisateurs** : lorsque vous sélectionnez la région la plus proche géographiquement de la majorité de vos utilisateurs finaux, ils bénéficieront d'une latence d'accès plus faible au portail AWS d'accès et aux applications AWS gérées, telles qu'Amazon SageMaker AI.
+ **Régions optionnelles (régions désactivées par défaut)** — Une région optionnelle est une Région AWS région désactivée par défaut. Pour utiliser une région opt-in, vous devez l'activer. Pour plus d'informations, consultez [la section Gestion du centre d'identité IAM dans une région optionnelle.](regions.md#manually-enabled-regions)
+ **Réplication d'IAM Identity Center vers des régions supplémentaires** : si vous prévoyez de répliquer IAM Identity Center vers d'autres régions Régions AWS, vous devez choisir une région activée par défaut. Pour de plus amples informations, veuillez consulter [Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
+ **Choix des régions de déploiement pour les applications AWS AWS gérées** : les applications gérées ne peuvent fonctionner que Régions AWS dans les régions dans lesquelles elles sont disponibles. De nombreuses applications AWS gérées peuvent également fonctionner uniquement dans une région dans laquelle le centre d'identité IAM est activé ou répliqué (région principale ou région supplémentaire). Pour vérifier si votre instance IAM Identity Center prend en charge la réplication vers des régions supplémentaires, consultez[Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md). Si la réplication n'est pas une option, pensez à activer IAM Identity Center dans la région où vous prévoyez d'utiliser des applications AWS gérées.
+ **Souveraineté** numérique — Les réglementations en matière de souveraineté numérique ou les politiques de l'entreprise peuvent imposer l'utilisation d'un élément particulier Région AWS. Consultez le service juridique de votre entreprise.
+ **Source d'identité** : si vous utilisez [AWS Managed Microsoft AD](connectawsad.md)votre répertoire autogéré dans [Active Directory (AD)](connectonpremad.md) comme source d'identité, sa région d'origine doit correspondre à celle Région AWS dans laquelle vous avez activé IAM Identity Center.
+ **E-mails interrégionaux avec Amazon Simple Email Service** : dans certaines régions, IAM Identity Center peut appeler [Amazon Simple Email Service (Amazon SES)](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html) dans une autre région pour envoyer des e-mails. Lors de ces appels interrégionaux, le centre d'identité IAM envoie certains attributs utilisateur à l'autre région. Pour de plus amples informations, veuillez consulter [E-mails interrégionaux avec Amazon SES](regions.md#cross-region-calls).
+ **AWS Control Tower**— Si vous activez une instance d'organisation d'IAM Identity Center depuis AWS Control Tower, l'instance sera créée dans la même région que la zone de AWS Control Tower landing zone.
**Topics**
+ [Stockage des données et opérations dans la région du centre d'identité IAM](regions.md)
+ [Commutation Régions AWS](switching-regions.md)
+ [Désactiver et Région AWS activer IAM Identity Center](disabling-region-with-identity-center.md)
# Stockage des données et opérations dans la région du centre d'identité IAM
Découvrez comment IAM Identity Center gère le stockage des données et les opérations dans l'ensemble Régions AWS.
## Découvrez comment IAM Identity Center stocke les données
Lorsque vous activez IAM Identity Center, toutes les données que vous configurez dans IAM Identity Center sont stockées dans la région où vous l'avez activé. Ces données incluent les configurations d'annuaires, les ensembles d'autorisations, les instances d'applications et les affectations d'utilisateurs aux Compte AWS applications. Si vous utilisez le magasin d'identités IAM Identity Center, tous les utilisateurs et groupes que vous créez dans IAM Identity Center sont également stockés dans la même région. Si vous répliquez votre instance IAM Identity Center vers des régions supplémentaires, IAM Identity Center réplique automatiquement les utilisateurs, les groupes, les ensembles d'autorisations et leurs attributions, ainsi que les autres métadonnées et configurations vers ces régions.
## E-mails interrégionaux avec Amazon SES
IAM Identity Center utilise [Amazon Simple Email Service (Amazon SES](https://docs.aws.amazon.com/ses/latest/dg/Welcome.html)) pour envoyer des e-mails aux utilisateurs finaux lorsqu'ils tentent de se connecter avec un mot de passe à usage unique (OTP) comme deuxième facteur d'authentification. Ces e-mails sont également envoyés pour certains événements de gestion de l'identité et des informations d'identification, par exemple lorsque l'utilisateur est invité à configurer un mot de passe initial, à vérifier une adresse e-mail et à réinitialiser son mot de passe. Amazon SES est disponible dans un sous-ensemble de Régions AWS ceux pris en charge par IAM Identity Center.
IAM Identity Center appelle les points de terminaison locaux d'Amazon SES lorsqu'Amazon SES est disponible localement dans un. Région AWS Lorsqu'Amazon SES n'est pas disponible localement, IAM Identity Center appelle les points de terminaison Amazon SES d'une autre manière Région AWS, comme indiqué dans le tableau suivant.
| Code de région du centre d'identité IAM | Nom de la région du centre d'identité IAM | Code de région Amazon SES | Nom de la région Amazon SES |
| --- | --- | --- | --- |
| ap-east-1 | Asie-Pacifique (Hong Kong) | ap-northeast-2 | Asie-Pacifique (Séoul) |
| ap-east-2 | Asie-Pacifique (Taipei) | ap-northeast-1 | Asie-Pacifique (Tokyo) |
| ap-south-2 | Asie-Pacifique (Hyderabad) | ap-south-1 | Asie-Pacifique (Mumbai) |
| ap-southeast-4 | Asie-Pacifique (Melbourne) | ap-southeast-2 | Asie-Pacifique (Sydney) |
| ap-southeast-5 | Asie-Pacifique (Malaisie) | ap-southeast-1 | Asie-Pacifique (Singapour) |
| ap-southeast-6 | Asie-Pacifique (Nouvelle Zélande) | ap-southeast-2 | Asie-Pacifique (Sydney) |
| ap-southeast-7 | Asie-Pacifique (Thaïlande) | ap-northeast-3 | Asie-Pacifique (Osaka) |
| ca-west-1 | Canada-Ouest (Calgary) | ca-central-1 | Canada (Centre) |
| eu-south-2 | Europe (Espagne) | eu-west-3 | Europe (Paris) |
| eu-central-2 | Europe (Zurich) | eu-central-1 | Europe (Francfort) |
| mx-central-1 | Mexique (Centre) | us-east-2 | USA Est (Ohio) |
| me-central-1 | Moyen-Orient (EAU) | eu-central-1 | Europe (Francfort) |
| us-gov-east-1 | AWS GovCloud (USA Est) | us-gov-west-1 | AWS GovCloud (US-Ouest) |
Lors de ces appels interrégionaux, IAM Identity Center peut envoyer les attributs utilisateur suivants :
+ Adresse e-mail
+ Prénom
+ Nom
+ Compte dans AWS Organizations
+ AWS URL du portail d'accès
+ Nom d’utilisateur
+ ID de l’annuaire
+ ID de l’utilisateur
## Gestion du centre d'identité IAM dans une région optionnelle (région désactivée par défaut)
La plupart Régions AWS sont activées par défaut pour les opérations dans tous les AWS services, mais vous devez activer les [régions optionnelles](https://docs.aws.amazon.com/glossary/latest/reference/glos-chap.html?icmpid=docs_homepage_addtlrcs#optinregion) suivantes si vous souhaitez utiliser IAM Identity Center :
+ Afrique (Le Cap)
+ Asie-Pacifique (Hong Kong)
+ Asie-Pacifique (Taipei)
+ Asie-Pacifique (Hyderabad)
+ Asie-Pacifique (Jakarta)
+ Asie-Pacifique (Melbourne)
+ Asie-Pacifique (Malaisie)
+ Asie-Pacifique (Nouvelle Zélande)
+ Asie-Pacifique (Thaïlande)
+ Canada-Ouest (Calgary)
+ Europe (Milan)
+ Europe (Espagne)
+ Europe (Zurich)
+ Israël (Tel Aviv)
+ Mexique (Centre)
+ Middle East (Bahrain)
+ Moyen-Orient (EAU)
Si vous déployez IAM Identity Center dans une région optionnelle, vous devez activer cette région dans tous les comptes pour lesquels vous souhaitez gérer l'accès à IAM Identity Center. Tous les comptes ont besoin de cette configuration, que vous créiez ou non des ressources dans cette région. Vous pouvez activer une région pour les comptes courants de votre organisation et vous devez répéter cette action lorsque vous ajoutez de nouveaux comptes. Pour obtenir des instructions, voir [Activer ou désactiver une région dans votre organisation](https://docs.aws.amazon.com//accounts/latest/reference/manage-acct-regions.html#manage-acct-regions-enable-organization) dans le *guide de AWS Organizations l'utilisateur*. Pour éviter de répéter ces étapes supplémentaires, vous pouvez choisir de déployer votre IAM Identity Center dans une [région activée par défaut](#regions-enabled-by-default).
**Note**
Votre compte de AWS membre doit être enregistré dans la même région que la région optionnelle dans laquelle se trouve votre instance IAM Identity Center, afin que vous puissiez accéder au compte de AWS membre depuis le portail d' AWS accès.
**Métadonnées stockées dans les régions optionnelles**
Lorsque vous activez IAM Identity Center pour un compte de gestion dans le cadre d'un opt-in Région AWS, les métadonnées IAM Identity Center suivantes pour tous les comptes membres sont stockées dans la région.
+ ID de compte
+ Nom du compte
+ Adresse e-mail du compte
+ Amazon Resource Names (ARNs) des rôles IAM créés par IAM Identity Center dans le compte membre
## Régions AWS qui sont activés par défaut
Les régions suivantes sont activées par défaut et vous pouvez activer IAM Identity Center dans ces régions.
+ USA Est (Ohio)
+ USA Est (Virginie du Nord)
+ USA Ouest (Oregon)
+ USA Ouest (Californie du Nord)
+ Europe (Paris)
+ Amérique du Sud (São Paulo)
+ Asie-Pacifique (Mumbai)
+ Europe (Stockholm)
+ Asie-Pacifique (Séoul)
+ Asie-Pacifique (Tokyo)
+ Europe (Irlande)
+ Europe (Francfort)
+ Europe (Londres)
+ Asie-Pacifique (Singapour)
+ Asie-Pacifique (Sydney)
+ Canada (Centre)
+ Asie-Pacifique (Osaka)
# Commutation Régions AWS
Nous vous recommandons d'installer IAM Identity Center dans une région que vous souhaitez garder accessible aux utilisateurs, et non dans une région que vous devrez peut-être désactiver. Pour de plus amples informations, veuillez consulter [Considérations relatives au choix d'un Région AWS](identity-center-region-considerations.md).
Vous pouvez changer de région de centre d'identité IAM uniquement en [supprimant votre instance actuelle de centre d'identité IAM](delete-config.md) et en créant une instance dans une autre région. Si vous avez déjà activé une application AWS gérée avec votre instance IAM Identity Center existante, désactivez-la avant de supprimer IAM Identity Center. Pour obtenir des instructions sur la désactivation des applications AWS gérées, consultez[Désactivation d'une application AWS gérée](awsapps-remove.md).
**Note**
Si vous envisagez de changer de région de centre d'identité IAM pour permettre le déploiement d'une application AWS gérée dans une autre région, pensez plutôt à répliquer votre instance de centre d'identité IAM dans cette région. Pour de plus amples informations, veuillez consulter [Utilisation d'IAM Identity Center sur plusieurs Régions AWS](multi-region-iam-identity-center.md).
**Considérations relatives à la configuration dans la nouvelle région**
Vous devez recréer les utilisateurs, les groupes, les ensembles d'autorisations, les applications et les attributions dans la nouvelle instance d'IAM Identity Center. Vous pouvez utiliser le compte IAM Identity Center et l'attribution d'application [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html)pour obtenir un instantané de votre configuration, puis utiliser cet instantané pour reconstruire votre configuration dans une nouvelle région. Le passage à une autre région modifie également l'URL du [portail AWS d'accès](using-the-portal.md), qui fournit à vos utilisateurs un accès par authentification unique à leurs applications Comptes AWS et à leurs applications. Vous devrez peut-être également recréer une configuration d'IAM Identity Center via la console de gestion de votre nouvelle instance.
# Désactiver et Région AWS activer IAM Identity Center
Si vous désactivez un Région AWS système dans lequel IAM Identity Center est installé, IAM Identity Center est également désactivé. Une fois le centre d'identité IAM désactivé dans une région, les utilisateurs de cette région ne pourront plus accéder aux Comptes AWS applications par authentification unique.
Pour réactiver IAM Identity Center en mode [opt-in Régions AWS](regions.md#manually-enabled-regions), vous devez réactiver la région. Comme IAM Identity Center doit retraiter tous les événements suspendus, la réactivation d'IAM Identity Center peut prendre un certain temps.
**Note**
IAM Identity Center peut gérer l'accès uniquement à ceux Comptes AWS qui sont activés pour une utilisation dans un Région AWS. Pour gérer l'accès à tous les comptes de votre organisation, activez IAM Identity Center dans le compte de gestion Région AWS qui est automatiquement activé pour être utilisé avec IAM Identity Center.
Pour plus d'informations sur l'activation et la désactivation Régions AWS, consultez [la section Gestion Régions AWS](https://docs.aws.amazon.com/general/latest/gr/rande-manage.html) dans le manuel de *référence AWS général*.
# Utilisation d'IAM Identity Center pour l'accès des utilisateurs aux applications uniquement
Vous pouvez utiliser IAM Identity Center pour accéder aux utilisateurs à des applications telles que Kiro Comptes AWS, ou les deux. Vous pouvez connecter votre fournisseur d'identité existant et synchroniser les utilisateurs et les groupes depuis votre annuaire, ou [créer et gérer des utilisateurs directement dans IAM Identity Center](quick-start-default-idc.md). Pour plus d'informations sur la façon de connecter votre fournisseur d'identité existant à IAM Identity Center, consultez le[Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md).
**Vous utilisez déjà IAM pour accéder à ? Comptes AWS**
Vous n'avez pas besoin de modifier vos Compte AWS flux de travail actuels pour utiliser IAM Identity Center pour accéder aux applications AWS gérées. Si vous utilisez la [fédération avec IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html#id_roles_providers_iam) pour l' Compte AWS accès, vos utilisateurs peuvent continuer à accéder Comptes AWS de la même manière qu'ils l'ont toujours fait, et vous pouvez continuer à utiliser vos flux de travail existants pour gérer cet accès.
# Rôles IAM créés par IAM Identity Center
Lorsque vous attribuez un AWS compte à un utilisateur, IAM Identity Center crée des rôles IAM pour autoriser les utilisateurs à accéder aux ressources.
Lorsque vous attribuez un ensemble d'autorisations, IAM Identity Center crée les rôles IAM contrôlés par IAM Identity Center correspondants dans chaque compte et associe les politiques spécifiées dans le jeu d'autorisations à ces rôles. IAM Identity Center gère le rôle et permet aux utilisateurs autorisés que vous avez définis d'assumer le rôle, en utilisant le portail d' AWS accès ou. AWS CLI Lorsque vous modifiez l'ensemble d'autorisations, IAM Identity Center veille à ce que les politiques et rôles IAM correspondants soient mis à jour en conséquence. La réplication de votre instance IAM Identity Center vers des régions supplémentaires n'affecte pas les rôles IAM existants et ne crée pas de nouveaux rôles IAM.
**Note**
Les ensembles d'autorisations ne sont pas utilisés pour accorder des autorisations aux applications.
Si vous avez déjà configuré des rôles IAM dans votre compte Compte AWS, nous vous recommandons de vérifier si votre compte atteint le quota de rôles IAM. Le quota par défaut pour les rôles IAM par compte est de 1 000 rôles. Pour plus d'informations, consultez la section [Quotas d'objets IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-quotas.html#reference_iam-quotas-entities).
Si vous approchez du quota, pensez à demander une augmentation du quota. Sinon, vous risquez de rencontrer des problèmes avec IAM Identity Center lorsque vous attribuez des ensembles d'autorisations à des comptes qui ont dépassé le quota de rôles IAM. Pour plus d'informations sur la procédure à suivre pour demander une augmentation de quota, voir [Demande d'augmentation de quota](https://docs.aws.amazon.com/servicequotas/latest/userguide/request-quota-increase.html) dans le *Guide de l'utilisateur du Service Quotas*.
**Note**
Si vous passez en revue les rôles IAM dans un compte qui utilise déjà IAM Identity Center, vous remarquerez peut-être que les noms de rôles commencent par. “AWSReservedSSO\$1” Il s'agit des rôles que le service IAM Identity Center a créés dans le compte, et ils proviennent de l'attribution d'un ensemble d'autorisations au compte.
# IAM Identity Center et AWS Organizations
AWS Organizations est recommandé, mais non obligatoire, pour une utilisation avec IAM Identity Center. Si vous n'avez pas créé d'organisation, vous n'êtes pas obligé de le faire. Lorsque vous activez IAM Identity Center, vous devez choisir d'activer ou non le service avec AWS Organizations. Lorsque vous configurez une organisation, le Compte AWS compte de gestion de l'organisation devient le compte de gestion de l'organisation. L'utilisateur root du Compte AWS est désormais le propriétaire du compte de gestion de l'organisation. Tout compte supplémentaire Comptes AWS que vous invitez à rejoindre votre organisation est un compte de membre. Le compte de gestion crée les ressources, les unités organisationnelles et les politiques de l'organisation qui gèrent les comptes des membres. Les autorisations sont déléguées aux comptes des membres par le compte de gestion.
**Note**
Nous vous recommandons d'activer IAM Identity Center avec AWS Organizations, ce qui crée une instance organisationnelle d'IAM Identity Center. Une instance d'organisation est notre meilleure pratique recommandée, car elle prend en charge toutes les fonctionnalités d'IAM Identity Center et fournit des fonctionnalités de gestion centralisée. Pour de plus amples informations, veuillez consulter [Instances organisationnelles d'IAM Identity Center](organization-instances-identity-center.md).
Si vous avez déjà configuré AWS Organizations et que vous comptez ajouter IAM Identity Center à votre organisation, assurez-vous que toutes les AWS Organizations fonctionnalités sont activées. Lorsque vous créez une organisation, toutes les fonctions sont activées par défaut. Pour de plus amples informations, consultez [Activation de toutes les fonctionnalités de l'organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) dans le *Guide de l'utilisateur AWS Organizations *.
Pour activer une instance organisationnelle d'IAM Identity Center, vous devez vous connecter au en vous AWS Management Console connectant à votre compte de AWS Organizations gestion en tant qu'utilisateur disposant d'informations d'identification administratives ou en tant qu'utilisateur root (ce n'est pas recommandé, sauf s'il n'existe aucun autre utilisateur administratif). Pour plus d'informations, consultez la section [Création et gestion d'une AWS organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org.html) dans le *guide de AWS Organizations l'utilisateur*.
Lorsque vous êtes connecté avec les informations d'identification administratives d'un compte AWS Organizations membre, vous pouvez activer une instance de compte d'IAM Identity Center. Les instances de compte ont des capacités limitées et sont liées à un seul AWS compte.