Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configurer l'accès à Comptes AWS
<a name="manage-your-accounts"></a>

AWS IAM Identity Center est intégré à AWS Organizations, ce qui vous permet de gérer de manière centralisée les autorisations sur plusieurs comptes Comptes AWS sans configurer manuellement chacun de vos comptes. Vous pouvez définir des autorisations et les attribuer aux utilisateurs du personnel afin de contrôler leur accès à des informations spécifiques à Comptes AWS l'aide d'une [instance organisationnelle](organization-instances-identity-center.md) d'IAM Identity Center. [Les instances de compte](account-instances-identity-center.md) d'IAM Identity Center ne prennent pas en charge l'accès aux comptes.

## Compte AWS types
<a name="account-types"></a>

Il existe deux types d' Comptes AWS entrées AWS Organizations :
+ **Compte de gestion** - Le Compte AWS compte utilisé pour créer l'organisation.
+ **Comptes de membres** : les Comptes AWS autres comptes appartiennent à une organisation.

Pour plus d'informations sur les Compte AWS types, reportez-vous à [AWS Organizations la section Terminologie et concepts](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) du *guide de AWS Organizations l'utilisateur*.

Vous pouvez également choisir d'enregistrer un compte membre en tant qu'*administrateur délégué* pour IAM Identity Center. Les utilisateurs de ce compte peuvent effectuer la plupart des tâches administratives d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Administration déléguée](delegated-admin.md).

Pour chaque tâche et chaque type de compte, le tableau suivant indique si la tâche administrative d'IAM Identity Center peut être exécutée par les utilisateurs du compte.


****  

| Tâches administratives d'IAM Identity Center | Compte membre | Compte administrateur délégué | Compte de gestion | 
| --- | --- | --- | --- | 
| Lire les utilisateurs ou les groupes (lire le groupe lui-même et les membres du groupe) | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Ajouter, modifier ou supprimer des utilisateurs ou des groupes | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png)Oui\$1 | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Activer ou désactiver l'accès utilisateur | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Activer, désactiver ou gérer les attributs entrants | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Modifier ou gérer les sources d'identité | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Création, modification ou suppression d'applications gérées par le client | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Création, modification ou suppression d'applications AWS gérées | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Configuration de la MFA | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Gérer les ensembles d'autorisations non provisionnés dans le compte de gestion | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Gérer les ensembles d'autorisations fournis dans le compte de gestion | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Activer IAM Identity Center | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Supprimer la configuration du centre d'identité IAM | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Activer ou désactiver l'accès utilisateur dans le compte de gestion | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 
| Enregistrer ou désenregistrer un compte membre en tant qu'administrateur délégué | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[No\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-no.png) Non | ![\[Yes\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/icon-yes.png) Oui | 

\$1Reportez-vous aux meilleures pratiques en matière d'administration déléguée concernant les affectations d'utilisateurs et de groupes au compte de gestion.

## Attribution d'un accès Compte AWS
<a name="assigning-account-access"></a>

Vous pouvez utiliser des *ensembles d'autorisations* pour simplifier la façon dont vous attribuez l'accès aux utilisateurs et aux groupes de votre organisation Comptes AWS. Les ensembles d'autorisations sont stockés dans IAM Identity Center et définissent le niveau d'accès des utilisateurs et des groupes à un Compte AWS. Vous pouvez créer un ensemble d'autorisations unique et l'attribuer à plusieurs Comptes AWS au sein de votre organisation. Vous pouvez également attribuer plusieurs ensembles d'autorisations au même utilisateur.

Pour plus d'informations sur les jeux d'autorisations, consultez [Création, gestion et suppression des jeux d’autorisations](permissionsets.md).

**Note**  
Vous pouvez également attribuer à vos utilisateurs un accès par authentification unique aux applications. Pour plus d'informations, consultez [Configuration de l'accès aux applications](manage-your-applications.md).

## Expérience de l'utilisateur final
<a name="end-user-experience"></a>

Le *portail AWS d'accès* fournit aux utilisateurs d'IAM Identity Center un accès par authentification unique à toutes les applications Comptes AWS et applications qui leur sont assignées via un portail Web. Le portail AWS d'accès est différent du [AWS Management Console](https://docs.aws.amazon.com//awsconsolehelpdocs/latest/gsg/learn-whats-new.html), qui est un ensemble de consoles de service permettant de gérer les AWS ressources.

Lorsque vous créez un ensemble d'autorisations, le nom que vous spécifiez pour l'ensemble d'autorisations apparaît dans le portail AWS d'accès en tant que rôle disponible. Les utilisateurs se connectent AWS au portail d'accès Compte AWS, choisissent un, puis le rôle. Après avoir choisi le rôle, ils peuvent accéder aux AWS services en utilisant AWS Management Console ou en récupérant des informations d'identification temporaires pour accéder aux AWS services par programmation.

Pour ouvrir AWS Management Console ou récupérer des informations d'identification temporaires afin d'y accéder AWS par programmation, les utilisateurs effectuent les étapes suivantes :

1. Les utilisateurs ouvrent une fenêtre de navigateur et utilisent l'URL de connexion que vous fournissez pour accéder au portail AWS d'accès.

1. À l'aide de leurs identifiants d'annuaire, ils se connectent au portail AWS d'accès.

1. Après authentification, sur la page du portail d' AWS accès, ils choisissent l'onglet **Comptes** pour afficher la liste des comptes Comptes AWS auxquels ils ont accès.

1. Les utilisateurs choisissent ensuite Compte AWS celui qu'ils souhaitent utiliser.

1. Sous le nom du Compte AWS, tous les ensembles d'autorisations auxquels les utilisateurs sont affectés apparaissent sous forme de rôles disponibles. Par exemple, si vous avez attribué un utilisateur `john_stiles` à l'ensemble d'`PowerUser`autorisations, le rôle s'affiche dans le portail AWS d'accès sous la forme`PowerUser/john_stiles`. Les utilisateurs qui bénéficient de plusieurs jeux d'autorisations choisissent le rôle à utiliser. Les utilisateurs peuvent choisir leur rôle pour accéder au AWS Management Console.

1. Outre le rôle, les utilisateurs du portail AWS d'accès peuvent récupérer des informations d'identification temporaires pour l'accès par ligne de commande ou par programmation en choisissant **les clés d'accès**.

Pour step-by-step obtenir des conseils que vous pouvez fournir aux utilisateurs de votre personnel, consultez [Configuration et utilisation du portail AWS d'accès](using-the-portal.md) et[Obtenir les informations d'identification utilisateur d'IAM Identity Center pour le ou AWS CLI AWS SDKs](howtogetcredentials.md).

## Renforcer et limiter l'accès
<a name="enforcing-and-limiting-access"></a>

Lorsque vous activez IAM Identity Center, IAM Identity Center crée un rôle lié à un service. Vous pouvez également utiliser les politiques de contrôle des services (SCPs).

### Délégation et renforcement de l'accès
<a name="delegating-and-enforcing-access"></a>

Un *rôle lié à un service* est un type de rôle IAM directement lié à un service. AWS Une fois que vous avez activé IAM Identity Center, IAM Identity Center peut créer un rôle lié à un service dans chacun Compte AWS des membres de votre organisation. Ce rôle fournit des autorisations prédéfinies qui permettent à IAM Identity Center de déléguer et d'appliquer les utilisateurs disposant d'un accès par authentification unique à des utilisateurs spécifiques de votre organisation Comptes AWS dans. AWS Organizations Pour utiliser ce rôle, vous devez attribuer à un ou plusieurs utilisateurs l'accès à un compte. Pour plus d’informations, consultez [Comprendre les rôles liés aux services dans IAM Identity Center](slrconcept.md) et [Utilisation de rôles liés à un service pour IAM Identity Center](using-service-linked-roles.md).

### Limiter l'accès à la banque d'identités depuis les comptes des membres
<a name="limiting-access-from-member-accounts"></a>

Pour le service de banque d'identité utilisé par IAM Identity Center, les utilisateurs ayant accès à un compte membre peuvent utiliser des actions d'API qui nécessitent des autorisations de **lecture**. Les comptes membres ont accès aux actions **Read** sur les espaces de noms **sso-directory** et **identitystore**. Pour plus d'informations, consultez [les sections Actions, ressources et clés de condition pour le AWS IAM Identity Center répertoire](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamidentitycenterdirectory.html) et [Actions, ressources et clés de condition pour AWS Identity Store](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html) dans la *référence d'autorisation de service*.

Pour empêcher les utilisateurs des comptes membres d'utiliser les opérations d'API dans le magasin d'identités, vous pouvez [joindre une politique de contrôle des services (SCP)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps_attach.html). Un SCP est un type de politique d'organisation que vous pouvez utiliser pour gérer les autorisations au sein de votre organisation. L'exemple de SCP suivant empêche les utilisateurs des comptes membres d'accéder à toute opération d'API dans le magasin d'identités.

```
        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": ["identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
```

**Note**  
Pour garantir le bon fonctionnement de vos applications AWS gérées avec votre IAM Identity Center, vous devez éviter d'appliquer ce SCP à l' Comptes AWS endroit où vous avez déployé ces applications. De plus, si vous utilisez l'administration déléguée, vous devez éviter d'appliquer ce SCP au compte d'administration déléguée. Pour de plus amples informations, veuillez consulter [Bonnes pratiques](delegated-admin.md#delegated-admin-best-practices).

Pour plus d'informations, voir [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *guide de AWS Organizations l'utilisateur*.

# Administration déléguée
<a name="delegated-admin"></a>

L'administration déléguée permet aux utilisateurs assignés à un compte membre enregistré d'effectuer facilement la plupart des tâches administratives d'IAM Identity Center. Lorsque vous activez IAM Identity Center, votre instance IAM Identity Center est créée AWS Organizations par défaut dans le compte de gestion. Cela a été initialement conçu de cette façon afin qu'IAM Identity Center puisse fournir, déprovisionner et mettre à jour les rôles sur tous les comptes membres de votre organisation. Même si votre instance IAM Identity Center doit toujours résider dans le compte de gestion, vous pouvez choisir de déléguer l'administration d'IAM Identity Center à un compte membre AWS Organizations, étendant ainsi la capacité de gérer IAM Identity Center depuis l'extérieur du compte de gestion.

L'activation de l'administration déléguée offre les avantages suivants :
+ Minimise le nombre de personnes ayant besoin d'accéder au compte de gestion pour atténuer les problèmes de sécurité
+ Permet à certains administrateurs d'attribuer des utilisateurs et des groupes aux applications et aux comptes des membres de votre organisation

Pour plus d'informations sur le fonctionnement d'IAM Identity Center AWS Organizations, consultez[Configurer l'accès à Comptes AWS](manage-your-accounts.md). Pour plus d'informations et pour consulter un exemple de scénario d'entreprise montrant comment configurer l'administration déléguée, consultez [Getting started with IAM Identity Center Delegated Administration](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/) dans le *blog AWS de sécurité*.

**Topics**
+ [Bonnes pratiques](#delegated-admin-best-practices)
+ [Conditions préalables](#delegated-admin-prereqs)
+ [Enregistrez un compte membre](delegated-admin-how-to-register.md)
+ [Annuler l'enregistrement d'un compte membre](delegated-admin-how-to-deregister.md)
+ [Afficher quel compte de membre a été enregistré en tant qu'administrateur délégué](delegated-admin-how-to-view-member-account.md)

## Bonnes pratiques
<a name="delegated-admin-best-practices"></a>

Voici quelques bonnes pratiques à prendre en compte avant de configurer l'administration déléguée :
+ **Accorder le moindre privilège au compte** de gestion — Sachant que le compte de gestion est un compte hautement privilégié et pour respecter le principe du moindre privilège, nous vous recommandons vivement de restreindre l'accès au compte de gestion au moins de personnes possible. La fonctionnalité d'administrateur délégué vise à minimiser le nombre de personnes ayant besoin d'accéder au compte de gestion. Vous pouvez également envisager d'utiliser [un accès élevé temporaire](https://docs.aws.amazon.com/singlesignon/latest/userguide/temporary-elevated-access.html) pour n'accorder cet accès qu'en cas de besoin.
+ **Ensembles d'autorisations dédiés pour le compte de gestion** : utilisez des ensembles d'autorisations dédiés pour le compte de gestion. Pour des raisons de sécurité, un ensemble d'autorisations utilisé pour accéder au compte de gestion ne peut être modifié que par un administrateur IAM Identity Center à partir du compte de gestion. L'administrateur délégué ne peut pas modifier les ensembles d'autorisations fournis dans le compte de gestion.
+ **Affecter uniquement des utilisateurs (et non des groupes) aux ensembles d'autorisations du compte de gestion** : le compte de gestion disposant de privilèges spéciaux, vous devez faire preuve de prudence lorsque vous attribuez l'accès à ce compte dans la console ou AWS Command Line Interface (CLI). Si vous assignez des groupes à des ensembles d'autorisations ayant accès au compte de gestion, toute personne autorisée à modifier les adhésions à ces groupes add/remove peut to/from utiliser ces groupes, et ainsi déterminer qui a accès au compte de gestion. Il s'agit de tout administrateur de groupe contrôlant votre source d'identité, y compris l'administrateur de votre fournisseur d'identité (IdP), l'administrateur du service de domaine Microsoft Active Directory (AD DS) ou l'administrateur du centre d'identité IAM. Par conséquent, vous devez affecter les utilisateurs directement aux ensembles d'autorisations qui accordent l'accès au compte de gestion et éviter les groupes. Si vous utilisez des groupes pour gérer l'accès au compte de gestion, assurez-vous que les contrôles appropriés sont en place dans l'IdP afin de limiter les personnes autorisées à modifier ces groupes, et assurez-vous que les modifications apportées à ces groupes (ou les modifications des informations d'identification des utilisateurs du compte de gestion) sont enregistrées et examinées si nécessaire. 
+ **Tenez compte de votre emplacement Active Directory** : si vous prévoyez d'utiliser Active Directory comme source d'identité IAM Identity Center, localisez le répertoire dans le compte membre sur lequel vous avez activé la fonctionnalité d'administrateur délégué d'IAM Identity Center. Si vous décidez de remplacer la source d'identité IAM Identity Center d'une autre source par Active Directory, ou de la remplacer par une autre source, le répertoire doit résider dans le compte membre administrateur délégué d'IAM Identity Center. Si vous souhaitez que votre Active Directory figure dans le compte de gestion, vous devez effectuer la configuration dans le compte de gestion, car l'administrateur délégué n'aura pas les autorisations nécessaires pour l'effectuer.

### Limiter les actions de la banque d'identités IAM Identity Center dans le compte d'administration déléguée avec des sources d'identité externes
<a name="delegated-admin-best-practices-external"></a>

Si vous utilisez une source d'identité externe telle qu'un IdP Directory Service, vous devez mettre en œuvre des politiques qui limitent les actions du magasin d'identités qu'un administrateur du IAM Identity Center peut effectuer depuis le compte d'administration déléguée. Les opérations d'écriture et de suppression doivent être soigneusement étudiées. En général, la source d'identité externe est la source de vérité pour les utilisateurs et leurs attributs, ainsi que pour les appartenances aux groupes. Si vous les modifiez à l'aide du magasin d'identités APIs ou de la console, vos modifications seront remplacées au cours des cycles de synchronisation normaux. Il est préférable de confier ces opérations au contrôle exclusif de votre identité, source de vérité. Cela empêche également un administrateur du centre d'identité IAM de modifier les appartenances à un groupe pour accorder l'accès à un ensemble d'autorisations ou à une application attribué au groupe, plutôt que de laisser le contrôle de l'appartenance au groupe à votre administrateur IdP. Vous devez également vérifier qui peut créer des jetons porteurs SCIM à partir du compte d'administration déléguée, car ceux-ci pourraient permettre à un administrateur du compte membre de modifier des groupes et des utilisateurs via un client SCIM.

Il peut arriver que des opérations d'écriture ou de suppression soient appropriées à partir du compte administrateur délégué. Par exemple, vous pouvez créer un groupe sans ajouter de membres, puis attribuer un ensemble d'autorisations sans avoir à attendre que l'administrateur de l'IdP crée le groupe. Personne n'aura accès à cette attribution tant que l'administrateur de l'IdP n'aura pas approvisionné le groupe et que le processus de synchronisation de l'IdP n'aura pas établi les membres du groupe. Il peut également être approprié de supprimer un utilisateur ou un groupe pour empêcher la connexion ou l'autorisation lorsque vous ne pouvez pas attendre le processus de synchronisation de l'IdP pour supprimer l'accès à l'utilisateur ou au groupe. Cependant, l'utilisation abusive de cette autorisation peut perturber les utilisateurs. Vous devez utiliser le principe du moindre privilège lorsque vous attribuez des autorisations au magasin d'identités. Vous pouvez contrôler les actions du magasin d'identités autorisées par les administrateurs de votre compte d'administration déléguée à l'aide d'une politique de contrôle des services (SCP).

L'exemple de SCP ci-dessous empêche d'affecter des utilisateurs à des groupes via l'API Identity Store et le AWS Management Console, ce qui est recommandé lorsque votre source d'identité est externe. Cela n'affecte pas la synchronisation des utilisateurs depuis Directory Service ou depuis un IdP externe (via SCIM).

**Note**  
Bien que vous utilisiez une source d'identité externe, il est possible que votre organisation s'appuie, en tout ou en partie, sur l'Identity Store APIs pour le provisionnement des utilisateurs et des groupes. Par conséquent, avant d'activer ce SCP, vous devez vérifier que votre processus de provisionnement utilisateur n'utilise pas cette opération d'API Identity Store. Reportez-vous également à la section suivante pour savoir comment limiter la gestion des adhésions à des groupes à des groupes spécifiques.

```
{
  "Version": "2012-10-17", 		 	 	 
  "Statement": [
    { "Effect": "Deny",
      "Action": ["identitystore:CreateGroupMembership"],
      "Resource": [ "*" ] }
  ]
}
```

Si vous souhaitez empêcher l'ajout d'utilisateurs uniquement aux groupes qui accordent l'accès au compte de gestion, vous pouvez référencer ces groupes spécifiques à l'aide de l'ARN du groupe au format suivant :`arn:${Partition}:identitystore:::group/${GroupId}`. Ce type de ressource, ainsi que les autres types de ressources disponibles dans l'Identity Store, sont documentés dans la [section Types de ressources définis par AWS Identity Store](https://docs.aws.amazon.com//service-authorization/latest/reference/list_awsidentitystore.html#awsodemtotustpre-resoruces-for-iam-policies) dans la *référence d'autorisation de service*. Vous pouvez également envisager d'inclure un magasin d'identité supplémentaire APIs dans le SCP. Pour plus d'informations, consultez la section [Actions](https://docs.aws.amazon.com//singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) de la référence d'API Identity Store.

En ajoutant la déclaration de politique suivante à votre SCP, vous pouvez empêcher la création de jetons porteurs SCIM par l'administrateur délégué. Vous pouvez l'appliquer aux deux sources d'identité externes. 

**Note**  
Si votre administrateur délégué doit configurer le provisionnement des utilisateurs avec SCIM ou effectuer la rotation périodique du jeton porteur SCIM, vous devrez autoriser temporairement l'accès à cette API pour permettre à l'administrateur délégué d'effectuer ces tâches.

```
    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ]
    }
```

### Limiter les actions de la banque d'identités IAM Identity Center dans le compte d'administration déléguée pour les utilisateurs gérés localement
<a name="delegated-admin-best-practices-locally-managed"></a>

Si vous créez vos utilisateurs et vos groupes directement dans IAM Identity Center, plutôt que d'utiliser un IdP externe, vous devez prendre Directory Service des précautions pour savoir qui peut créer des utilisateurs, réinitialiser les mots de passe et contrôler l'appartenance aux groupes. Ces actions confèrent à l'administrateur de grands pouvoirs pour déterminer qui peut se connecter et qui peut y accéder par le biais de l'adhésion à des groupes. Il est préférable de mettre en œuvre ces politiques sous forme de politiques intégrées dans les ensembles d'autorisations que vous utilisez pour les administrateurs de votre IAM Identity Center, plutôt que sous forme de politiques en ligne. SCPs L'exemple de politique en ligne suivant a deux objectifs. Tout d'abord, cela empêche d'ajouter des utilisateurs à des groupes spécifiques. Vous pouvez l'utiliser pour empêcher les administrateurs délégués d'ajouter des utilisateurs aux groupes qui accordent l'accès au compte de gestion. Deuxièmement, il empêche l'émission de jetons porteurs SCIM.

```
{ 
  "Version": "2012-10-17", 		 	 	 
  "Statement": [ 
  { "Effect": "Deny", 
    "Action": ["identitystore:CreateGroupMembership"],
    "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, 
                  arn:${Partition}:identitystore:::group/${GroupId2} 
                 ] 
   }
  ],
  { "Effect": "Deny", 
    "Action": ["sso-directory:CreateBearerToken"],
    "Resource": [ "*" ] }
  ]
}
```

### Séparez la gestion de la configuration d'IAM Identity Center de la gestion PermissionSet
<a name="delegated-admin-best-practices-configuration-management"></a>

Séparez les tâches administratives, notamment la modification de la source d'identité externe, la gestion des jetons SCIM, la configuration du délai d'expiration des sessions, des tâches de création, de modification et d'attribution d'ensembles d'autorisations en créant des ensembles d'autorisations d'administration distincts à partir de votre compte de gestion.

### Limiter l'émission de jetons au porteur SCIM
<a name="delegated-admin-best-practices-limit-tokens"></a>

Les jetons porteurs SCIM permettent à une source d'identité externe de fournir des informations aux utilisateurs, aux groupes et aux appartenances à des groupes via le protocole SCIM lorsque la source d'identité de votre centre d'identité IAM est un IdP externe tel qu'Okta ou Entra ID. Vous pouvez configurer le SCP suivant pour empêcher la création de jetons porteurs SCIM par les administrateurs délégués. Si votre administrateur délégué doit configurer le provisionnement des utilisateurs avec SCIM ou effectuer la rotation périodique du jeton porteur SCIM, vous devrez autoriser temporairement l'accès à cette API pour permettre à l'administrateur délégué d'effectuer ces tâches.

```
    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ] 
}
```

### Utilisez des balises d'ensembles d'autorisations et des listes de comptes pour déléguer l'administration de comptes spécifiques
<a name="delegated-admin-best-practices-specific-accounts"></a>

Vous pouvez créer des ensembles d'autorisations que vous attribuez à vos administrateurs IAM Identity Center afin de déléguer qui peut créer des ensembles d'autorisations et qui peut attribuer quels ensembles d'autorisations à quels comptes. Cela se fait en balisant les ensembles d'autorisations et en utilisant des conditions de politique dans les ensembles d'autorisations que vous attribuez à vos administrateurs. Par exemple, vous pouvez créer des ensembles d'autorisations qui permettent à un utilisateur de créer des ensembles d'autorisations à condition qu'ils soient balisés d'une certaine manière. Vous pouvez également créer des politiques qui permettent à un administrateur d'attribuer des ensembles d'autorisations dotés d'une étiquette spécifique dans des comptes spécifiques. Cela peut vous aider à déléguer la gestion des comptes sans donner à un administrateur les privilèges nécessaires pour modifier son accès et ses privilèges sur le compte d'administration déléguée. Par exemple, en balisant les ensembles d'autorisations que vous utilisez uniquement dans le compte d'administration déléguée, vous pouvez définir une politique qui autorise uniquement certaines personnes à modifier les ensembles d'autorisations et les attributions qui affectent le compte d'administration déléguée. Vous pouvez également autoriser d'autres personnes à gérer une liste de comptes en dehors du compte d'administration déléguée. Pour en savoir plus, consultez la section [Délégation de la gestion des ensembles d'autorisations et de l'attribution de comptes AWS IAM Identity Center dans](https://aws.amazon.com/blogs/security/delegating-permission-set-management-and-account-assignment-in-aws-iam-identity-center/) le *blog sur la AWS sécurité*.

## Conditions préalables
<a name="delegated-admin-prereqs"></a>

Avant de pouvoir enregistrer un compte en tant qu'administrateur délégué, vous devez d'abord déployer l'environnement suivant :
+ AWS Organizations doit être activé et configuré avec au moins un compte membre en plus de votre compte de gestion par défaut. 
+ Si votre source d'identité est définie sur Active Directory, la [Synchronisation AD configurable par IAM Identity Center](provision-users-from-ad-configurable-ADsync.md) fonctionnalité doit être activée.

# Enregistrez un compte membre
<a name="delegated-admin-how-to-register"></a>

Pour configurer l'administration déléguée, vous devez d'abord enregistrer un compte membre dans votre organisation en tant qu'administrateur délégué. Les utilisateurs de ce compte membre disposant d'autorisations suffisantes auront un accès administratif à IAM Identity Center. Une fois qu'un compte membre est correctement enregistré pour l'administration déléguée, il est appelé *compte d'administrateur délégué*. Pour en savoir plus sur les tâches que le compte administrateur délégué peut effectuer, consultez[Compte AWS types](manage-your-accounts.md#account-types).

IAM Identity Center prend en charge l'enregistrement d'un seul compte membre en tant qu'administrateur délégué à la fois. Vous ne pouvez créer un compte membre que lorsque vous êtes connecté avec les informations d'identification du compte de gestion.

Utilisez la procédure suivante pour accorder un accès administratif à IAM Identity Center en enregistrant un compte de membre spécifique dans votre AWS organisation en tant qu'administrateur délégué.

**Important**  
Cette opération délègue l'accès administratif d'IAM Identity Center aux utilisateurs administrateurs de ce compte membre. Tous les utilisateurs disposant d'autorisations suffisantes pour ce compte d'administrateur délégué peuvent effectuer toutes les tâches administratives d'IAM Identity Center à partir de ce compte, à l'exception de :   
Activation du centre d'identité IAM
Suppression des configurations du centre d'identité IAM
Gestion des ensembles d'autorisations fournis dans le compte de gestion
Enregistrer ou désenregistrer d'autres comptes membres en tant qu'administrateurs délégués
Activation ou désactivation de l'accès utilisateur dans le compte de gestion
L'administrateur délégué peut modifier l'appartenance au groupe.

**Pour créer un compte membre**

1. Connectez-vous à l' AWS Management Console aide des informations d'identification de votre compte de gestion dans AWS Organizations. Les informations d'identification du compte de gestion sont requises pour exécuter l'[RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)API.

1. Sélectionnez la région dans laquelle IAM Identity Center est activé, puis ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Choisissez **Paramètres**, puis sélectionnez l'onglet **Gestion**.

1. Dans la section **Administrateur délégué**, choisissez **Enregistrer un compte**.

1. Sur la page **Enregistrer un administrateur délégué**, sélectionnez celui que Compte AWS vous souhaitez enregistrer, puis choisissez **Enregistrer un compte**.

# Annuler l'enregistrement d'un compte membre
<a name="delegated-admin-how-to-deregister"></a>

Vous ne pouvez annuler l'enregistrement d'un compte membre que lorsque vous êtes connecté avec les informations d'identification du compte de gestion.

Utilisez la procédure suivante pour supprimer l'accès administratif à IAM Identity Center en annulant l'enregistrement d'un compte de membre de votre AWS organisation qui avait été précédemment désigné comme administrateur délégué.

**Important**  
Lorsque vous désenregistrez un compte, vous empêchez effectivement tous les utilisateurs administrateurs de gérer IAM Identity Center à partir de ce compte. Par conséquent, ils ne peuvent plus administrer les identités IAM Identity Center, la gestion des accès, l'authentification ou l'accès aux applications à partir de ce compte. Cette opération n'affectera aucune autorisation ou attribution configurée dans IAM Identity Center et n'aura donc aucun impact sur vos utilisateurs finaux, car ils continueront d'avoir accès à leurs applications et Comptes AWS depuis le portail AWS d'accès.

**Pour annuler l'enregistrement d'un compte de membre**

1. Connectez-vous à l' AWS Management Console aide des informations d'identification de votre compte de gestion dans AWS Organizations. Les informations d'identification du compte de gestion sont requises pour exécuter l'[DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html)API.

1. Sélectionnez la région dans laquelle IAM Identity Center est activé, puis ouvrez la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Choisissez **Paramètres**, puis sélectionnez l'onglet **Gestion**.

1. Dans la section **Administrateur délégué**, choisissez **Désenregistrer** le compte.

1. Dans la boîte de dialogue **Désenregistrer le compte**, examinez les implications en matière de sécurité, puis entrez le nom du compte membre pour confirmer que vous avez bien compris. 

1. Choisissez **Désenregistrer** le compte.

# Afficher quel compte de membre a été enregistré en tant qu'administrateur délégué
<a name="delegated-admin-how-to-view-member-account"></a>

Suivez la procédure ci-dessous pour savoir quel compte de membre AWS Organizations a été configuré en tant qu'administrateur délégué pour IAM Identity Center.

**Pour consulter votre compte de membre enregistré**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**. 

1. Dans la section **Détails**, recherchez le nom du compte enregistré sous **Administrateur délégué**. Vous pouvez également trouver ces informations en sélectionnant l'onglet **Gestion** et en les consultant dans la section **Administrateur délégué**.

# Accès surélevé temporaire pour Comptes AWS
<a name="temporary-elevated-access"></a>

Tout accès au vôtre Compte AWS implique un certain niveau de privilège. Les opérations sensibles, telles que la modification de la configuration d'un environnement de production, nécessitent un traitement spécial en raison de leur portée et de leur impact potentiel. L'accès élevé temporaire (également appelé just-in-time accès) est un moyen de demander, d'approuver et de suivre l'utilisation d'une autorisation pour effectuer une tâche spécifique pendant une période spécifiée. L'accès élevé temporaire complète d'autres formes de contrôle d'accès, telles que les ensembles d'autorisations et l'authentification multifactorielle.

**Note**  
Pour garantir la continuité des activités, nous vous recommandons de [configurer un accès d'urgence au AWS Management Console](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html).

Pour répondre aux besoins de nombreux clients, AWS IAM Identity Center s'intègre aux solutions des partenaires AWS Security Competency. AWS confirme que ces solutions répondent à un ensemble commun d'exigences en matière d'accès élevé temporaire. Nous vous recommandons d'examiner attentivement la solution de chaque partenaire afin de choisir celle qui correspond le mieux à vos besoins et préférences, notamment à votre activité, à l'architecture de votre environnement cloud et à votre budget.

Les solutions validées incluent la [plateforme de gestion des accès Apono](https://www.apono.io/), [CyberArk Secure Cloud Access](https://www.cyberark.com/products/secure-cloud-access/), [Okta Access Requests](https://help.okta.com/en-us/Content/Topics/identity-governance/access-requests/ar-overview.htm) et [Tenable](https://ermetic.com/solution/just-in-time/) (anciennement Ermetic).

Les partenaires peuvent proposer des solutions à l'aide de l'application AWS Security Competency dans Partner Center. Pour plus d'informations, consultez la section [Partenaires AWS de compétences en matière de sécurité](https://aws.amazon.com/security/partner-solutions/).

**Note**  
Si vous utilisez Amazon Elastic AWS Key Management Service Kubernetes Service basé sur les ressources [ou consultez Référencer les ensembles d'autorisations dans les politiques de ressources, les cartes de AWS KMS configuration du cluster Amazon EKS et les politiques](https://docs.aws.amazon.com/singlesignon/latest/userguide/referencingpermissionsets.html) clés avant de choisir votre solution. just-in-time

# Accès par authentification unique à Comptes AWS
<a name="useraccess"></a>

Vous pouvez attribuer aux utilisateurs de votre annuaire connecté des autorisations d'accès au compte de gestion ou aux comptes de membres de votre organisation en AWS Organizations fonction des [fonctions professionnelles courantes](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html). Vous pouvez également utiliser des autorisations personnalisées pour répondre à vos spécifications de sécurité spécifiques. Par exemple, vous pouvez accorder aux administrateurs de base de données des autorisations étendues sur Amazon RDS dans les comptes de développement, mais limiter leurs autorisations dans les comptes de production. IAM Identity Center configure automatiquement toutes les autorisations utilisateur nécessaires dans votre Comptes AWS système.

**Note**  
Vous devrez peut-être accorder à des utilisateurs ou à des groupes des autorisations pour opérer dans le compte AWS Organizations de gestion. Comme il s'agit d'un compte hautement privilégié, des restrictions de sécurité supplémentaires nécessitent que vous disposiez de la politique [IAMFulld'accès](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) ou d'autorisations équivalentes avant de pouvoir le configurer. Ces restrictions de sécurité supplémentaires ne sont requises pour aucun des comptes membres de votre AWS organisation.

**Topics**
+ [Attribuer l'accès d'un utilisateur ou d'un groupe à Comptes AWS](assignusers.md)
+ [Supprimer l'accès des utilisateurs et des groupes à un Compte AWS](howtoremoveaccess.md)
+ [Révoquer les sessions de rôle IAM actives créées par des ensembles d'autorisations](revoke-user-permissions.md)
+ [Déléguer les personnes habilitées à attribuer un accès d'authentification unique aux utilisateurs et aux groupes du compte de gestion](howtodelegatessoaccess.md)

# Attribuer l'accès d'un utilisateur ou d'un groupe à Comptes AWS
<a name="assignusers"></a>

Utilisez la procédure suivante pour attribuer un accès par authentification unique aux utilisateurs et aux groupes de votre annuaire connecté et utiliser des ensembles d'autorisations pour déterminer leur niveau d'accès.

Pour vérifier l'accès des utilisateurs et des groupes existants, voir[Afficher et modifier un ensemble d'autorisations](howtoviewandchangepermissionset.md).

**Note**  
Pour simplifier l'administration des autorisations d'accès, nous vous recommandons d'attribuer l'accès directement aux groupes et non pas aux différents utilisateurs. Avec les groupes, vous pouvez accorder ou refuser des autorisations à des groupes d'utilisateurs au lieu d'avoir à les appliquer individuellement à chaque utilisateur. Si un utilisateur change d'organisation, il vous suffit de le déplacer dans un autre groupe et il reçoit automatiquement les autorisations nécessaires pour la nouvelle organisation.

**Pour attribuer un accès à un utilisateur ou à un groupe à Comptes AWS**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**Note**  
Assurez-vous que la console IAM Identity Center utilise la région dans laquelle se trouve votre AWS Managed Microsoft AD répertoire avant de passer à l'étape suivante.

1. Dans le volet de navigation, sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**.

1. Sur la **Comptes AWS**page, une liste arborescente de votre organisation s'affiche. Cochez la case à côté de Compte AWS laquelle vous souhaitez attribuer l'accès. Si vous configurez l'accès administratif pour IAM Identity Center, cochez la case à côté du compte de gestion.
**Note**  
Vous pouvez en sélectionner jusqu'à 10 Comptes AWS à la fois par ensemble d'autorisations lorsque vous attribuez un accès par authentification unique à des utilisateurs et à des groupes. Pour en attribuer plus de 10 Comptes AWS au même ensemble d'utilisateurs et de groupes, répétez cette procédure selon les besoins pour les comptes supplémentaires. Lorsque vous y êtes invité, sélectionnez les mêmes utilisateurs, groupes et ensembles d'autorisations.

1. Choisissez **Attribuer des utilisateurs ou des groupes**. 

1. Pour **l'étape 1 : sélectionner les utilisateurs et les groupes**, sur la page **Attribuer des utilisateurs et des groupes à *AWS-account-name* « »**, procédez comme suit :

   1. Dans l'onglet **Utilisateurs**, sélectionnez un ou plusieurs utilisateurs auxquels vous souhaitez accorder l'accès par authentification unique.

      Pour filtrer les résultats, commencez à saisir le nom de l'utilisateur souhaité dans le champ de recherche.

   1. Dans l'onglet **Groupes**, sélectionnez un ou plusieurs groupes auxquels vous souhaitez accorder un accès par authentification unique.

      Pour filtrer les résultats, commencez à taper le nom du groupe souhaité dans le champ de recherche.

   1. Pour afficher les utilisateurs et les groupes que vous avez sélectionnés, choisissez le triangle latéral à côté de **Utilisateurs et groupes sélectionnés**.

   1. Après avoir confirmé que les utilisateurs et les groupes sélectionnés sont corrects, choisissez **Next**.

1. Pour **l'étape 2 : sélectionner des ensembles d'autorisations**, sur la page **Attribuer des ensembles d'autorisations à *AWS-account-name* « »**, procédez comme suit :

   1. Sélectionnez un ou plusieurs ensembles d'autorisations. Si nécessaire, vous pouvez créer et sélectionner de nouveaux ensembles d'autorisations.
      + Pour sélectionner un ou plusieurs ensembles d'autorisations existants, sous **Ensembles** d'autorisations, sélectionnez les ensembles d'autorisations que vous souhaitez appliquer aux utilisateurs et aux groupes que vous avez sélectionnés à l'étape précédente.
      + Pour créer un ou plusieurs nouveaux ensembles d'autorisations, choisissez **Créer un ensemble d'autorisations** et suivez les étapes décrites dans[Crée un jeu d'autorisations](howtocreatepermissionset.md). Après avoir créé les ensembles d'autorisations que vous souhaitez appliquer, dans la console IAM Identity Center, revenez **Comptes AWS**et suivez les instructions jusqu'à ce que vous atteigniez l'**étape 2 : Sélectionnez les ensembles d'autorisations**. Lorsque vous atteignez cette étape, sélectionnez les nouveaux ensembles d'autorisations que vous avez créés et passez à l'étape suivante de cette procédure.

   1. Après avoir confirmé que les ensembles d'autorisations appropriés sont sélectionnés, choisissez **Next**.

1. Pour **l'étape 3 : Réviser et envoyer**, sur la page **Réviser et envoyer les devoirs à *AWS-account-name* « »**, procédez comme suit :

   1. Passez en revue les utilisateurs, les groupes et les ensembles d'autorisations sélectionnés.

   1. Après avoir confirmé que les utilisateurs, groupes et ensembles d'autorisations appropriés sont sélectionnés, choisissez **Soumettre**.

**Considérations**
   + Le processus d'attribution des utilisateurs et des groupes peut prendre quelques minutes. Laissez cette page ouverte jusqu'à ce que le processus soit terminé avec succès.
   + 
**Note**  
Vous devrez peut-être accorder à des utilisateurs ou à des groupes des autorisations pour opérer dans le compte AWS Organizations de gestion. Comme il s'agit d'un compte hautement privilégié, des restrictions de sécurité supplémentaires nécessitent que vous disposiez de la politique [IAMFulld'accès](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/IAMFullAccess) ou d'autorisations équivalentes avant de pouvoir le configurer. Ces restrictions de sécurité supplémentaires ne sont requises pour aucun des comptes membres de votre AWS organisation.

1. Si l'une des conditions suivantes s'applique, suivez les étapes décrites [Inviter les utilisateurs à utiliser le MFA](mfa-getting-started.md) pour activer le MFA pour IAM Identity Center :
   + Vous utilisez le répertoire Identity Center par défaut comme source d'identité.
   + Vous utilisez un AWS Managed Microsoft AD annuaire ou un répertoire autogéré dans Active Directory comme source d'identité et vous n'utilisez pas RADIUS AWS Directory Service MFA avec.
**Note**  
Si vous utilisez un fournisseur d'identité externe, notez que c'est l'IdP externe, et non IAM Identity Center, qui gère les paramètres MFA. L'authentification MFA dans IAM Identity Center n'est pas prise en charge pour une utilisation par des tiers. IdPs 

Lorsque vous configurez l'accès au compte pour l'utilisateur administratif, IAM Identity Center crée un rôle IAM correspondant. Ce rôle, qui est contrôlé par IAM Identity Center, est créé dans le répertoire approprié Compte AWS, et les politiques spécifiées dans le jeu d'autorisations sont associées au rôle. 

Vous pouvez également utiliser [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html)pour créer et attribuer des ensembles d'autorisations et affecter des utilisateurs à ces ensembles d'autorisations. Les utilisateurs peuvent ensuite se [connecter au portail AWS d'accès](howtosignin.md) ou utiliser les commandes [AWS Command Line Interface (AWS CLI)](https://docs.aws.amazon.com/singlesignon/latest/userguide/integrating-aws-cli.html).

# Supprimer l'accès des utilisateurs et des groupes à un Compte AWS
<a name="howtoremoveaccess"></a>

Utilisez cette procédure pour supprimer l'accès par authentification unique Compte AWS à un ou plusieurs utilisateurs et groupes de votre annuaire connecté. Vous pouvez également utiliser le kit [delete-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/delete-account-assignment.html) AWS CLI.

**Note**  
Lorsque vous devez déprovisionner des utilisateurs ou des groupes IAM Identity Center, vous devez d'abord [supprimer toute attribution d'ensembles d'autorisations](howtoremovepermissionset.md) à vos utilisateurs et groupes avant de supprimer les utilisateurs et les groupes.

**Pour supprimer l'accès des utilisateurs et des groupes à un Compte AWS**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Dans le volet de navigation, sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**.

1. Sur la **Comptes AWS**page, une liste arborescente de votre organisation apparaît. Sélectionnez le nom Compte AWS qui contient les utilisateurs et les groupes pour lesquels vous souhaitez supprimer l'accès par authentification unique.

1. Sur la page **d'aperçu** de Compte AWS, sous **Utilisateurs et groupes assignés**, sélectionnez le nom d'un ou de plusieurs utilisateurs ou groupes, puis choisissez **Supprimer l'accès**.

1. Dans la boîte de dialogue **Supprimer l'accès**, vérifiez que les noms des utilisateurs ou des groupes sont corrects, puis choisissez **Supprimer l'accès**. 

# Révoquer les sessions de rôle IAM actives créées par des ensembles d'autorisations
<a name="revoke-user-permissions"></a>

 La procédure générale suivante permet de révoquer une session d'ensemble d'autorisations active pour un utilisateur d'IAM Identity Center. La procédure part du principe que vous souhaitez supprimer tout accès à un utilisateur dont les informations d'identification ont été compromises ou à un acteur malveillant présent dans le système. La condition préalable est d'avoir suivi les directives en[Préparez-vous à révoquer une session de rôle IAM active créée par un ensemble d'autorisations](prereqs-revoking-user-permissions.md#prepare-to-revoke-session). Nous supposons que la politique de refus de tout est présente dans une politique de contrôle des services (SCP). 

**Note**  
AWS vous recommande de créer une automatisation pour gérer toutes les étapes, à l'exception des opérations relatives à la console uniquement.

1. **Obtenez le nom d'utilisateur de la personne dont vous devez révoquer l'accès.** Vous pouvez utiliser le magasin d'identité APIs pour trouver l'utilisateur à l'aide de son nom d'utilisateur.

1. **Mettez à jour la politique de refus pour ajouter l'ID utilisateur de l'étape 1 dans votre politique de contrôle des services (SCP).** Une fois cette étape terminée, l'utilisateur cible perd son accès et n'est plus en mesure d'effectuer des actions avec les rôles concernés par la politique.

1. **Supprimez tous les ensembles d'autorisations attribués à l'utilisateur.** Si l'accès est attribué par le biais d'appartenances à des groupes, supprimez l'utilisateur de tous les groupes et de toutes les attributions directes d'ensembles d'autorisations. Cette étape empêche l'utilisateur d'assumer des rôles IAM supplémentaires. Si un utilisateur possède une session active sur le portail d' AWS accès et que vous le désactivez, il peut continuer à assumer de nouveaux rôles jusqu'à ce que vous supprimiez son accès. 

1. **Si vous utilisez un fournisseur d'identité (IdP) ou Microsoft Active Directory comme source d'identité, désactivez l'utilisateur dans la source d'identité.** La désactivation de l'utilisateur empêche la création de sessions supplémentaires sur le portail AWS d'accès. Utilisez la documentation de votre IdP ou de l'API Microsoft Active Directory pour savoir comment automatiser cette étape. Si vous utilisez le répertoire IAM Identity Center comme source d'identité, ne désactivez pas encore l'accès des utilisateurs. Vous allez désactiver l'accès des utilisateurs à l'étape 6.

1.  **Dans la console IAM Identity Center, recherchez l'utilisateur et supprimez sa session active.** 

   1. Choisissez **Utilisateurs**.

   1. Choisissez l'utilisateur dont vous souhaitez supprimer la session active.

   1. Sur la page détaillée de l'utilisateur, choisissez l'onglet **Sessions actives**.

   1. Cochez les cases à côté des sessions que vous souhaitez supprimer et choisissez **Supprimer la session**.

    Après avoir supprimé une session utilisateur, l'utilisateur perd immédiatement l'accès au portail AWS d'accès. En savoir plus sur [la durée des sessions](authconcept.md). 

1. **Dans la console IAM Identity Center, désactivez l'accès des utilisateurs.**

   1. Choisissez **Utilisateurs**.

   1. Choisissez l'utilisateur dont vous souhaitez désactiver l'accès.

   1. Sur la page détaillée de l'utilisateur, développez **Informations générales** et cliquez sur le bouton **Désactiver l'accès utilisateur** pour empêcher toute nouvelle connexion de l'utilisateur. 

1. **Laissez la politique de refus en place pendant au moins 12 heures.** Dans le cas contraire, l'utilisateur disposant d'une session de rôle IAM active aura restauré les actions avec le rôle IAM. Si vous attendez 12 heures, les sessions actives expirent et l'utilisateur ne pourra plus accéder au rôle IAM.

**Important**  
Si vous désactivez l'accès d'un utilisateur avant d'arrêter la session utilisateur (vous avez effectué l'étape 6 sans terminer l'étape 5), vous ne pouvez plus arrêter la session utilisateur via la console IAM Identity Center. Si vous désactivez par inadvertance l'accès utilisateur avant d'arrêter la session utilisateur, vous pouvez réactiver l'utilisateur, arrêter sa session, puis désactiver à nouveau son accès.

 Vous pouvez désormais modifier les informations d'identification de l'utilisateur si son mot de passe a été compromis et [rétablir ses attributions](useraccess.md). 

# Déléguer les personnes habilitées à attribuer un accès d'authentification unique aux utilisateurs et aux groupes du compte de gestion
<a name="howtodelegatessoaccess"></a>

L'attribution d'un accès d'authentification unique au compte de gestion à l'aide de la console IAM Identity Center est une action privilégiée. Par défaut, seul un Utilisateur racine d'un compte AWS ou un utilisateur auquel **AWSSSOMasterAccountAdministrator**les politiques **IAMFullAccess** AWS gérées sont associées peut attribuer un accès par authentification unique au compte de gestion. Les **IAMFullAccess**politiques **AWSSSOMasterAccountAdministrator**et gèrent l'accès par authentification unique au compte de gestion au sein d'une AWS Organizations organisation.

Vous pouvez également l'utiliser AWS CLI pour créer, associer des politiques et attribuer des ensembles d'autorisations. Voici la liste des commandes pour chaque étape :
+ Pour créer un ensemble d'autorisations : [create-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-permission-set.html)
+ Pour attacher AWS Managed Policy à un ensemble d'autorisations : [attach-managed-policy-to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-managed-policy-to-permission-set.html)
+ Pour associer une politique gérée par le client à un ensemble d'autorisations : [attach-customer-managed-policy- to-permission-set](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/attach-customer-managed-policy-reference-to-permission-set.html)
+ Pour attribuer un ensemble d'autorisations à un directeur : [create-account-assignment](https://docs.aws.amazon.com//cli/latest/reference/sso-admin/create-account-assignment.html)

Suivez les étapes ci-dessous pour déléguer des autorisations afin de gérer l'accès par authentification unique aux utilisateurs et aux groupes de votre annuaire.

**Pour accorder des autorisations permettant de gérer l'accès par authentification unique aux utilisateurs et aux groupes de votre annuaire**

1. Connectez-vous à la console IAM Identity Center en tant qu'utilisateur root du compte de gestion ou avec un autre utilisateur disposant d'autorisations d'administrateur sur le compte de gestion.

1. Suivez les étapes décrites [Crée un jeu d'autorisations](howtocreatepermissionset.md) pour créer un ensemble d'autorisations, puis procédez comme suit :

   1. Sur la page **Créer un nouvel ensemble d'autorisations**, cochez la case **Créer un ensemble d'autorisations personnalisé**, puis choisissez **Suivant : Détails**.

   1. Sur la **page Créer un nouvel ensemble d'autorisations**, spécifiez un nom pour le jeu d'autorisations personnalisé et éventuellement une description. Si nécessaire, modifiez la durée de la session et spécifiez l'URL de l'état du relais. 
**Note**  
Pour l'URL de l'état du relais, vous devez spécifier une URL qui se trouve dans le AWS Management Console. Par exemple :  
 **https://console.aws.amazon.com/ec2/**  
Pour de plus amples informations, veuillez consulter [Réglez l'état du relais pour un accès rapide au AWS Management Console](howtopermrelaystate.md).

   1. Sous **Quelles politiques souhaitez-vous inclure dans votre ensemble d'autorisations ?** , cochez la case **Joindre les politiques AWS gérées**.

   1. Dans la liste des politiques IAM, sélectionnez à la fois les politiques **AWSSSOMasterAccountAdministrator**et les politiques **IAMFullAccess** AWS gérées. Ces politiques accordent des autorisations à tous les utilisateurs et groupes auxquels l'accès à cet ensemble d'autorisations sera attribué à l'avenir.

   1. Choisissez **Suivant : Balises**.

   1. Sous **Ajouter des balises (facultatif)**, spécifiez les valeurs de **clé** et de **valeur (facultatif)**, puis choisissez **Suivant : Révision**. Pour en savoir plus sur les identifications, consultez [Ressources de balisage AWS IAM Identity Center](tagging.md).

   1. Passez en revue les sélections que vous avez effectuées, puis choisissez **Créer**.

1. Suivez les étapes décrites [Attribuer l'accès d'un utilisateur ou d'un groupe à Comptes AWS](assignusers.md) pour attribuer les utilisateurs et les groupes appropriés à l'ensemble d'autorisations que vous venez de créer.

1. Communiquez ce qui suit aux utilisateurs assignés : Lorsqu'ils se connectent au portail AWS d'accès et choisissent l'onglet **Comptes**, ils doivent choisir le nom de rôle approprié pour être authentifiés avec les autorisations que vous venez de déléguer.

# Gérer Comptes AWS avec des ensembles d'autorisations
<a name="permissionsetsconcept"></a>

Un ensemble d'autorisations est un modèle que vous créez et gérez qui définit un ensemble d'une ou plusieurs [politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html). Les ensembles d'autorisations simplifient l'attribution des Compte AWS accès aux utilisateurs et aux groupes de votre organisation. Par exemple, vous pouvez créer un ensemble d'autorisations d'*administrateur de base* de données qui inclut des politiques d'administration des services AWS RDS, DynamoDB et Aurora, et utiliser cet ensemble d'autorisations unique pour accorder l'accès à une liste de cibles [AWS au sein](https://aws.amazon.com/organizations/) de votre organisation à vos administrateurs Comptes AWS de base de données.

IAM Identity Center attribue l'accès à un utilisateur ou à un groupe dans un ou plusieurs ensembles Comptes AWS d'autorisations. Lorsque vous attribuez un ensemble d'autorisations, IAM Identity Center crée les rôles IAM contrôlés par IAM Identity Center correspondants dans chaque compte et associe les politiques spécifiées dans le jeu d'autorisations à ces rôles. IAM Identity Center gère le rôle et permet aux utilisateurs autorisés que vous avez définis d'assumer ce rôle à l'aide du portail utilisateur ou de la CLI AWS d'IAM Identity Center.  Lorsque vous modifiez l'ensemble d'autorisations, IAM Identity Center veille à ce que les politiques et rôles IAM correspondants soient mis à jour en conséquence.

Vous pouvez ajouter des [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies), des [politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies), [des politiques intégrées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#inline-policies) et des [politiques AWS gérées pour les fonctions professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) à vos ensembles d'autorisations. Vous pouvez également attribuer une politique AWS gérée ou une politique gérée par le client comme [limite d'autorisation](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).

Pour créer un ensemble d'autorisations, voir[Création, gestion et suppression des jeux d’autorisations](permissionsets.md).

## Créez un ensemble d'autorisations qui applique les autorisations du moindre privilège
<a name="get-started-create-permission-set-to-grant-least-privilege-permissions"></a>

Pour suivre la meilleure pratique consistant à appliquer des autorisations de moindre privilège, après avoir créé un ensemble d'autorisations administratives, vous créez un ensemble d'autorisations plus restrictif et vous l'attribuez à un ou plusieurs utilisateurs. Les ensembles d'autorisations créés lors de la procédure précédente constituent un point de départ pour évaluer le niveau d'accès aux ressources dont vos utilisateurs ont besoin. Pour passer aux autorisations du moindre privilège, vous pouvez exécuter IAM Access Analyzer pour surveiller les principaux à l'aide AWS de politiques gérées. Lorsque vous savez quelles autorisations ils utilisent, vous pouvez écrire une politique personnalisée ou générer une politique avec uniquement les autorisations requises pour votre équipe. 

Avec IAM Identity Center, vous pouvez attribuer plusieurs ensembles d'autorisations au même utilisateur. Votre utilisateur administratif doit également se voir attribuer des ensembles d'autorisations supplémentaires, plus restrictifs. De cette façon, ils peuvent accéder à vous uniquement Compte AWS avec les autorisations requises, au lieu de toujours utiliser leurs autorisations administratives.

Par exemple, si vous êtes développeur, après avoir créé votre utilisateur administratif dans IAM Identity Center, vous pouvez créer un nouvel ensemble d'autorisations qui octroie des `PowerUserAccess` autorisations, puis vous attribuer cet ensemble d'autorisations. Contrairement à l'ensemble d'autorisations administratives, qui utilise des `AdministratorAccess` autorisations, le jeu `PowerUserAccess ` d'autorisations ne permet pas la gestion des utilisateurs et des groupes IAM. Lorsque vous vous connectez au portail AWS d'accès pour accéder à votre AWS compte, vous pouvez choisir d'effectuer des tâches de développement dans le compte `PowerUserAccess` plutôt que de le `AdministratorAccess` faire.

Gardez les considérations suivantes à l'esprit :
+ **Pour commencer rapidement à créer un ensemble d'autorisations plus restrictif, utilisez un ensemble d'autorisations prédéfini plutôt qu'un ensemble d'autorisations personnalisé.** 

  Avec un ensemble d'autorisations prédéfini, qui utilise [des autorisations prédéfinies](permissionsetpredefined.md), vous choisissez une seule politique AWS gérée parmi la liste des politiques disponibles. Chaque politique accorde un niveau spécifique d'accès aux AWS services et aux ressources ou des autorisations pour une fonction professionnelle commune. Pour plus d'informations sur chacune de ces politiques, consultez la section [Politiques AWS gérées pour les fonctions de travail](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html). 
+ **Vous pouvez configurer la durée de session pour un ensemble d'autorisations afin de contrôler la durée pendant laquelle un utilisateur est connecté à un Compte AWS.** 

  Lorsque les utilisateurs se fédérent dans leur Compte AWS et utilisent la console de AWS gestion ou l'interface de ligne de AWS commande (AWS CLI), IAM Identity Center utilise le paramètre de durée de session indiqué dans le jeu d'autorisations pour contrôler la durée de la session. Par défaut, la valeur de la **durée de session**, qui détermine la durée pendant laquelle un utilisateur peut être connecté ou Compte AWS avant AWS de le déconnecter de la session, est définie sur une heure. Vous pouvez spécifier une valeur maximale de 12 heures. Pour de plus amples informations, veuillez consulter [Définissez la durée de session pour Comptes AWS](howtosessionduration.md).
+ **Vous pouvez également configurer la durée de session du portail d' AWS accès pour contrôler la durée pendant laquelle un utilisateur du personnel est connecté au portail.** 

  Par défaut, la valeur de la **durée maximale de session**, qui détermine la durée pendant laquelle un utilisateur du personnel peut se connecter au portail d' AWS accès avant de devoir s'authentifier à nouveau, est de huit heures. Vous pouvez spécifier une valeur maximale de 90 jours. Pour de plus amples informations, veuillez consulter [Configuration de la durée de session dans IAM Identity Center](configure-user-session.md).
+ **Lorsque vous vous connectez au portail AWS d'accès, choisissez le rôle qui fournit les autorisations les moins privilégiées.**

  Chaque ensemble d'autorisations que vous créez et attribuez à votre utilisateur apparaît comme un rôle disponible dans le portail AWS d'accès. Lorsque vous vous connectez au portail en tant qu'utilisateur, choisissez le rôle qui correspond à l'ensemble d'autorisations le plus restrictif que vous pouvez utiliser pour effectuer des tâches dans le compte, plutôt que`AdministratorAccess`.
+ **Vous pouvez ajouter d'autres utilisateurs à IAM Identity Center et leur attribuer des ensembles d'autorisations existants ou nouveaux.**

  Pour plus d'informations, voir,[Attribuer l'accès d'un utilisateur ou d'un groupe à Comptes AWS](assignusers.md).

**Topics**
+ [Créez un ensemble d'autorisations qui applique les autorisations du moindre privilège](#get-started-create-permission-set-to-grant-least-privilege-permissions)
+ [Autorisations prédéfinies pour les politiques AWS gérées](permissionsetpredefined.md)
+ [Autorisations personnalisées pour les politiques AWS gérées et gérées par le client](permissionsetcustom.md)
+ [Création, gestion et suppression des jeux d’autorisations](permissionsets.md)
+ [Configurer les propriétés des ensembles d'autorisations](permproperties.md)

# Autorisations prédéfinies pour les politiques AWS gérées
<a name="permissionsetpredefined"></a>

Vous pouvez créer un ensemble d'autorisations prédéfini avec des politiques AWS gérées.

Lorsque vous créez un ensemble d'autorisations avec des autorisations prédéfinies, vous choisissez une politique dans une liste de politiques AWS gérées. Parmi les politiques disponibles, vous pouvez choisir entre les politiques d'**autorisation communes et les politiques relatives** aux **fonctions Job**.

**Politiques d'autorisation communes**  
Choisissez parmi une liste de politiques AWS gérées qui vous permettent d'accéder aux ressources dans votre intégralité Compte AWS. Vous pouvez ajouter l'une des politiques suivantes :  
+ AdministratorAccess
+ PowerUserAccess
+ ReadOnlyAccess
+ ViewOnlyAccess

**Politiques relatives aux fonctions professionnelles**  
Choisissez parmi une liste de politiques AWS gérées qui permettent d'accéder aux ressources de votre organisation Compte AWS susceptibles d'être pertinentes pour un poste au sein de votre organisation. Vous pouvez ajouter l'une des politiques suivantes :  
+ Billing
+ DataScientist
+ DatabaseAdministrator
+ NetworkAdministrator
+ SecurityAudit
+ SupportUser
+ SystemAdministrator

Pour une description détaillée des politiques d'autorisation communes et des politiques relatives aux fonctions professionnelles disponibles, voir [les politiques AWS gérées pour les fonctions professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) dans le *guide de Gestion des identités et des accès AWS l'utilisateur*.

Pour obtenir des instructions sur la création d'un ensemble d'autorisations, consultez[Création, gestion et suppression des jeux d’autorisations](permissionsets.md).

# Autorisations personnalisées pour les politiques AWS gérées et gérées par le client
<a name="permissionsetcustom"></a>

Vous pouvez créer un ensemble d'autorisations avec **des autorisations personnalisées**, en combinant toutes les politiques AWS gérées et gérées par le client que vous avez dans Gestion des identités et des accès AWS (IAM) avec des politiques intégrées. Vous pouvez également inclure une limite d'autorisations, en définissant le maximum d'autorisations que les autres politiques peuvent accorder aux utilisateurs de votre ensemble d'autorisations.

Pour obtenir des instructions sur la création d'un ensemble d'autorisations, consultez[Création, gestion et suppression des jeux d’autorisations](permissionsets.md).

**Types de politiques que vous pouvez associer à votre ensemble d'autorisations**

**Topics**
+ [Politiques en ligne](#permissionsetsinlineconcept)
+ [AWS politiques gérées](#permissionsetsampconcept)
+ [Politiques gérées par le client](#permissionsetscmpconcept)
+ [Limites d'autorisations](#permissionsetsboundaryconcept)

## Politiques en ligne
<a name="permissionsetsinlineconcept"></a>

Vous pouvez associer une *politique intégrée* à un ensemble d'autorisations. Une politique intégrée est un bloc de texte formaté comme une politique IAM que vous ajoutez directement à votre ensemble d'autorisations. Vous pouvez coller une politique ou en générer une nouvelle à l'aide de l'outil de création de politiques de la console IAM Identity Center lorsque vous créez un nouvel ensemble d'autorisations. Vous pouvez également créer des politiques IAM à l'aide du [générateur AWS de politiques](https://awspolicygen.s3.amazonaws.com/policygen.html).

Lorsque vous déployez un ensemble d'autorisations avec une politique intégrée, IAM Identity Center crée une stratégie IAM à l' Comptes AWS endroit où vous attribuez votre ensemble d'autorisations. IAM Identity Center crée la politique lorsque vous attribuez l'ensemble d'autorisations au compte. La politique est ensuite attachée au rôle IAM Compte AWS que votre utilisateur assume dans votre entreprise.

Lorsque vous créez une politique intégrée et que vous attribuez votre ensemble d'autorisations, IAM Identity Center configure les politiques qui s'y trouvent pour vous Comptes AWS . Lorsque vous créez votre ensemble d'autorisations avec[Politiques gérées par le client](#permissionsetscmpconcept), vous devez créer Comptes AWS vous-même les politiques avant d'attribuer l'ensemble d'autorisations.

## AWS politiques gérées
<a name="permissionsetsampconcept"></a>

Vous pouvez associer des *politiques AWS gérées* à votre ensemble d'autorisations. AWS les politiques gérées sont des politiques IAM qui AWS maintiennent. En revanche, [Politiques gérées par le client](#permissionsetscmpconcept) les politiques IAM de votre compte sont-elles créées et mises à jour ? AWS les politiques gérées répondent aux cas courants d'utilisation du moindre privilège dans votre Compte AWS Vous pouvez attribuer une politique AWS gérée en tant qu'autorisations pour le rôle créé par IAM Identity Center ou en tant que [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).

AWS maintient des [politiques AWS gérées pour les fonctions professionnelles](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) qui attribuent des autorisations d'accès spécifiques à la tâche à vos AWS ressources. Vous pouvez ajouter une politique de fonction professionnelle lorsque vous choisissez d'utiliser des **autorisations prédéfinies avec votre ensemble d'autorisations**. Lorsque vous choisissez **Autorisations personnalisées**, vous pouvez ajouter plusieurs règles relatives aux fonctions professionnelles.

Vous contient Compte AWS également un grand nombre de politiques IAM AWS gérées pour des raisons spécifiques Services AWS et combinées de Services AWS. Lorsque vous créez un ensemble d'autorisations avec **des autorisations personnalisées**, vous pouvez choisir parmi de nombreuses politiques AWS gérées supplémentaires à attribuer à votre ensemble d'autorisations.

AWS remplit chacun d'entre eux Compte AWS avec des politiques AWS gérées. Pour déployer un ensemble d'autorisations avec des politiques AWS gérées, il n'est pas nécessaire de créer au préalable une politique dans votre Comptes AWS. Lorsque vous créez votre ensemble d'autorisations avec[Politiques gérées par le client](#permissionsetscmpconcept), vous devez créer Comptes AWS vous-même les politiques avant d'attribuer l'ensemble d'autorisations.

Pour plus d'informations sur les politiques AWS gérées, voir les [politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le guide de l'utilisateur IAM.

## Politiques gérées par le client
<a name="permissionsetscmpconcept"></a>

Vous pouvez associer des *politiques gérées par le client* à votre ensemble d'autorisations. Les politiques gérées par le client sont des politiques IAM de votre compte que vous créez et gérez. En revanche, [AWS politiques gérées](#permissionsetsampconcept) les politiques IAM de votre compte sont-elles AWS maintenues ? Vous pouvez attribuer une politique gérée par le client en tant qu'autorisations pour le rôle créé par IAM Identity Center ou en tant que [limite d'autorisations](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html).

Lorsque vous créez un ensemble d'autorisations avec une politique gérée par le client, vous devez créer une stratégie IAM portant le même nom et le même chemin dans chaque Compte AWS cas où IAM Identity Center attribue votre ensemble d'autorisations. Si vous spécifiez un chemin personnalisé, assurez-vous de spécifier le même chemin pour chacun d'entre eux Compte AWS. Pour plus d'informations, consultez [Noms conviviaux et chemins](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-friendly-names) dans le *Guide de l'utilisateur IAM*. IAM Identity Center attache la politique IAM au rôle IAM qu'il crée dans votre. Compte AWS Il est recommandé d'appliquer les mêmes autorisations à la politique dans chaque compte auquel vous attribuez l'ensemble d'autorisations. Pour de plus amples informations, veuillez consulter [Utiliser les politiques IAM dans les ensembles d'autorisations](howtocmp.md). 

**Note**  
Lorsqu'une politique gérée par le client est associée à un ensemble d'autorisations, le nom de la politique ne distingue pas les majuscules et minuscules.

Pour plus d'informations, consultez la section [Politiques gérées par le client](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) dans le guide de l'utilisateur IAM.

## Limites d'autorisations
<a name="permissionsetsboundaryconcept"></a>

Vous pouvez associer une *limite d'autorisations* à votre ensemble d'autorisations. Une limite d'autorisations est une politique IAM AWS gérée ou gérée par le client qui définit le maximum d'autorisations qu'une politique basée sur l'identité peut accorder à un principal IAM. Lorsque vous appliquez une limite d'autorisations [Politiques en ligne](#permissionsetsinlineconcept)[Politiques gérées par le client](#permissionsetscmpconcept), vous [AWS politiques gérées](#permissionsetsampconcept) ne pouvez pas accorder d'autorisations dépassant les autorisations accordées par votre limite d'autorisations. Une limite d'autorisations n'accorde aucune autorisation, mais fait en sorte qu'IAM ignore toutes les autorisations au-delà de cette limite.

Lorsque vous créez un ensemble d'autorisations avec une politique gérée par le client comme limite d'autorisations, vous devez créer une politique IAM portant le même nom dans chaque Compte AWS cas où IAM Identity Center attribue votre ensemble d'autorisations. IAM Identity Center associe la politique IAM en tant que limite d'autorisation au rôle IAM qu'il crée dans votre. Compte AWS 

Pour plus d'informations, consultez [Limites d'autorisations pour des entités IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) dans le Guide de l'utilisateur IAM.

# Création, gestion et suppression des jeux d’autorisations
<a name="permissionsets"></a>

Les ensembles d'autorisations définissent le niveau d'accès des utilisateurs et des groupes à un Compte AWS. Les ensembles d'autorisations sont stockés dans IAM Identity Center et peuvent être fournis à une ou plusieurs personnes. Comptes AWS Vous pouvez attribuer plus d'un jeu d'autorisations à un utilisateur. Pour plus d'informations sur les ensembles d'autorisations et leur utilisation dans IAM Identity Center, consultez[Gérer Comptes AWS avec des ensembles d'autorisations](permissionsetsconcept.md).

**Note**  
Vous pouvez rechercher et trier les ensembles d'autorisations par nom dans la console IAM Identity Center.

Tenez compte des considérations suivantes lors de la création d'ensembles d'autorisations :
+ **Instance d'organisation**

  Pour utiliser des ensembles d'autorisations, vous devez utiliser une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
+ **Commencez avec un ensemble d'autorisations prédéfini** 

  Avec un ensemble d'autorisations prédéfini, qui utilise [des autorisations prédéfinies](permissionsetpredefined.md), vous choisissez une seule politique AWS gérée parmi la liste des politiques disponibles. Chaque politique accorde un niveau spécifique d'accès aux AWS services et aux ressources ou des autorisations pour une fonction professionnelle commune. Pour plus d'informations sur chacune de ces politiques, consultez la section [Politiques AWS gérées pour les fonctions de travail](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html). Après avoir collecté les données d'utilisation, vous pouvez affiner l'ensemble d'autorisations pour le rendre plus restrictif.
+ **Limiter la durée des sessions de gestion à des périodes de travail raisonnables** 

  Lorsque les utilisateurs se fédérent dans leur interface de ligne de AWS commande (CLI) Compte AWS et utilisent l' AWS Management Console interface de ligne de commande (AWS CLI), IAM Identity Center utilise le paramètre de durée de session indiqué dans le jeu d'autorisations pour contrôler la durée de la session. Lorsque la session utilisateur atteint sa durée de session, il est déconnecté de la console et invité à se reconnecter. Comme bonne pratique de sécurité, nous vous recommandons de ne pas définir une durée de la session plus longue que ce qui est nécessaire pour exécuter le rôle. Par défaut, la valeur de la **durée de session** est d'une heure. Vous pouvez spécifier une valeur maximale de 12 heures. Pour de plus amples informations, veuillez consulter [Définissez la durée de session pour Comptes AWS](howtosessionduration.md).
+ **Limiter la durée de session du portail utilisateur du personnel** 

  Les utilisateurs du personnel utilisent les sessions du portail pour choisir les rôles et accéder aux applications. Par défaut, la valeur de la **durée maximale de session**, qui détermine la durée pendant laquelle un utilisateur du personnel peut se connecter au portail d' AWS accès avant de devoir s'authentifier à nouveau, est de huit heures. Vous pouvez spécifier une valeur maximale de 90 jours. Pour de plus amples informations, veuillez consulter [Configuration de la durée de session dans IAM Identity Center](configure-user-session.md).
+ **Utiliser le rôle qui fournit les autorisations de moindre privilège**

  Chaque ensemble d'autorisations que vous créez et attribuez à votre utilisateur apparaît comme un rôle disponible dans le portail AWS d'accès. Lorsque vous vous connectez au portail en tant qu'utilisateur, choisissez le rôle qui correspond à l'ensemble d'autorisations le plus restrictif que vous pouvez utiliser pour effectuer des tâches dans le compte, plutôt que`AdministratorAccess`. Testez vos ensembles d'autorisations pour vérifier qu'ils fournissent l'accès nécessaire avant d'envoyer l'invitation à l'utilisateur.

**Note**  
Vous pouvez également l'utiliser [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/AWS_SSO.html)pour créer et attribuer des ensembles d'autorisations et attribuer des utilisateurs à ces ensembles d'autorisations.

**Topics**
+ [Crée un jeu d'autorisations](howtocreatepermissionset.md)
+ [Afficher et modifier un ensemble d'autorisations](howtoviewandchangepermissionset.md)
+ [Déléguer l'administration des ensembles d'autorisations](permissionsetdelegation.md)
+ [Utiliser les politiques IAM dans les ensembles d'autorisations](howtocmp.md)
+ [Supprimer des ensembles d'autorisations dans IAM Identity Center](howtoremovepermissionset.md)
+ [Supprimer des ensembles d'autorisations dans IAM Identity Center](howtodeletepermissionset.md)

# Crée un jeu d'autorisations
<a name="howtocreatepermissionset"></a>

Utilisez cette procédure pour créer un ensemble d'autorisations prédéfini qui utilise une seule politique AWS gérée, ou un ensemble d'autorisations personnalisé qui utilise jusqu'à 10 politiques AWS gérées ou gérées par le client et une politique intégrée. Vous pouvez demander un ajustement du nombre maximum de 10 politiques dans la [console Service Quotas](https://console.aws.amazon.com/servicequotas) pour IAM. Vous pouvez créer un ensemble d'autorisations dans la console IAM Identity Center.

**Note**  
Pour utiliser des ensembles d'autorisations, vous devez utiliser une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).

**Pour créer un jeu d'autorisations**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sous Autorisations **multi-comptes, choisissez **Ensembles d'**autorisations**.

1. Choisissez **Create permission set (Créer un jeu d'autorisations)**.

1. Sur la page **Sélectionner le type d'ensemble d'autorisations**, sous **Type d'ensemble d'autorisations**, sélectionnez un type d'ensemble d'autorisations.

1. Choisissez une ou plusieurs politiques que vous souhaitez utiliser pour l'ensemble d'autorisations, en fonction du type d'ensemble d'autorisations :
   + **Ensemble d'autorisations prédéfini**

     1. Sous **Politique pour un ensemble d'autorisations prédéfini**, sélectionnez l'une des **politiques de fonction IAM Job** ou des **politiques d'autorisation communes** dans la liste, puis choisissez **Next**. Pour plus d'informations, consultez les [politiques AWS gérées pour les fonctions de travail](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) et [les politiques AWS gérées](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) dans le *Guide de Gestion des identités et des accès AWS l'utilisateur*.

     1. Passez à l'étape 6 pour terminer la page **de détails de l'ensemble d'autorisations**.
   + **Ensemble d'autorisations personnalisé**

     1. Choisissez **Suivant**.

     1. Sur la page **Spécifier les politiques et les limites d'autorisation**, choisissez les types de politiques IAM que vous souhaitez appliquer à votre nouvel ensemble d'autorisations. Par défaut, vous pouvez ajouter n'importe quelle combinaison d'un maximum de 10 **politiques AWS gérées et de politiques** **gérées par le client** à votre ensemble d'autorisations. Ce quota est défini par IAM. Pour l'augmenter, demandez une augmentation du quota IAM. Les *politiques gérées associées à un rôle IAM sont associées à un rôle IAM* dans la console Service Quotas dans chaque instance à Compte AWS laquelle vous souhaitez attribuer l'ensemble d'autorisations.
        + Développez **les politiques AWS gérées** pour ajouter des politiques issues d'IAM qui AWS créent et gèrent. Pour de plus amples informations, veuillez consulter [AWS politiques gérées](permissionsetcustom.md#permissionsetsampconcept).

          1. Recherchez et choisissez **les politiques AWS gérées** que vous souhaitez appliquer à vos utilisateurs dans l'ensemble d'autorisations.

          1. Si vous souhaitez ajouter un autre type de politique, choisissez son conteneur et effectuez votre sélection. Choisissez **Next** lorsque vous avez sélectionné toutes les politiques que vous souhaitez appliquer. Passez à l'étape 6 pour terminer la page **de détails de l'ensemble d'autorisations**.
        + Développez **les politiques gérées par le client** pour ajouter des politiques IAM que vous créez et gérez. Pour de plus amples informations, veuillez consulter [Politiques gérées par le client](permissionsetcustom.md#permissionsetscmpconcept).

          1. Choisissez **Joindre des politiques** et entrez le nom de la politique que vous souhaitez ajouter à votre ensemble d'autorisations. Dans chaque compte auquel vous souhaitez attribuer l'ensemble d'autorisations, créez une politique portant le nom que vous avez saisi. Il est recommandé d'attribuer les mêmes autorisations à la politique dans chaque compte.

          1. Choisissez **Attacher plus** pour ajouter une autre politique.

          1. Si vous souhaitez ajouter un autre type de politique, choisissez son conteneur et effectuez votre sélection. Choisissez **Next** lorsque vous avez sélectionné toutes les politiques que vous souhaitez appliquer. Passez à l'étape 6 pour terminer la page **de détails de l'ensemble d'autorisations**.
        + Développez **la politique intégrée pour ajouter un texte de politique** personnalisé au format JSON. Les politiques intégrées ne correspondent pas aux ressources IAM existantes. Pour créer une politique intégrée, entrez un langage de politique personnalisé dans le formulaire fourni. IAM Identity Center ajoute la politique aux ressources IAM qu'il crée dans vos comptes de membres. Pour de plus amples informations, veuillez consulter [Politiques en ligne](permissionsetcustom.md#permissionsetsinlineconcept).

          1. Ajoutez les actions et les ressources souhaitées dans l'éditeur interactif à votre politique intégrée. Des déclarations supplémentaires peuvent être ajoutées à l'aide de l'**option Ajouter une nouvelle déclaration**.

          1. Si vous souhaitez ajouter un autre type de politique, choisissez son conteneur et effectuez votre sélection. Choisissez **Next** lorsque vous avez sélectionné toutes les politiques que vous souhaitez appliquer. Passez à l'étape 6 pour terminer la page **de détails de l'ensemble d'autorisations**.
        + Élargissez **la limite des autorisations** pour ajouter une politique IAM AWS gérée ou gérée par le client en tant qu'autorisations maximales que vos autres politiques de l'ensemble d'autorisations peuvent attribuer. Pour de plus amples informations, veuillez consulter [Limites d'autorisations](permissionsetcustom.md#permissionsetsboundaryconcept).

          1. Choisissez **Utiliser une limite d'autorisations pour contrôler le maximum d'autorisations**.

          1. Choisissez une **politique AWS gérée** pour définir une politique d'IAM qui *AWS*crée et gère comme limite d'autorisations. Choisissez **les politiques gérées par le client** pour définir une politique à partir d'IAM que *vous* créez et gérez comme limite d'autorisations.

          1. Si vous souhaitez ajouter un autre type de politique, choisissez son conteneur et effectuez votre sélection. Choisissez **Next** lorsque vous avez sélectionné toutes les politiques que vous souhaitez appliquer. Passez à l'étape 6 pour terminer la page **de détails de l'ensemble d'autorisations**.

1. Sur la page **Spécifier les détails de l'ensemble d'autorisations**, procédez comme suit :

   1. Sous **Nom de l'ensemble d'autorisations**, tapez un nom pour identifier cet ensemble d'autorisations dans IAM Identity Center. Le nom que vous spécifiez pour cet ensemble d'autorisations apparaît dans le portail AWS d'accès en tant que rôle disponible. Les utilisateurs se connectent AWS au portail d'accès Compte AWS, choisissent un, puis le rôle.
**Note**  
Les noms des ensembles d'autorisations doivent être uniques au sein de votre instance IAM Identity Center.

   1. (Facultatif) Vous pouvez également saisir une description. La description apparaît uniquement dans la console IAM Identity Center, et non dans le portail AWS d'accès.

   1. (Facultatif) Spécifiez la valeur de la **durée de la session**. Cette valeur détermine la durée pendant laquelle un utilisateur peut être connecté avant que la console ne le déconnecte de sa session. Pour de plus amples informations, veuillez consulter [Définissez la durée de session pour Comptes AWS](howtosessionduration.md).

   1. (Facultatif) Spécifiez la valeur de **l'état du relais**. Cette valeur est utilisée dans le processus de fédération pour rediriger les utilisateurs au sein du compte. Pour de plus amples informations, veuillez consulter [Réglez l'état du relais pour un accès rapide au AWS Management Console](howtopermrelaystate.md).
**Note**  
L'URL de l'état du relais doit se trouver dans le AWS Management Console. Par exemple :  
**https://console.aws.amazon.com/ec2/**

   1. Développez les **balises (facultatif)**, choisissez **Ajouter une balise**, puis spécifiez les valeurs de **clé** et de **valeur (facultatif)**. 

      Pour plus d’informations sur les balises, consultez [Ressources de balisage AWS IAM Identity Center](tagging.md).

   1. Choisissez **Suivant**.

1. Sur la page **Réviser et créer**, passez en revue les sélections que vous avez effectuées, puis choisissez **Créer**.

1. Par défaut, lorsque vous créez un ensemble d'autorisations, celui-ci n'est pas provisionné (utilisé dans aucun d'entre eux Comptes AWS). Pour attribuer un ensemble d'autorisations dans un Compte AWS, vous devez attribuer l'accès à IAM Identity Center aux utilisateurs et aux groupes du compte, puis appliquer l'ensemble d'autorisations à ces utilisateurs et groupes. Pour de plus amples informations, veuillez consulter [Attribuer l'accès d'un utilisateur ou d'un groupe à Comptes AWS](assignusers.md).

# Afficher et modifier un ensemble d'autorisations
<a name="howtoviewandchangepermissionset"></a>

Vous pouvez utiliser des ensembles d'autorisations pour accorder aux utilisateurs l'accès à Comptes AWS. Vous pouvez consulter et modifier un ensemble d'autorisations à l'aide de la AWS IAM Identity Center console. Vous pouvez rechercher et trier les ensembles d'autorisations par nom dans la console IAM Identity Center. Pour plus d'informations sur les ensembles d'autorisations et leur utilisation dans IAM Identity Center, consultez[Gérer Comptes AWS avec des ensembles d'autorisations](permissionsetsconcept.md).

Les ensembles d'autorisations ne sont pas nécessaires pour gérer l'accès des utilisateurs aux applications.

**Note**  
Pour utiliser des ensembles d'autorisations, vous devez utiliser une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).

## Afficher les attributions des ensembles d'autorisations
<a name="howtoviewpermissionset"></a>

Utilisez cette procédure pour afficher l'ensemble d'autorisations appliqué dans la AWS IAM Identity Center console.

------
#### [ All Comptes AWS where a permission set is provisioned ]

Pour afficher toutes les attributions d'un ensemble d'autorisations, procédez comme suit :

1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Sous Autorisations **multi-comptes, choisissez **Ensembles d'**autorisations**.

1. Sur la page **Ensembles d'autorisations**, sélectionnez l'ensemble d'autorisations que vous souhaitez consulter.

1. Une fois sur la page des ensembles d'autorisations sélectionnés, sous l'onglet **Comptes**, vous pouvez voir les comptes sur lesquels l'ensemble d'autorisations est utilisé. Vous pouvez sélectionner le compte pour voir comment l'ensemble d'autorisations est fourni au sein du compte. Vous pouvez [supprimer](howtoremovepermissionset.md), modifier et associer des politiques à l'ensemble d'autorisations.

------
#### [ All permission sets for an Compte AWS ]

Pour afficher toutes les attributions d'un ensemble d'autorisations, procédez comme suit :

1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**. Sélectionnez le compte pour lequel vous souhaitez consulter les ensembles d'autorisations fournis.

1. Une fois sur la Compte AWS page sélectionnée, sous l'onglet **Ensembles d'autorisations**, vous pouvez consulter les différents ensembles d'autorisations attribués à la personne sélectionnée Compte AWS. Vous pouvez sélectionner le lien hypertexte de l'ensemble d'autorisations pour en savoir plus sur l'ensemble d'autorisations. 

------
#### [ All applied permission sets to users and groups ]

Pour afficher tous les ensembles d'autorisations attribués aux utilisateurs ou aux groupes, procédez comme suit : 

1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Sélectionnez Utilisateurs ou Groupes sous **Tableau de bord** pour afficher les utilisateurs ou les groupes d'IAM Identity Center.

   1. Une fois sur la page **Utilisateurs**, sélectionnez l'utilisateur pour lequel vous souhaitez voir les ensembles d'autorisations appliqués. Ensuite, sélectionnez l'**Comptes AWS**onglet et Compte AWS sous la section **d'accès au AWS compte**. Vous pourrez voir les ensembles d'autorisations appliqués et Compte AWS pour l'utilisateur sélectionné. 

   1. Une fois sur la page **Groupes**, sélectionnez le groupe auquel vous souhaitez voir les ensembles d'autorisations appliqués. Ensuite, sélectionnez l'**Comptes AWS**onglet et Compte AWS sous la section **Compte AWS d'accès**. Vous pourrez voir les ensembles d'autorisations appliqués et Compte AWS pour le groupe sélectionné. 

------

## Modifier un ensemble d'autorisations
<a name="howtochangepermissionset"></a>

Utilisez cette procédure pour modifier un [ensemble d'autorisations](permissionsetsconcept.md) à l'aide de la console IAM Identity Center. Vous pouvez ajouter ou supprimer des ensembles d'autorisations pour des utilisateurs ou des groupes.

1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Sous **Autorisations multi-comptes**, sélectionnez ** Comptes AWS**.

1. Sur la **Compte AWS**page, une liste arborescente de votre organisation apparaît. Sélectionnez le nom du groupe d'autorisations Compte AWS à partir duquel vous souhaitez modifier l'ensemble d'autorisations.

1. Sur la page **d'aperçu** du Compte AWS, sous **Utilisateurs et groupes assignés**, sélectionnez le nom d'utilisateur ou le nom de groupe de l'ensemble d'autorisations que vous souhaitez modifier. Choisissez ensuite **Modifier les ensembles d'autorisations**.

1. Apportez les modifications souhaitées à l'ensemble d'autorisations, puis choisissez **Enregistrer les modifications**.

1. Accédez à l'onglet **Ensembles d'autorisations**, sélectionnez l'ensemble d'autorisations récemment modifié, puis choisissez **Mettre à jour**.

1. Sur la page **Autorisations de mise à jour**, choisissez **Mettre à jour**.

# Déléguer l'administration des ensembles d'autorisations
<a name="permissionsetdelegation"></a>

IAM Identity Center vous permet de déléguer la gestion des ensembles d'autorisations et des attributions dans les comptes en créant des [politiques IAM qui font](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) référence aux [Amazon Resource Names (ARNs)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html) des ressources IAM Identity Center. Par exemple, vous pouvez créer des politiques qui permettent à différents administrateurs de gérer les attributions dans des comptes spécifiques pour des ensembles d'autorisations dotés de balises spécifiques.

**Note**  
Pour utiliser des ensembles d'autorisations, vous devez utiliser une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).

Vous pouvez utiliser l'une des méthodes suivantes pour créer ces types de politiques.
+ (Recommandé) Créez des [ensembles d'autorisations](permissionsets.md) dans IAM Identity Center, chacun avec une politique différente, et attribuez les ensembles d'autorisations à différents utilisateurs ou groupes. Cela vous permet de gérer les autorisations administratives pour les utilisateurs qui se connectent à l'aide de la [source d'identité IAM Identity Center](manage-your-identity-source.md) que vous avez choisie. 
+ Créez des politiques personnalisées dans IAM, puis associez-les aux rôles IAM assumés par vos administrateurs. Pour plus d'informations sur les rôles, consultez la section [Rôles IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) pour obtenir les autorisations administratives IAM Identity Center qui leur ont été attribuées.

**Important**  
Les ressources du IAM Identity Center distinguent ARNs les majuscules et minuscules. 

Ce qui suit montre le cas approprié pour faire référence à l'ensemble d'autorisations IAM Identity Center et aux types de ressources du compte.


| Types de ressources | ARN | Clés de contexte | 
| --- | --- | --- | 
| PermissionSet | arn:\$1\$1Partition\$1:sso:::permissionSet/\$1\$1InstanceId\$1/\$1\$1PermissionSetId\$1 | aws:ResourceTag/\$1\$1TagKey\$1 | 
| Compte | arn:\$1\$1Partition\$1:sso:::account/\$1\$1AccountId\$1 | Non applicable | 

# Utiliser les politiques IAM dans les ensembles d'autorisations
<a name="howtocmp"></a>

Dans[Crée un jeu d'autorisations](howtocreatepermissionset.md), vous avez appris à ajouter des politiques, notamment des politiques gérées par le client et des limites d'autorisations, à un ensemble d'autorisations. Lorsque vous ajoutez des politiques et des autorisations gérées par le client à un ensemble d'autorisations, IAM Identity Center ne crée aucune Comptes AWS politique. Vous devez plutôt créer ces politiques à l'avance dans chaque compte auquel vous souhaitez attribuer votre ensemble d'autorisations, et les faire correspondre au nom et aux spécifications de chemin de votre ensemble d'autorisations. Lorsque vous attribuez un ensemble d'autorisations Compte AWS à un membre de votre organisation, IAM Identity Center crée un [rôle Gestion des identités et des accès AWS (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) et associe vos [politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) à ce rôle. 

**Considérations**
+ Pour utiliser des ensembles d'autorisations, vous devez utiliser une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
+ Avant d'attribuer votre ensemble d'autorisations aux politiques IAM, vous devez préparer votre compte de membre. Le nom d'une politique IAM dans votre compte membre doit correspondre au nom de la politique dans votre compte de gestion. IAM Identity Center ne parvient pas à attribuer l'ensemble d'autorisations si la politique n'existe pas dans votre compte de membre.
**Note**  
Lorsqu'une politique gérée par le client est associée à un ensemble d'autorisations, le nom de la politique ne distingue pas les majuscules et minuscules.
+ Les autorisations accordées par la politique ne doivent pas nécessairement correspondre exactement aux différents comptes.

# Attribuer une politique IAM à un ensemble d'autorisations


1. Créez une politique IAM dans chacun des Comptes AWS endroits où vous souhaitez attribuer l'ensemble d'autorisations.

1. Attribuez des autorisations à la politique IAM. Vous pouvez attribuer différentes autorisations à différents comptes. Pour une expérience cohérente, configurez et maintenez des autorisations identiques dans chaque politique. Vous pouvez utiliser des ressources d'automatisation telles que AWS CloudFormation StackSets la création de copies d'une politique IAM portant le même nom et les mêmes autorisations dans chaque compte membre. Pour plus d'informations CloudFormation StackSets, consultez la section [Travailler avec AWS CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) dans le *guide de AWS CloudFormation l'utilisateur*.

1. Créez un ensemble d'autorisations dans votre compte de gestion et ajoutez votre politique IAM sous Politiques **gérées par le client** ou **Limite des autorisations**. Pour plus de détails sur la création d'un ensemble d'autorisations, voir[Crée un jeu d'autorisations](howtocreatepermissionset.md).

1. Ajoutez les politiques intégrées, les politiques AWS gérées ou les politiques IAM supplémentaires que vous avez préparées. 

1. Créez et attribuez votre ensemble d'autorisations.

# Supprimer des ensembles d'autorisations dans IAM Identity Center
<a name="howtoremovepermissionset"></a>

Vous pouvez supprimer un ensemble d'autorisations pour les utilisateurs et les groupes IAM Identity Center dans la console IAM Identity Center. Vous pouvez également supprimer un ensemble d'autorisations d'un Compte AWS. Pour plus d'informations sur les ensembles d'autorisations et leur utilisation dans IAM Identity Center, consultez[Gérer Comptes AWS avec des ensembles d'autorisations](permissionsetsconcept.md).

**Note**  
Pour utiliser des ensembles d'autorisations, vous devez utiliser une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).

------
#### [ Remove permission set from a user ]

**Supprimer un ensemble d'autorisations attribué à un utilisateur**

Utilisez cette procédure pour supprimer un ensemble d'autorisations d'un utilisateur à l'aide de la console IAM Identity Center.

1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Sous **IAM Identity Center**, sélectionnez **Utilisateurs**.

1. Sélectionnez le nom d'utilisateur de l'utilisateur dont vous souhaitez supprimer un ensemble d'autorisations.

1. Sur la page des détails de l'utilisateur, sélectionnez l'**Comptes AWS**onglet. Sous **Compte AWS Accès**, sélectionnez votre Compte AWS.

1. Dans le volet droit, les autorisations appliquées à l'utilisateur sélectionné apparaissent. Sélectionnez l'ensemble d'autorisations que vous souhaitez supprimer. Sous **Détails d'accès au compte**, sélectionnez **Supprimer**.

1. Une boîte de dialogue s'affiche pour vous demander si vous souhaitez supprimer cet ensemble d'autorisations. Sélectionnez **Remove** (Retirer).  
![\[Comptes AWS onglet pour un utilisateur IAM Identity Center dans la console IAM Identity Center.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/remove-permission-set-tutorial.png)

------
#### [ Remove permission set from a group ]

**Supprimer un ensemble d'autorisations d'un groupe**

Utilisez cette procédure pour supprimer un ensemble d'autorisations d'un groupe à l'aide de la console IAM Identity Center.

1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**. Sélectionnez le lien vers votre compte de gestion.  
![\[Comptes AWS onglet dans la console IAM Identity Center.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/sso-aws-accounts-tab.png)

1. Sous l'onglet **Utilisateurs et groupes assignés**, sélectionnez le groupe dont vous souhaitez supprimer l'ensemble d'autorisations, puis sélectionnez **Modifier le jeu d'autorisations**.

1. Sur la page **Modifier les ensembles d'autorisations**, effacez le jeu d'autorisations que vous souhaitez supprimer, puis sélectionnez **Enregistrer les modifications**.

------
#### [ Remove permission set from an Compte AWS ]

Utilisez cette procédure pour supprimer un ensemble d'autorisations de la Compte AWS console IAM Identity Center.

1. Connectez-vous à la AWS IAM Identity Center console AWS Management Console et ouvrez-la à l'adresse [https://console.aws.amazon.com/singlesignon/](https://console.aws.amazon.com/singlesignon/).

1. Sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**. Sélectionnez le nom du groupe Compte AWS d'autorisations dont vous souhaitez supprimer l'ensemble d'autorisations.

1. Sur la page **Vue d'ensemble** du Compte AWS, choisissez l'onglet **Ensembles d'autorisations**. Sélectionnez l'ensemble d'autorisations que vous souhaitez supprimer. Sélectionnez ensuite **Supprimer**.

1. Dans la boîte de dialogue **Supprimer l'ensemble d'autorisations**, vérifiez que le bon ensemble d'autorisations est sélectionné, tapez **Delete** pour confirmer la suppression, puis choisissez **Supprimer l'accès**.

------

# Supprimer des ensembles d'autorisations dans IAM Identity Center
<a name="howtodeletepermissionset"></a>

Avant de pouvoir supprimer un ensemble d'autorisations d'IAM Identity Center, vous devez le [supprimer](howtoremovepermissionset.md) de tous Comptes AWS ceux qui l'utilisent. Pour vérifier l'accès des utilisateurs et des groupes existants, voir[Afficher et modifier un ensemble d'autorisations](howtoviewandchangepermissionset.md).

**Considérations**
+ Pour utiliser des ensembles d'autorisations, vous devez utiliser une instance d'organisation d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
+ Si vous souhaitez révoquer une session d'ensemble d'autorisations active, consultez[Afficher et terminer les sessions actives pour les utilisateurs de votre personnel](end-active-sessions.md).
+ Vous devez supprimer les ensembles d'autorisations et les attributions d'applications des utilisateurs ou des groupes que vous souhaitez supprimer avant de les supprimer. Sinon, vous aurez des ensembles d'autorisations et des applications non attribués et non utilisés dans IAM Identity Center.

Suivez la procédure ci-dessous pour supprimer un ou plusieurs ensembles d'autorisations afin qu'aucun membre de l'organisation ne puisse plus Compte AWS les utiliser.

**Important**  
Tous les utilisateurs et groupes auxquels cet ensemble d'autorisations a été attribué, quel que Compte AWS soit l'utilisateur qui l'utilise, ne pourront plus se connecter. Pour vérifier l'accès des utilisateurs et des groupes existants, voir[Afficher et modifier un ensemble d'autorisations](howtoviewandchangepermissionset.md).

**Pour supprimer un ensemble d'autorisations d'un Compte AWS**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sous Autorisations **multi-comptes, choisissez **Ensembles d'**autorisations**.

1. Sélectionnez l'ensemble d'autorisations que vous souhaitez supprimer, puis choisissez **Supprimer**.

1. Dans la boîte de dialogue **Supprimer l'ensemble d'autorisations**, tapez le nom du jeu d'autorisations pour confirmer la suppression, puis choisissez **Supprimer**. Le nom est sensible à la casse.

# Configurer les propriétés des ensembles d'autorisations
<a name="permproperties"></a>

Dans IAM Identity Center, les administrateurs peuvent effectuer les tâches de configuration et de gestion suivantes pour contrôler l'accès des utilisateurs et la durée des sessions.


| Sous-tâche | En savoir plus | 
| --- | --- | 
|  Les administrateurs peuvent définir la durée maximale des sessions utilisateur lors de l'accès aux AWS ressources via IAM Identity Center. | [Définissez la durée de session pour Comptes AWS](howtosessionduration.md) | 
| Les administrateurs peuvent personnaliser la page de destination que les utilisateurs voient après s'être authentifiés avec succès via IAM Identity Center. | [Réglez l'état du relais pour un accès rapide au AWS Management Console](howtopermrelaystate.md) | 
| Assurez-vous que les utilisateurs n'ont plus accès aux AWS ressources lorsque leurs autorisations sont révoquées. | [Utiliser une politique de refus pour révoquer les autorisations des utilisateurs actifs](prereqs-revoking-user-permissions.md) | 

# Définissez la durée de session pour Comptes AWS
<a name="howtosessionduration"></a>

Pour chaque [ensemble d'autorisations](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html), vous pouvez spécifier une durée de session afin de contrôler la durée pendant laquelle un utilisateur peut être connecté à un Compte AWS. Lorsque la durée spécifiée est écoulée, AWS déconnecte l'utilisateur de la session. 

Lorsque vous créez un nouvel ensemble d'autorisations, la durée de la session est fixée à 1 heure (en secondes) par défaut. La durée minimale de la session est d'une heure et peut être fixée à un maximum de 12 heures. IAM Identity Center crée automatiquement des rôles IAM dans chaque compte attribué pour chaque ensemble d'autorisations, et configure ces rôles avec une durée de session maximale de 12 heures.

Lorsque les utilisateurs se fédérent dans leur Compte AWS console ou lorsque le AWS Command Line Interface (AWS CLI) est utilisé, IAM Identity Center utilise le paramètre de durée de session figurant sur le jeu d'autorisations pour contrôler la durée de la session. Par défaut, les rôles IAM générés par IAM Identity Center pour les ensembles d'autorisations ne peuvent être assumés que par les utilisateurs d'IAM Identity Center, ce qui garantit que la durée de session spécifiée dans le jeu d'autorisations IAM Identity Center est appliquée.

**Important**  
Comme bonne pratique de sécurité, nous vous recommandons de ne pas définir une durée de la session plus longue que ce qui est nécessaire pour exécuter le rôle.

Après avoir créé un ensemble d'autorisations, vous pouvez le mettre à jour pour appliquer une nouvelle durée de session. Utilisez la procédure suivante pour modifier la durée de session d'un ensemble d'autorisations.

**Pour définir la durée de session**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sous Autorisations **multi-comptes, choisissez **Ensembles d'**autorisations**.

1. Choisissez le nom de l'ensemble d'autorisations dont vous souhaitez modifier la durée de session.

1. Sur la page de détails de l'ensemble d'autorisations, à droite de l'en-tête de la section **Paramètres généraux**, choisissez **Modifier**.

1. Sur la page **Modifier les paramètres généraux de l'ensemble d'autorisations**, choisissez une nouvelle valeur pour la **durée de la session**.

1. Si l'ensemble d'autorisations est provisionné dans l'un d'entre Comptes AWS eux, les noms des comptes apparaissent sous **Comptes AWS pour être réapprovisionnés** automatiquement. Une fois que la valeur de durée de session pour l'ensemble d'autorisations est mise à jour, tous Comptes AWS ceux qui utilisent l'ensemble d'autorisations sont reprovisionnés. Cela signifie que la nouvelle valeur de ce paramètre est appliquée à tous ceux Comptes AWS qui utilisent l'ensemble d'autorisations.

1. Sélectionnez **Enregistrer les modifications**.

1. En haut de la **Comptes AWS**page, une notification apparaît.
   + Si l'ensemble d'autorisations est fourni dans un ou plusieurs comptes Comptes AWS, la notification confirme qu' Comptes AWS ils ont été reprovisionnés avec succès et que le jeu d'autorisations mis à jour a été appliqué aux comptes.
   + Si l'ensemble d'autorisations n'est pas fourni dans un Compte AWS, la notification confirme que les paramètres du jeu d'autorisations ont été mis à jour.

# Réglez l'état du relais pour un accès rapide au AWS Management Console
<a name="howtopermrelaystate"></a>

Par défaut, lorsqu'un utilisateur se connecte au portail d' AWS accès, choisit un compte, puis choisit le rôle AWS créé à partir de l'ensemble d'autorisations attribué, IAM Identity Center redirige le navigateur de l'utilisateur vers le. AWS Management Console Vous pouvez modifier ce comportement en définissant l'état du relais sur une autre URL de console. 

La définition de l'état du relais vous permet de fournir à l'utilisateur un accès rapide à la console la mieux adaptée à son rôle. Par exemple, vous pouvez définir l'état du relais sur l'URL de la console Amazon EC2 (**https://console.aws.amazon.com/ec2/**) pour rediriger l'utilisateur vers cette console lorsqu'il choisit le rôle d'administrateur Amazon EC2. Lors de la redirection vers l'URL par défaut ou vers l'URL de l'état du relais, IAM Identity Center achemine le navigateur de l'utilisateur vers le point de terminaison de la console Région AWS utilisé pour la dernière fois par l'utilisateur. Par exemple, si un utilisateur a mis fin à sa dernière session de console dans la région Europe (Stockholm) (eu-north-1), il est redirigé vers la console Amazon EC2 de cette région.

![\[Schéma de flux de travail pour définir l'état du relais dans le AWS Management Console.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/permission_sets_relay_state_newest.png)


Pour configurer IAM Identity Center afin de rediriger l'utilisateur vers une console dans un environnement spécifique Région AWS, incluez la spécification de région dans l'URL. Par exemple, pour rediriger l'utilisateur vers la console Amazon EC2 dans la région USA Est (Ohio) (us-east-2), spécifiez l'URL de la console Amazon EC2 dans cette région (). **https://us-east-2.console.aws.amazon.com/ec2/** Si vous avez activé le centre d'identité IAM dans la région USA Ouest (Oregon) (us-west-2) et que vous souhaitez rediriger l'utilisateur vers cette région, spécifiez-le. **https://us-west-2.console.aws.amazon.com** 

## Configuration de l'état du relais
<a name="configure-relay-state"></a>

Utilisez la procédure suivante pour configurer l'URL de l'état du relais pour un ensemble d'autorisations.

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sous Autorisations **multi-comptes, choisissez **Ensembles d'**autorisations**.

1. Choisissez le nom de l'ensemble d'autorisations pour lequel vous souhaitez définir la nouvelle URL de l'état du relais.

1. Sur la page de détails de l'ensemble d'autorisations, à droite de l'en-tête de la section **Paramètres généraux**, choisissez **Modifier**.

1. Sur la page **Modifier les paramètres généraux de l'ensemble d'autorisations**, sous **État du relais**, tapez une URL de console pour l'un des AWS services. Par exemple :

    **https://console.aws.amazon.com/ec2/**
**Note**  
L'URL de l'état du relais doit se trouver dans le AWS Management Console. 

1. Si l'ensemble d'autorisations est provisionné dans l'un d'entre Comptes AWS eux, les noms des comptes apparaissent sous **Comptes AWS pour être réapprovisionnés** automatiquement. Une fois que l'URL de l'état du relais pour l'ensemble d'autorisations est mise à jour, tous Comptes AWS ceux qui utilisent l'ensemble d'autorisations sont reprovisionnés. Cela signifie que la nouvelle valeur de ce paramètre est appliquée à tous ceux Comptes AWS qui utilisent l'ensemble d'autorisations.

1. Sélectionnez **Enregistrer les modifications**.

1. En haut de la page **AWS Organisation**, une notification apparaît.
   + Si l'ensemble d'autorisations est fourni dans un ou plusieurs comptes Comptes AWS, la notification confirme qu' Comptes AWS ils ont été reprovisionnés avec succès et que le jeu d'autorisations mis à jour a été appliqué aux comptes.
   + Si l'ensemble d'autorisations n'est pas fourni dans un Compte AWS, la notification confirme que les paramètres du jeu d'autorisations ont été mis à jour.

**Note**  
Vous pouvez automatiser ce processus à l'aide de l' AWS API, d'un AWS SDK ou du AWS Command Line Interface(AWS CLI). Pour en savoir plus, consultez :   
Les `UpdatePermissionSet` actions `CreatePermissionSet` ou contenues dans le guide de référence de l'[API IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/APIReference/welcome.html) 
Les `update-permission-set` commandes `create-permission-set` ou dans la [https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin](https://docs.aws.amazon.com/cli/latest/reference/sso-admin/index.html#cli-aws-sso-admin)section de la *référence des AWS CLI commandes*.

# Utiliser une politique de refus pour révoquer les autorisations des utilisateurs actifs
<a name="prereqs-revoking-user-permissions"></a>

Il se peut que vous deviez révoquer l'accès d'un utilisateur à IAM Identity Center Comptes AWS alors que celui-ci utilise activement un ensemble d'autorisations. Vous pouvez les empêcher d'utiliser leurs sessions de rôle IAM actives en implémentant à l'avance une politique de refus pour un utilisateur non spécifié, puis si nécessaire, vous pouvez mettre à jour la politique de refus pour spécifier l'utilisateur dont vous souhaitez bloquer l'accès. Cette rubrique explique comment créer une politique de refus et explique comment déployer la politique. 

## Préparez-vous à révoquer une session de rôle IAM active créée par un ensemble d'autorisations
<a name="prepare-to-revoke-session"></a>

Vous pouvez empêcher l'utilisateur de prendre des mesures avec un rôle IAM qu'il utilise activement en appliquant une politique de refus de tout à un utilisateur spécifique par le biais d'une politique de contrôle des services. Vous pouvez également empêcher un utilisateur d'utiliser un ensemble d'autorisations tant que vous n'avez pas modifié son mot de passe, ce qui permet de supprimer un mauvais acteur utilisant activement des informations d'identification volées à mauvais escient. Si vous devez refuser l'accès de manière générale et empêcher un utilisateur de saisir à nouveau un ensemble d'autorisations ou d'accéder à d'autres ensembles d'autorisations, vous pouvez également supprimer tous les accès des utilisateurs, arrêter la session active du portail d' AWS accès et désactiver la connexion de l'utilisateur. Consultez [Afficher et terminer les sessions actives pour les utilisateurs de votre personnel](end-active-sessions.md) pour savoir comment utiliser la politique de refus en conjonction avec des actions supplémentaires pour une révocation d'accès plus large.

### Politique de refus
<a name="deny-policy"></a>

Vous pouvez utiliser une politique de refus assortie d'une condition correspondant à celle `UserID` de l'utilisateur figurant dans la banque d'identités IAM Identity Center afin d'empêcher d'autres actions d'un rôle IAM que l'utilisateur utilise activement. L'utilisation de cette politique permet d'éviter tout impact sur les autres utilisateurs susceptibles d'utiliser le même ensemble d'autorisations lorsque vous déployez la politique de refus. Cette politique utilise l'identifiant utilisateur fictif. Pour `"identitystore:userId"` cela*`Add user ID here`*, vous allez le mettre à jour avec le nom d'utilisateur pour lequel vous souhaitez révoquer l'accès.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "*"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "identitystore:userId": "Add user ID here"  
                }
            }
        }
    ]
}
```

------

Bien que vous puissiez utiliser une autre clé de condition`“aws:userId”`, telle que, elle `“identitystore:userId”` est certaine, car il s'agit d'une valeur unique au monde associée à une personne. L'utilisation `“aws:userId”` dans cette condition peut être affectée par la façon dont les attributs utilisateur sont synchronisés à partir de votre source d'identités et peut changer si le nom d'utilisateur ou l'adresse e-mail de l'utilisateur changent.

Dans la console IAM Identity Center, vous pouvez trouver celui d'un utilisateur `identitystore:userId` en accédant à **Utilisateurs**, en recherchant l'utilisateur par son nom, en développant la section **Informations générales** et en copiant l'ID utilisateur. Il est également pratique d'arrêter la session du portail d' AWS accès d'un utilisateur et de désactiver son accès de connexion dans la même section lors de la recherche de son nom d'utilisateur. Vous pouvez automatiser le processus de création d'une politique de refus en obtenant l'ID utilisateur de l'utilisateur en interrogeant le magasin APIs d'identités.

### Déploiement de la politique de refus
<a name="deploy-deny-policy"></a>

 Vous pouvez utiliser un identifiant utilisateur fictif qui n'est pas valide, par exemple pour déployer la politique de refus à l'avance à l'aide d'une politique de contrôle des services (SCP) que vous attachez aux Comptes AWS utilisateurs susceptibles d'avoir accès. `Add user ID here` C'est l'approche recommandée pour sa facilité et sa rapidité d'impact. Lorsque vous révoquez l'accès d'un utilisateur à l'aide de la politique de refus, vous modifiez la politique pour remplacer l'ID utilisateur fictif par l'ID utilisateur de la personne dont vous souhaitez révoquer l'accès. Cela empêche l'utilisateur d'effectuer des actions avec les autorisations définies dans chaque compte auquel vous associez le SCP. Il bloque les actions de l'utilisateur même s'il utilise sa session de portail AWS d'accès active pour accéder à différents comptes et assumer différents rôles. L'accès de l'utilisateur étant totalement bloqué par le SCP, vous pouvez alors désactiver sa capacité à se connecter, révoquer ses attributions et arrêter sa session sur le portail AWS d'accès si nécessaire. 

Au lieu de l'utiliser SCPs, vous pouvez également inclure la politique de refus dans la politique intégrée des ensembles d'autorisations et dans les politiques gérées par le client qui sont utilisées par les ensembles d'autorisations auxquels l'utilisateur peut accéder. 

Si vous devez révoquer l'accès à plusieurs personnes, vous pouvez utiliser une liste de valeurs dans le bloc de conditions, telles que :

```
            "Condition": {
                    "StringEquals": {
                        "identitystore:userId": [" user1 userId", "user2 userId"...]
                        }
        }
```

**Important**  
Quelle que soit la ou les méthodes que vous utilisez, vous devez prendre toute autre mesure corrective et conserver le nom d'utilisateur de l'utilisateur dans la politique pendant au moins 12 heures. Passé ce délai, tous les rôles assumés par l'utilisateur expirent et vous pouvez alors supprimer son ID utilisateur de la politique de refus.

# Référencement des ensembles d'autorisations dans les politiques de ressources, les cartes de configuration du cluster Amazon EKS et les politiques AWS KMS clés
<a name="referencingpermissionsets"></a>

Lorsque vous attribuez un ensemble d'autorisations à un AWS compte, IAM Identity Center crée un rôle dont le nom commence `AWSReservedSSO_` par. 

 Le nom complet et le nom Amazon Resource Name (ARN) du rôle utilisent le format suivant : 


| Nom | ARN | 
| --- | --- | 
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/aws-region/AWSReservedSSO\$1permission-set-name\$1unique-suffix | 

Si votre source d'identité dans IAM Identity Center est hébergée dans us-east-1, il n'en existe aucune dans l'ARN. *aws-region* Le nom complet et l'ARN du rôle utilisent le format suivant :


| Nom | ARN | 
| --- | --- | 
| AWSReservedSSO\$1permission-set-name\$1unique-suffix | arn:aws:iam::aws-account-ID:role/aws-reserved/sso.amazonaws.com/AWSReservedSSO\$1permission-set-name\$1unique-suffix | 

Par exemple, si vous créez un ensemble d'autorisations qui accorde l'accès au AWS compte aux administrateurs de base de données, un rôle correspondant est créé avec le nom et l'ARN suivants :


| Nom | ARN | 
| --- | --- | 
| AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef  | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$11234567890abcdef | 

Si vous supprimez toutes les attributions associées à cet ensemble d'autorisations dans le AWS compte, le rôle correspondant créé par IAM Identity Center est également supprimé. Si vous attribuez ultérieurement une nouvelle attribution au même ensemble d'autorisations, IAM Identity Center crée un nouveau rôle pour le jeu d'autorisations. Le nom et l'ARN du nouveau rôle incluent un suffixe différent et unique. Dans cet exemple, le suffixe unique est **abcdef0123456789**.


| Nom | ARN | 
| --- | --- | 
| AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 | arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO\$1DatabaseAdministrator\$1abcdef0123456789 | 

La modification du suffixe du nouveau nom et du nouveau ARN du rôle entraînera la création de toutes les politiques faisant référence au nom et à l'ARN d'origine out-of-date, ce qui perturbera l'accès des personnes utilisant l'ensemble d'autorisations correspondant. Par exemple, une modification de l'ARN du rôle perturbera l'accès des utilisateurs à l'ensemble d'autorisations si l'ARN d'origine est référencé dans les configurations suivantes :
+ Dans le `aws-auth ConfigMap` fichier relatif aux clusters Amazon Elastic Kubernetes Service (Amazon EKS) lorsque vous `aws-auth ConfigMap` utilisez le pour accéder au cluster.
+ Dans une politique basée sur les ressources pour une clé AWS Key Management Service (AWS KMS). Cette politique est également appelée politique clé.

**Note**  
Nous vous recommandons d'utiliser les [entrées d'accès Amazon EKS](https://docs.aws.amazon.com/eks/latest/userguide/grant-k8s-access.html) pour gérer l'accès à vos clusters Amazon EKS. Cela vous permet d'utiliser les autorisations IAM pour gérer les principaux ayant accès à un cluster Amazon EKS. En utilisant les entrées d'accès Amazon EKS, vous pouvez utiliser un principal IAM disposant des autorisations Amazon EKS pour accéder de nouveau à un cluster sans le contacter Support.

Bien que vous puissiez mettre à jour les politiques basées sur les ressources pour la plupart AWS des services afin de faire référence à un nouvel ARN pour un rôle correspondant à un ensemble d'autorisations, vous devez avoir un rôle de sauvegarde que vous devez créer dans IAM pour Amazon EKS et si AWS KMS l'ARN change. Pour Amazon EKS, le rôle IAM de sauvegarde doit exister dans le`aws-auth ConfigMap`. Car AWS KMS elle doit figurer dans vos politiques clés. Si vous ne disposez pas d'un rôle IAM de secours autorisé à mettre à jour la politique `aws-auth ConfigMap` ou la politique AWS KMS clé, contactez-nous Support pour retrouver l'accès à ces ressources.

## Recommandations pour éviter les interruptions d'accès
<a name="avoid-access-disruptions"></a>

Pour éviter les interruptions d'accès dues à des modifications de l'ARN d'un rôle correspondant à un ensemble d'autorisations, nous vous recommandons de procéder comme suit. 
+ **Conservez au moins une attribution d'ensemble d'autorisations.** 

  Conservez cette attribution dans les AWS comptes qui contiennent les rôles auxquels vous faites référence dans le `aws-auth ConfigMap` cas d'Amazon EKS, les politiques clés dans AWS KMS Amazon EKS ou les politiques basées sur les ressources pour les autres. Services AWS

  Par exemple, si vous créez un ensemble d'`EKSAccess`autorisations et que vous référencez l'ARN du rôle correspondant à partir du AWS compte`111122223333`, attribuez définitivement un groupe administratif au jeu d'autorisations de ce compte. L'attribution étant permanente, IAM Identity Center ne supprimera pas le rôle correspondant, ce qui élimine le risque de changement de nom. Le groupe administratif y aura toujours accès sans risque d'augmentation de privilèges.
+ **Pour les clusters Amazon EKS qui utilisent `aws-auth ConfigMap` et AWS KMS : incluez un rôle créé dans IAM.**

  Si vous faites référence à un rôle ARNs pour des ensembles d'autorisations dans un `aws-auth ConfigMap` cluster Amazon EKS ou dans des politiques AWS KMS clés relatives aux clés, nous vous recommandons d'inclure également au moins un rôle que vous créez dans IAM. Le rôle doit vous permettre d'accéder au cluster Amazon EKS ou de gérer la politique AWS KMS clé. L'ensemble d'autorisations doit être en mesure d'assumer ce rôle. Ainsi, si l'ARN du rôle d'un ensemble d'autorisations change, vous pouvez mettre à jour la référence à l'ARN dans la politique AWS KMS clé `aws-auth ConfigMap` or. La section suivante fournit un exemple de la manière dont vous pouvez créer une politique de confiance pour un rôle créé dans IAM. Le rôle ne peut être assumé que par un ensemble d'`AdministratorAccess`autorisations. 

## Exemple de politique de confiance personnalisée
<a name="custom-trust-policy-example"></a>

Voici un exemple de politique de confiance personnalisée qui fournit un ensemble d'`AdministratorAccess`autorisations permettant d'accéder à un rôle créé dans IAM. Les principaux éléments de cette politique sont les suivants :
+ L'élément principal de cette politique de confiance spécifie un principal de AWS compte. Dans cette politique, les principaux du AWS compte `111122223333` disposant d'`sts:AssumeRole`autorisations peuvent assumer le rôle créé dans IAM. 
+ Cette politique `Condition element` de confiance définit des exigences supplémentaires pour les principaux qui peuvent assumer le rôle créé dans IAM. Dans cette politique, l'ensemble d'autorisations avec le rôle ARN suivant peut assumer le rôle.

  ```
  arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
  ```
**Note**  
L'`Condition`élément inclut l'opérateur de `ArnLike` condition et utilise un caractère générique à la fin de l'ARN du rôle défini d'autorisations, plutôt qu'un suffixe unique. Cela signifie que la politique permet à l'ensemble d'autorisations d'assumer le rôle créé dans IAM même si l'ARN du rôle pour l'ensemble d'autorisations change. 

------
#### [ JSON ]

****  

  ```
  {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "AWS": "arn:aws:iam::111122223333:root"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
          "ArnLike": {
            "aws:PrincipalArn": "arn:aws:iam::111122223333:role/aws-reserved/sso.amazonaws.com/eu-west-2/AWSReservedSSO_AdministratorAccess_*"
          }
        }
      }
    ]
  }
  ```

------

  L'inclusion d'un rôle que vous créez dans IAM dans une telle politique vous fournira un accès d'urgence à vos clusters Amazon EKS ou à d'autres AWS ressources si un ensemble d'autorisations ou toutes les attributions à l'ensemble d'autorisations sont accidentellement supprimés et recréés. AWS KMS keys

# Contrôle d'accès basé sur les attributs
<a name="abac"></a>

Le contrôle d’accès par attributs (ABAC) est une stratégie d’autorisation qui définit des autorisations en fonction des attributs. Vous pouvez utiliser IAM Identity Center pour gérer l'accès à vos AWS ressources sur plusieurs sites à Comptes AWS l'aide d'attributs utilisateur provenant de n'importe quelle source d'identité IAM Identity Center. Dans AWS, ces attributs sont appelés balises. L'utilisation des attributs utilisateur sous forme de balises vous AWS permet de simplifier le processus de création d'autorisations précises AWS et de garantir que votre personnel n'a accès qu'aux AWS ressources associées aux balises correspondantes.

Par exemple, vous pouvez attribuer aux développeurs Bob et Sally, issus de deux équipes différentes, le même ensemble d'autorisations dans IAM Identity Center, puis sélectionner l'attribut du nom de l'équipe pour le contrôle d'accès. Lorsque Bob et Sally se connectent à leur Comptes AWS, IAM Identity Center envoie leur attribut de nom d'équipe dans la AWS session afin que Bob et Sally puissent accéder aux ressources AWS du projet uniquement si leur attribut de nom d'équipe correspond au tag de nom d'équipe figurant sur la ressource du projet. Si Bob rejoint l'équipe de Sally à l'avenir, vous pouvez modifier son accès en mettant simplement à jour son attribut de nom d'équipe dans le répertoire de l'entreprise. La prochaine fois que Bob se connectera, il aura automatiquement accès aux ressources de projet de sa nouvelle équipe sans avoir à mettre à jour les autorisations AWS. 

Cette approche permet également de réduire le nombre d'autorisations distinctes que vous devez créer et gérer dans IAM Identity Center, car les utilisateurs associés aux mêmes ensembles d'autorisations peuvent désormais disposer d'autorisations uniques en fonction de leurs attributs. Vous pouvez utiliser ces attributs utilisateur dans les ensembles d'autorisations et les politiques basées sur les ressources d'IAM Identity Center pour implémenter ABAC dans les AWS ressources et simplifier la gestion des autorisations à grande échelle.

## Avantages
<a name="abac-benefits"></a>

Les avantages supplémentaires de l'utilisation d'ABAC dans IAM Identity Center sont les suivants.
+ **ABAC nécessite moins d'ensembles d'autorisations** : comme vous n'avez pas à créer de politiques différentes pour les différentes fonctions, vous créez moins d'ensembles d'autorisations. Cela réduit la complexité de la gestion des autorisations.
+ **Grâce à ABAC, les équipes peuvent évoluer et se développer rapidement** : les autorisations pour les nouvelles ressources sont automatiquement accordées en fonction des attributs lorsque les ressources sont correctement étiquetées lors de leur création. 
+ **Utilisez les attributs des employés de votre annuaire d'entreprise avec ABAC** : vous pouvez utiliser les attributs des employés existants provenant de n'importe quelle source d'identité configurée dans IAM Identity Center pour prendre des décisions de contrôle d'accès dans. AWS
+ **Suivez qui accède aux ressources** — Les administrateurs de sécurité peuvent facilement déterminer l'identité d'une session en examinant les attributs de l'utilisateur AWS CloudTrail pour suivre l'activité des utilisateurs AWS.

Pour plus d'informations sur la configuration d'ABAC à l'aide de la console IAM Identity Center, consultez. [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md) Pour plus d'informations sur l'activation et la configuration d'ABAC à l'aide de l'IAM Identity Center APIs, consultez le Guide de [CreateInstanceAccessControlAttributeConfiguration](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html)référence de l'*API IAM Identity Center*.

**Topics**
+ [Avantages](#abac-benefits)
+ [Liste de contrôle : Configuration d'ABAC à AWS l'aide d'IAM Identity Center](abac-checklist.md)
+ [Attributs pour le contrôle d’accès](attributesforaccesscontrol.md)

# Liste de contrôle : Configuration d'ABAC à AWS l'aide d'IAM Identity Center
<a name="abac-checklist"></a>

Cette liste de contrôle inclut les tâches de configuration nécessaires pour préparer vos AWS ressources et configurer IAM Identity Center pour l'accès ABAC. Effectuez les tâches de cette liste de contrôle dans l'ordre. Lorsqu'un lien de référence vous amène à un sujet, revenez à ce sujet afin de pouvoir effectuer les tâches restantes de cette liste de contrôle.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/abac-checklist.html)

Une fois ces étapes terminées, les utilisateurs qui se fédérent pour Compte AWS utiliser l'authentification unique auront accès à leurs AWS ressources en fonction des attributs correspondants. 

# Attributs pour le contrôle d’accès
<a name="attributesforaccesscontrol"></a>

**Attributs pour le contrôle d'accès** est le nom de la page de la console IAM Identity Center où vous sélectionnez les attributs utilisateur que vous souhaitez utiliser dans les politiques pour contrôler l'accès aux ressources. Vous pouvez affecter des utilisateurs à des charges de travail en AWS fonction des attributs existants dans la source d'identité des utilisateurs.

Supposons, par exemple, que vous souhaitiez attribuer l'accès aux compartiments S3 en fonction des noms des départements. Sur la page **Attributs pour le contrôle d'accès**, vous sélectionnez l'attribut utilisateur **du département** à utiliser avec le contrôle d'accès basé sur les attributs (ABAC). Dans l'ensemble d'autorisations IAM Identity Center, vous rédigez ensuite une politique qui accorde l'accès aux utilisateurs uniquement lorsque l'attribut **Department** correspond à la balise de département que vous avez attribuée à vos compartiments S3. IAM Identity Center transmet l'attribut de département de l'utilisateur au compte auquel il accède. L'attribut est ensuite utilisé pour déterminer l'accès en fonction de la politique. Pour plus d'informations sur ABAC, consultez[Contrôle d'accès basé sur les attributs](abac.md). 

## Prise en main
<a name="abac-getting-started"></a>

La manière dont vous commencez à configurer les attributs pour le contrôle d'accès dépend de la source d'identité que vous utilisez. Quelle que soit la source d'identité que vous choisissez, après avoir sélectionné vos attributs, vous devez créer ou modifier les politiques relatives aux ensembles d'autorisations. Ces politiques doivent accorder aux identités des utilisateurs l'accès aux AWS ressources. 

### Choix des attributs lors de l'utilisation d'IAM Identity Center comme source d'identité
<a name="abac-getting-started-sso"></a>

Lorsque vous configurez IAM Identity Center comme source d'identité, vous devez d'abord ajouter des utilisateurs et configurer leurs attributs. Accédez ensuite à la page **Attributs pour le contrôle d'accès** et sélectionnez les attributs que vous souhaitez utiliser dans les politiques. Enfin, accédez à la **Comptes AWS**page pour créer ou modifier des ensembles d'autorisations afin d'utiliser les attributs d'ABAC.

### Choix des attributs lorsque vous AWS Managed Microsoft AD les utilisez comme source d'identité
<a name="abac-getting-started-ms-ad"></a>

Lorsque vous configurez IAM Identity Center AWS Managed Microsoft AD comme source d'identité, vous mappez d'abord un ensemble d'attributs d'Active Directory aux attributs utilisateur d'IAM Identity Center. Accédez ensuite à la page **Attributs pour le contrôle d'accès**. Choisissez ensuite les attributs à utiliser dans votre configuration ABAC en fonction de l'ensemble existant d'attributs SSO mappés à partir d'Active Directory. Enfin, créez des règles ABAC en utilisant les attributs de contrôle d'accès dans les ensembles d'autorisations pour accorder aux identités des utilisateurs l'accès aux AWS ressources. Pour obtenir la liste des mappages par défaut des attributs utilisateur dans IAM Identity Center avec les attributs utilisateur de votre AWS Managed Microsoft AD annuaire, consultez. [Mappages par défaut entre IAM Identity Center et Microsoft AD](attributemappingsconcept.md#defaultattributemappings)

### Choix des attributs lors de l'utilisation d'un fournisseur d'identité externe comme source d'identité
<a name="abac-getting-started-idp"></a>

Lorsque vous configurez IAM Identity Center avec un fournisseur d'identité externe (IdP) comme source d'identité, il existe deux manières d'utiliser les attributs pour ABAC.
+ Vous pouvez configurer votre IdP pour envoyer les attributs via des assertions SAML. Dans ce cas, IAM Identity Center transmet le nom et la valeur de l'attribut de l'IdP à des fins d'évaluation des politiques.
**Note**  
Les attributs des assertions SAML ne seront pas visibles sur la page **Attributs pour le contrôle d'accès**. Vous devez connaître ces attributs à l'avance et les ajouter aux règles de contrôle d'accès lorsque vous créez des politiques. Si vous décidez de faire confiance à votre externe IdPs pour les attributs, ces attributs seront toujours transmis lorsque les utilisateurs se fédéreront dans Comptes AWS. Dans les scénarios où les mêmes attributs arrivent à IAM Identity Center via SAML et SCIM, la valeur des attributs SCIM a priorité dans les décisions de contrôle d'accès.
+ Vous pouvez configurer les attributs que vous utilisez depuis la page **Attributs pour le contrôle d'accès** de la console IAM Identity Center. Les valeurs d'attributs que vous choisissez ici remplacent les valeurs de tous les attributs correspondants provenant d'un IdP via une assertion. Selon que vous utilisez ou non le SCIM, tenez compte des points suivants :
  + Si vous utilisez SCIM, l'IdP synchronise automatiquement les valeurs des attributs dans IAM Identity Center. Les attributs supplémentaires requis pour le contrôle d'accès peuvent ne pas figurer dans la liste des attributs SCIM. Dans ce cas, envisagez de collaborer avec l'administrateur informatique de votre IdP pour envoyer ces attributs à IAM Identity Center via des assertions SAML en utilisant le préfixe requis. `https://aws.amazon.com/SAML/Attributes/AccessControl:` Pour plus d'informations sur la façon de configurer les attributs utilisateur pour le contrôle d'accès dans votre IdP à envoyer via des assertions SAML, consultez le [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md)
  + Si vous n'utilisez pas le SCIM, vous devez ajouter manuellement les utilisateurs et définir leurs attributs comme si vous utilisiez IAM Identity Center comme source d'identité. Accédez ensuite à la page **Attributs pour le contrôle d'accès** et choisissez les attributs que vous souhaitez utiliser dans les politiques. 

Pour une liste complète des attributs pris en charge pour les attributs utilisateur dans IAM Identity Center et les attributs utilisateur dans votre environnement externe IdPs, consultez[Attributs du fournisseur d'identité externe pris en charge](attributemappingsconcept.md#supportedidpattributes).

Pour commencer à utiliser ABAC dans IAM Identity Center, consultez les rubriques suivantes.

**Topics**
+ [Prise en main](#abac-getting-started)
+ [Activer et configurer les attributs pour le contrôle d'accès](configure-abac.md)
+ [Création de politiques d'autorisation pour ABAC dans IAM Identity Center](configure-abac-policies.md)

# Activer et configurer les attributs pour le contrôle d'accès
<a name="configure-abac"></a>

[Pour utiliser le contrôle d'accès basé sur les attributs (ABAC), vous devez d'abord l'activer dans la page **Paramètres** de la console IAM Identity Center ou dans l'API IAM Identity Center.](https://docs.aws.amazon.com//singlesignon/latest/APIReference/API_CreateInstanceAccessControlAttributeConfiguration.html) Quelle que soit la source d'identité, vous pouvez toujours configurer les attributs utilisateur à partir de l'Identity Store pour les utiliser dans ABAC. Dans la console, vous pouvez le faire en accédant à l'onglet **Attributs pour le contrôle d'accès** sur la page **Paramètres**. Si vous utilisez un fournisseur d'identité externe (IdP) comme source d'identité, vous avez également la possibilité de recevoir des attributs de l'IdP externe dans des assertions SAML. Dans ce cas, vous devez configurer l'IdP externe pour envoyer les attributs souhaités. Si un attribut issu d'une assertion SAML est également défini comme un attribut ABAC dans IAM Identity Center, IAM Identity Center enverra la valeur depuis son magasin d'identités sous forme de [balise de session lors](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_session-tags.html) de la connexion à un. Compte AWS

**Note**  
Vous ne pouvez pas afficher les attributs configurés et envoyés par un IdP externe depuis la page **Attributs pour le contrôle d'accès de** la console IAM Identity Center. Si vous transmettez des attributs de contrôle d'accès dans les assertions SAML à partir de votre IdP externe, ces attributs sont directement envoyés au Compte AWS moment de la fédération des utilisateurs. Les attributs ne seront pas disponibles dans IAM Identity Center pour le mappage.

**Topics**
+ [Activer les attributs pour le contrôle d'accès](enable-abac.md)
+ [Sélectionnez vos attributs pour le contrôle d'accès](configure-abac-attributes.md)
+ [Désactiver des attributs pour le contrôle d'accès](disable-abac.md)

# Activer les attributs pour le contrôle d'accès
<a name="enable-abac"></a>

Utilisez la procédure suivante pour activer la fonctionnalité de contrôle des attributs d'accès (ABAC) à l'aide de la console IAM Identity Center.

**Note**  
Si vous disposez d'ensembles d'autorisations existants et que vous prévoyez d'activer ABAC dans votre instance IAM Identity Center, des restrictions de sécurité supplémentaires nécessitent que vous disposiez d'abord de la `iam:UpdateAssumeRolePolicy` politique. Ces restrictions de sécurité supplémentaires ne sont pas requises si aucun ensemble d'autorisations n'a été créé dans votre compte.  
Si votre instance IAM Identity Center a été créée avant décembre 2020 et que vous prévoyez d'y activer ABAC, vous devez disposer de la `iam:UpdateAssumeRolePolicy` politique associée au rôle administratif IAM Identity Center, que vous ayez ou non créé des ensembles d'autorisations dans votre compte.

**Pour activer les attributs pour le contrôle d'accès**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Choisissez **les paramètres**

1. Sur la page **Paramètres**, recherchez la zone **Attributs pour les informations de contrôle d'accès**, puis choisissez **Activer**. Passez à la procédure suivante pour le configurer.

# Sélectionnez vos attributs pour le contrôle d'accès
<a name="configure-abac-attributes"></a>

Utilisez la procédure suivante pour configurer les attributs de votre configuration ABAC. 

**Pour sélectionner vos attributs à l'aide de la console IAM Identity Center**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Choisissez **les paramètres**

1. Sur la page **Paramètres**, choisissez l'onglet **Attributs pour le contrôle d'accès**, puis sélectionnez **Gérer les attributs**.

1. Sur la page **Attributs pour le contrôle d'accès**, choisissez **Ajouter un attribut** et entrez les détails de la **clé** et de **la valeur**. C'est ici que vous allez mapper l'attribut provenant de votre source d'identité à un attribut transmis par IAM Identity Center en tant que balise de session.  
![\[Détails des valeurs clés dans la console IAM Identity Center.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/abac_key_value.png)

   La **clé** représente le nom que vous donnez à l'attribut à utiliser dans les politiques. Il peut s'agir de n'importe quel nom arbitraire, mais vous devez le spécifier exactement dans les politiques que vous créez pour le contrôle d'accès. Supposons, par exemple, que vous utilisiez Okta (un IdP externe) comme source d'identité et que vous deviez transmettre les données du centre de coûts de votre organisation sous forme de balises de session. Dans **Key**, vous devez saisir un nom correspondant de la même manière, **CostCenter**comme votre nom de clé. Il est important de noter que quel que soit le nom que vous choisissez ici, il doit également porter exactement le même nom dans votre nom `Clé de condition aws:PrincipalTag` (c'est-à-dire,`"ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"`).
**Note**  
Utilisez un attribut à valeur unique pour votre clé, par exemple,**Manager**. IAM Identity Center ne prend pas en charge les attributs à valeurs multiples pour ABAC, par exemple. **Manager, IT Systems**

   La **valeur** représente le contenu de l'attribut provenant de votre source d'identité configurée. Vous pouvez saisir ici n'importe quelle valeur de la table des sources d'identité appropriée répertoriée dans[Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes](attributemappingsconcept.md). Par exemple, en utilisant le contexte fourni dans l'exemple mentionné ci-dessus, vous examineriez la liste des attributs IdP pris en charge et détermineriez que la correspondance la plus proche d'un attribut pris en charge serait, **`${path:enterprise.costCenter}`**puis vous la saisiriez dans le champ **Valeur**. Voir la capture d'écran ci-dessus pour référence. Notez que vous ne pouvez pas utiliser de valeurs d'attributs IdP externes en dehors de cette liste pour ABAC, sauf si vous utilisez l'option de transmission d'attributs via l'assertion SAML.

1. Sélectionnez **Enregistrer les modifications**.

Maintenant que vous avez configuré le mappage de vos attributs de contrôle d'accès, vous devez terminer le processus de configuration ABAC. Pour ce faire, créez vos règles ABAC et ajoutez-les aux politiques basées sur les and/or ressources de vos ensembles d'autorisations. Cela est nécessaire pour que vous puissiez accorder aux identités des utilisateurs l'accès aux AWS ressources. Pour de plus amples informations, veuillez consulter [Création de politiques d'autorisation pour ABAC dans IAM Identity Center](configure-abac-policies.md).

# Désactiver des attributs pour le contrôle d'accès
<a name="disable-abac"></a>

Utilisez la procédure suivante pour désactiver la fonctionnalité ABAC et supprimer tous les mappages d'attributs qui ont été configurés. 

**Pour désactiver les attributs pour le contrôle d'accès**

1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).

1. Sélectionnez **Paramètres**.

1. Sur la page **Paramètres**, choisissez l'onglet **Attributs pour le contrôle d'accès**, puis sélectionnez **Gérer les attributs**.

1. Sur la page **Gérer les attributs pour le contrôle d'accès**, choisissez **Désactiver**.

1. Dans la fenêtre de dialogue **Désactiver les attributs pour le contrôle d'accès**, passez en revue les informations et, lorsque vous êtes prêt**DISABLE**, saisissez-les, puis choisissez **Confirmer**.
**Important**  
Cette étape supprime tous les attributs et arrête leur utilisation pour le contrôle d'accès lors de la fédération, Comptes AWS que des attributs soient présents ou non dans les assertions SAML d'un fournisseur de source d'identité externe.

# Création de politiques d'autorisation pour ABAC dans IAM Identity Center
<a name="configure-abac-policies"></a>

Vous pouvez créer des politiques d'autorisation qui déterminent qui peut accéder à vos AWS ressources en fonction de la valeur d'attribut configurée. Lorsque vous activez ABAC et que vous spécifiez des attributs, IAM Identity Center transmet la valeur d'attribut de l'utilisateur authentifié à IAM afin de l'utiliser dans le cadre de l'évaluation des politiques.

## Clé de condition aws:PrincipalTag
<a name="abac-principaltag"></a>

Vous pouvez utiliser des attributs de contrôle d'accès dans vos ensembles d'autorisations à l'aide de la clé de `aws:PrincipalTag` condition pour créer des règles de contrôle d'accès. Par exemple, dans la politique suivante, vous pouvez étiqueter toutes les ressources de votre organisation avec leurs centres de coûts respectifs. Vous pouvez également utiliser un ensemble d'autorisations unique qui accorde aux développeurs l'accès aux ressources de leur centre de coûts. Désormais, chaque fois que les développeurs se fédérent dans le compte à l'aide de l'authentification unique et de leur attribut de centre de coûts, ils n'ont accès qu'aux ressources de leurs centres de coûts respectifs. Au fur et à mesure que l'équipe ajoute des développeurs et des ressources à son projet, il vous suffit de baliser les ressources avec le centre de coûts approprié. Vous transmettez ensuite les informations du centre de coûts lors de la AWS session dans laquelle les développeurs se Comptes AWS fédérent. Ainsi, à mesure que l'organisation ajoute de nouvelles ressources et de nouveaux développeurs au centre de coûts, les développeurs peuvent gérer les ressources alignées sur leurs centres de coûts sans avoir besoin de mettre à jour les autorisations.

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/CostCenter": "${aws:PrincipalTag/CostCenter}"
                }
            }
        }
    ]
}
```

------

Pour plus d'informations, consultez [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-principaltag)et [EC2 : Démarrer ou arrêter des instances en fonction de la correspondance des balises principale et ressource](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2-start-stop-match-tags.html) dans le guide de l'*utilisateur IAM*.

Si les politiques contiennent des attributs non valides dans leurs conditions, la condition de politique échouera et l'accès sera refusé. Pour de plus amples informations, veuillez consulter [Erreur « Une erreur inattendue s'est produite » lorsqu'un utilisateur tente de se connecter à l'aide d'un fournisseur d'identité externe](troubleshooting.md#issue8).

# Comprendre les rôles liés aux services dans IAM Identity Center
<a name="slrconcept"></a>

Les [rôles liés à un service sont des](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html?icmpid=docs_iam_console#iam-term-service-linked-role) autorisations IAM prédéfinies qui permettent à IAM Identity Center de déléguer et d'appliquer les utilisateurs disposant d'un accès par authentification unique à des utilisateurs spécifiques Comptes AWS de votre organisation dans. AWS Organizations Le service active cette fonctionnalité en attribuant un rôle lié au service Compte AWS dans chaque élément de son organisation. Le service permet ensuite à d'autres AWS services tels que IAM Identity Center de tirer parti de ces rôles pour effectuer des tâches liées au service. Pour plus d'informations, voir [AWS Organizations et rôles liés à un service](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html#orgs_integrate_services-using_slrs).

Lorsque vous activez IAM Identity Center, IAM Identity Center crée un rôle lié à un service dans tous les comptes de l'organisation dans. AWS Organizations IAM Identity Center crée également le même rôle lié au service dans chaque compte ajouté ultérieurement à votre organisation. Ce rôle permet à IAM Identity Center d'accéder aux ressources de chaque compte en votre nom. Pour de plus amples informations, veuillez consulter [Configurer l'accès à Comptes AWS](manage-your-accounts.md). 

Les rôles liés à un service créés dans chacun d'eux Compte AWS sont nommés. `AWSServiceRoleForSSO` Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour IAM Identity Center](using-service-linked-roles.md).

**Remarques**  
Si vous êtes connecté au compte de AWS Organizations gestion, celui-ci utilise votre rôle actuellement connecté et non le rôle lié au service. Cela empêche l'escalade des privilèges.
Lorsque IAM Identity Center effectue des opérations IAM dans le compte de AWS Organizations gestion, toutes les opérations sont effectuées à l'aide des informations d'identification du principal IAM. Cela permet aux connexions de CloudTrail savoir qui a effectué tous les changements de privilèges dans le compte de gestion.