Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Configuration de l'accès aux applications
Vous pouvez ainsi contrôler les personnes autorisées à accéder à vos applications par authentification unique. AWS IAM Identity Center Les utilisateurs peuvent accéder facilement à ces applications une fois qu'ils ont utilisé les informations d'identification de leur annuaire pour se connecter.
IAM Identity Center communique en toute sécurité avec ces applications grâce à une relation de confiance entre IAM Identity Center et le fournisseur de services de l'application. Cette confiance peut être créée de différentes manières, selon le type d'application.
IAM Identity Center prend en charge deux types d'applications : les [applications AWS gérées et les applications](awsapps.md) [gérées par le client](customermanagedapps.md). AWS les applications gérées sont configurées directement depuis les consoles d'application pertinentes ou via l'application APIs. Les applications gérées par le client doivent être ajoutées à la console IAM Identity Center et configurées avec les métadonnées appropriées à la fois pour IAM Identity Center et pour le fournisseur de services.
Après avoir configuré les applications pour qu'elles fonctionnent avec IAM Identity Center, vous pouvez gérer les utilisateurs ou les groupes qui accèdent aux applications. Par défaut, aucun utilisateur n'est affecté aux applications.
Vous pouvez également accorder à vos employés l'accès AWS Management Console au formulaire spécifique Compte AWS de votre organisation. Pour de plus amples informations, veuillez consulter [Configurer l'accès à Comptes AWS](manage-your-accounts.md).
**Topics**
+ [AWS applications gérées](awsapps.md)
+ [Applications gérées par le client](customermanagedapps.md)
+ [Vue d'ensemble de la propagation d'identités fiables](trustedidentitypropagation-overview.md)
+ [Configuration de votre propre application OAuth 2.0](trustedidentitypropagation-using-customermanagedapps-setup.md)
+ [Rotation des certificats IAM Identity Center](managecerts.md)
+ [Comprendre les propriétés de l'application dans la console IAM Identity Center](appproperties.md)
+ [Attribuer un accès utilisateur aux applications dans la console IAM Identity Center](assignuserstoapp.md)
+ [Supprimer l'accès des utilisateurs aux applications SAML 2.0](removeaccessfromapp.md)
+ [Associez les attributs de votre application aux attributs d'IAM Identity Center](mapawsssoattributestoapp.md)
# AWS applications gérées
AWS IAM Identity Center rationalise et simplifie la tâche consistant à connecter les utilisateurs de votre personnel à des applications AWS gérées telles que Kiro et Amazon Quick. Avec IAM Identity Center, vous pouvez connecter votre fournisseur d'identité existant une seule fois et synchroniser les utilisateurs et les groupes à partir de votre annuaire, ou créer et gérer vos utilisateurs directement dans IAM Identity Center. En fournissant un point de fédération unique, IAM Identity Center élimine le besoin de configurer la fédération ou la synchronisation des utilisateurs et des groupes pour chaque application et réduit vos efforts administratifs. Vous bénéficiez également d'une [vue commune des attributions des utilisateurs et des groupes](howtoviewandchangepermissionset.md).
Pour un tableau des AWS applications qui fonctionnent avec IAM Identity Center, voir[AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md).
## Contrôle de l'accès aux applications AWS gérées
L'accès aux applications AWS gérées est contrôlé de deux manières :
+ **Entrée initiale dans l'application**
IAM Identity Center gère cela par le biais d'assignations à l'application. Par défaut, les affectations sont obligatoires pour les applications AWS gérées. Si vous êtes administrateur d'applications, vous pouvez choisir d'exiger ou non des affectations à une application.
Si des attributions sont requises, lorsque les utilisateurs se connectent à l'application Portail d'accès AWS, seuls les utilisateurs affectés à l'application directement ou par le biais d'une attribution de groupe peuvent voir la vignette de l'application.
Si aucune attribution n'est requise, vous pouvez autoriser tous les utilisateurs d'IAM Identity Center à accéder à l'application. Dans ce cas, l'application gère l'accès aux ressources et la vignette de l'application est visible par tous les utilisateurs qui consultent le Portail d'accès AWS.
**Important**
Si vous êtes administrateur d'IAM Identity Center, vous pouvez utiliser la console IAM Identity Center pour supprimer des attributions aux applications AWS gérées. Avant de supprimer des attributions, nous vous recommandons de vous concerter avec l'administrateur de l'application. Vous devez également vous coordonner avec l'administrateur de l'application si vous envisagez de modifier le paramètre qui détermine si des affectations sont requises ou d'automatiser les affectations d'applications.
+ **Accès aux ressources de l'application**
L'application gère cela par le biais d'affectations de ressources indépendantes qu'elle contrôle.
AWS les applications gérées fournissent une interface utilisateur administrative que vous pouvez utiliser pour gérer l'accès aux ressources de l'application. Par exemple, les administrateurs Quick peuvent assigner aux utilisateurs l'accès aux tableaux de bord en fonction de leur appartenance à un groupe. La plupart des applications AWS gérées offrent également une AWS Management Console expérience qui vous permet d'attribuer des utilisateurs à l'application. L'expérience de console de ces applications peut intégrer les deux fonctions, afin de combiner les capacités d'attribution des utilisateurs avec la capacité de gérer l'accès aux ressources de l'application.
## Partage d'informations d'identité
### Considérations relatives au partage des informations d'identité dans Comptes AWS
IAM Identity Center prend en charge les attributs les plus couramment utilisés dans toutes les applications. Ces attributs incluent le prénom et le nom de famille, le numéro de téléphone, l'adresse e-mail, l'adresse et la langue préférée. Examinez attentivement quelles applications et quels comptes peuvent utiliser ces informations personnelles identifiables.
Vous pouvez contrôler l'accès à ces informations de l'une des manières suivantes :
+ Vous pouvez choisir d'activer l'accès uniquement dans le compte AWS Organizations de gestion ou dans tous les comptes de AWS Organizations.
+ Vous pouvez également utiliser les politiques de contrôle des services (SCPs) pour contrôler quelles applications peuvent accéder aux informations dans quels comptes AWS Organizations.
Par exemple, si vous activez l'accès uniquement dans le compte de AWS Organizations gestion, les applications des comptes membres n'ont pas accès aux informations. Toutefois, si vous activez l'accès dans tous les comptes, vous pouvez interdire l'accès SCPs à toutes les applications, à l'exception de celles que vous souhaitez autoriser.
Les politiques de contrôle des services sont une fonctionnalité de AWS Organizations. Pour obtenir des instructions sur la connexion d'un SCP, consultez les [politiques de contrôle de service relatives à l'attachement et au détachement](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html) du guide de l'*AWS Organizations utilisateur*.
### Configuration d'IAM Identity Center pour partager les informations d'identité
IAM Identity Center fournit une banque d'identités qui contient les attributs des utilisateurs et des groupes, à l'exception des informations de connexion. Vous pouvez utiliser l'une des méthodes suivantes pour maintenir à jour les utilisateurs et les groupes de votre banque d'identités IAM Identity Center :
+ Utilisez le magasin d'identités IAM Identity Center comme source d'identité principale. Si vous choisissez cette méthode, vous gérez vos utilisateurs, leurs identifiants de connexion et les groupes depuis la console IAM Identity Center ou AWS Command Line Interface ()AWS CLI. Pour de plus amples informations, veuillez consulter [Gérer les utilisateurs dans le répertoire Identity Center](manage-your-identity-source-sso.md).
+ Configurez le provisionnement (synchronisation) des utilisateurs et des groupes provenant de l'une des sources d'identité suivantes vers votre banque d'identités IAM Identity Center :
+ **Active Directory** — Pour plus d'informations, consultez[Microsoft ADannuaire](manage-your-identity-source-ad.md).
+ **Fournisseur d'identité externe** : pour plus d'informations, consultez[Fournisseurs d'identité externes](manage-your-identity-source-idp.md).
Si vous choisissez cette méthode de provisionnement, vous continuez à gérer vos utilisateurs et vos groupes depuis votre source d'identité, et ces modifications sont synchronisées avec le magasin d'identités IAM Identity Center.
Quelle que soit la source d'identité que vous choisissez, IAM Identity Center peut partager les informations relatives aux utilisateurs et aux groupes avec les applications AWS gérées. Ainsi, vous pouvez connecter une source d'identité à IAM Identity Center une seule fois, puis partager les informations d'identité avec plusieurs applications du AWS Cloud. Il n'est donc plus nécessaire de configurer indépendamment la fédération et le provisionnement des identités pour chaque application. Cette fonctionnalité de partage permet également de donner facilement à vos utilisateurs l'accès à de nombreuses applications de différentes manières Comptes AWS.
## Limiter l'utilisation des applications AWS gérées
Lorsque vous activez IAM Identity Center pour la première fois, il devient disponible en tant que source d'identité pour les applications AWS gérées sur tous les comptes de votre AWS Organizations compte. Pour restreindre les applications, vous devez implémenter des politiques de contrôle des services (SCPs). SCPs sont une fonctionnalité AWS Organizations que vous pouvez utiliser pour contrôler de manière centralisée les autorisations maximales que peuvent avoir les identités (utilisateurs et rôles) au sein de votre organisation. Vous pouvez l'utiliser SCPs pour bloquer l'accès aux informations des utilisateurs et des groupes IAM Identity Center et pour empêcher le démarrage de l'application, sauf pour les comptes désignés. Pour plus d'informations, voir [Politiques de contrôle des services (SCPs)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *guide de AWS Organizations l'utilisateur.*
L'exemple de SCP suivant bloque l'accès aux informations des utilisateurs et des groupes IAM Identity Center et empêche le démarrage de l'application, sauf pour les comptes désignés (111111111111 et 222222222222) :
```
{
"Sid": "DenyIdCExceptInDesignatedAWSAccounts",
"Effect": "Deny",
"Action": [
"identitystore:*",
"sso:*",
"sso-directory:*",
"sso-oauth:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
}
}
}
```
# AWS applications gérées que vous pouvez utiliser avec IAM Identity Center
IAM Identity Center vous permet de connecter votre source d'identité existante ou de créer des utilisateurs une seule fois. Cela permet aux administrateurs d'applications de gérer l'accès aux applications AWS gérées suivantes sans fédération séparée ni synchronisation entre les utilisateurs et les groupes.
Toutes les applications AWS gérées figurant dans le tableau suivant s'intègrent aux [instances organisationnelles d'IAM Identity Center](organization-instances-identity-center.md). Le tableau fournit également des informations sur les points suivants pour une application AWS gérée prise en charge :
+ Si l'application s'intègre également aux instances de compte d'IAM Identity Center
+ Si l'application peut permettre une propagation d'identité fiable via IAM Identity Center
+ Si l'application prend en charge le centre d'identité IAM configuré avec une clé KMS gérée par le client
+ Si l'application prend en charge le déploiement dans d'autres régions d'IAM Identity Center
**Note**
Les applications qui prennent en charge le déploiement dans des régions supplémentaires d'IAM Identity Center prennent également en charge IAM Identity Center configuré avec une clé KMS gérée par le client. Chaque application AWS gérée répertoriée ici prend en charge le déploiement dans la région principale. Pour de plus amples informations, veuillez consulter [Déploiement et gestion d'applications AWS gérées sur plusieurs Régions AWS](multi-region-application-use.md#multi-region-aws-managed-applications).
**AWS applications gérées qui s'intègrent à IAM Identity Center**
| AWS application gérée | Intégré aux [instances de compte d'IAM Identity Center](account-instances-identity-center.md) | Permet une [propagation d'identité fiable](trustedidentitypropagation-overview.md) via IAM Identity Center | Supporte le centre d'identité IAM configuré avec une clé [KMS gérée par le client](encryption-at-rest.md) | Prend en charge le déploiement dans [des régions supplémentaires d'IAM Identity Center](multi-region-iam-identity-center.md) |
| --- | --- | --- | --- | --- |
| Amazon Athena SQL | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon CodeCatalyst | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon DataZone | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Fonctionnalités d’Amazon EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon EMR sur EC2 | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon EMR on EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon EMR sans serveur | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon EMR Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon Kendra | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon Managed Grafana | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon Monitron | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon OpenSearch Service | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon OpenSearch Service Serverless Service | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon Q Business | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon Quick | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon Redshift | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg)Oui 2 | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui |
| Amazon S3 Access Grants | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui |
| Amazon SageMaker Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon SageMaker Unified Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon WorkMail | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon WorkSpaces | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Amazon WorkSpaces Secure Browser | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| AWS App Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| AWS Deadline Cloud | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui |
| AWS Glue | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| AWS IoT Events | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| AWS IoT SiteWise | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| AWS Lake Formation | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui |
| AWS re:Post privé | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| AWS Supply Chain | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| AWS Systems Manager | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg)Oui - Fleet Manager Remote Desktop |
| AWS Transfer Family applications Web | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| AWS Transformation | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Accès vérifié par AWS | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Kiro | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg)Oui 1 | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| Approbation multipartite | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
| OpenSearch user interface (Dashboards) | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/success_icon.svg) Oui | ![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/negative_icon.svg) Non |
1 Pour Kiro, les instances de compte d'IAM Identity Center sont prises en charge, sauf si vos utilisateurs ont besoin d'accéder à l'ensemble complet des fonctionnalités de Kiro sur les sites Web. AWS Pour plus d'informations, consultez la section [Configuration de Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/getting-started-q-dev.html) dans le guide de l'*utilisateur de Kiro*.
2 Pour Amazon Redshift, les instances de compte d'IAM Identity Center sont prises en charge, à l'exception des applications telles que Query Editor v2 qui nécessitent des ensembles d'autorisations, qui ne sont pas prises en charge par les instances de compte.
**Note**
Certains AWS services tels qu'Amazon Connect ne AWS Client VPN figurent pas dans ce tableau, bien que vous puissiez les utiliser avec IAM Identity Center. En effet, elles s'intègrent à IAM Identity Center exclusivement à l'aide de SAML et sont donc classées dans la catégorie des applications [gérées par le client](customermanagedapps.md).
# Démarrage rapide : Configuration d'IAM Identity Center pour tester les applications AWS gérées
Si votre administrateur ne vous a pas encore donné accès à IAM Identity Center, vous pouvez suivre les étapes décrites dans cette rubrique pour configurer IAM Identity Center afin de tester les applications AWS gérées. Vous apprendrez comment activer IAM Identity Center, créer un utilisateur directement dans IAM Identity Center et affecter cet utilisateur à une application AWS gérée.
Cette rubrique décrit les étapes de démarrage rapide permettant d'activer IAM Identity Center de l'une des manières suivantes :
+ **Avec AWS Organizations** : si vous choisissez cette option, une *instance d'organisation* d'IAM Identity Center est créée.
+ **Uniquement dans votre cas spécifique Compte AWS** : si vous choisissez cette option, une *instance de compte* d'IAM Identity Center est créée.
Pour plus d'informations sur ces types d'instances, consultez[Instances d'organisation et de compte d'IAM Identity Center](identity-center-instances.md).
## Conditions préalables
Avant d'activer IAM Identity Center, vérifiez les points suivants :
+ **Vous avez un Compte AWS** — Si vous n'en avez pas Compte AWS, consultez la section [Commencer avec un Compte AWS](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html) dans le *Guide de référence de gestion de AWS compte.*
+ **L'application AWS gérée fonctionne avec IAM Identity Center** : consultez la liste des [AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md) pour vérifier que l'application AWS gérée que vous souhaitez tester fonctionne avec IAM Identity Center.
+ **Vous avez examiné les considérations régionales** : assurez-vous que l'application AWS gérée que vous souhaitez tester est prise en charge dans l' Région AWS endroit où vous activez IAM Identity Center. Pour plus d'informations, consultez la documentation de l'application AWS gérée.
**Note**
Vous devez déployer votre application AWS gérée dans la même région où vous prévoyez d'activer IAM Identity Center.
## Configuration d'une instance organisationnelle d'IAM Identity Center pour tester les applications AWS gérées
**Note**
Cette rubrique décrit comment activer IAM Identity Center avec AWS Organizations, méthode recommandée pour activer IAM Identity Center.
**Confirmez vos autorisations**
Pour activer IAM Identity Center avec AWS Organizations, vous devez vous connecter à la console de AWS gestion en utilisant l'une des méthodes suivantes :
+ Un utilisateur disposant d'autorisations administratives dans le Compte AWS cadre duquel IAM Identity Center sera activé. AWS Organizations
+ L'utilisateur root (déconseillé sauf s'il n'existe aucun autre utilisateur administratif).
**Important**
L'utilisateur root a accès à tous les AWS services et ressources du compte. Pour des raisons de sécurité, à moins que vous ne disposiez d'aucune autre information d'identification, n'utilisez pas les informations d'identification root de votre compte pour accéder aux AWS ressources. Ces informations d’identification offrent un accès illimité au compte et sont difficiles à révoquer.
### Étape 1. Activez IAM Identity Center avec AWS Organizations
1. Procédez de l'une des manières suivantes pour vous connecter au AWS Management Console.
+ **Nouvel utilisateur AWS (utilisateur root)** : connectez-vous en tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
+ **Utilisez-le déjà AWS avec un appareil autonome Compte AWS (informations d'identification IAM)** : connectez-vous à l'aide de vos informations d'identification IAM avec des autorisations administratives.
1. Sur la page d'accueil de la console de AWS gestion, sélectionnez le service IAM Identity Center ou accédez à la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Activer**, puis activez IAM Identity Center avec AWS Organizations. Ce faisant, vous créez une [instance d'organisation](organization-instances-identity-center.md) d'IAM Identity Center.
### Étape 2. Création d'un utilisateur administratif dans IAM Identity Center
Cette procédure décrit comment créer un utilisateur directement dans le répertoire intégré d'Identity Center. Ce répertoire n'est connecté à aucun autre répertoire que votre administrateur pourrait utiliser pour gérer les utilisateurs du personnel. Après avoir créé l'utilisateur dans IAM Identity Center, vous devez spécifier de nouvelles informations d'identification pour cet utilisateur. Lorsque vous vous connectez en tant qu'utilisateur pour tester votre application AWS gérée, vous vous connectez avec les nouvelles informations d'identification, et non avec les informations d'identification existantes que vous utilisez pour accéder aux ressources de l'entreprise.
**Note**
Nous vous recommandons d'utiliser cette méthode pour créer des utilisateurs à des fins de test uniquement.
1. Dans le volet de navigation de la console IAM Identity Center, sélectionnez **Utilisateurs**, puis **Ajouter un utilisateur**.
1. Suivez les instructions de la console pour ajouter l'utilisateur. Gardez la **case Envoyer un e-mail à cet utilisateur avec les instructions de configuration du mot de passe** sélectionnée et assurez-vous de spécifier une adresse e-mail à laquelle vous avez accès.
1. Dans le volet de navigation, choisissez Comptes AWS, cochez la case à côté de votre compte, puis choisissez **Attribuer des utilisateurs ou des groupes**.
1. Choisissez l'onglet **Utilisateurs**, cochez la case à côté de l'utilisateur que vous venez d'ajouter, puis cliquez sur **Suivant**.
1. Choisissez **Créer un ensemble d'autorisations**, puis suivez les instructions de la console pour créer le jeu d'autorisations `AdministratorAccess` prédéfini.
1. Lorsque vous avez terminé, le nouvel ensemble d'autorisations apparaît dans la liste. Fermez l'onglet **Ensembles d'autorisations** dans la fenêtre de votre navigateur, revenez à l'onglet **Attribuer des utilisateurs et des groupes**, puis cliquez sur l'icône d'actualisation à côté de **Créer un ensemble d'autorisations**.
1. Dans l'onglet du navigateur **Attribuer des utilisateurs et des groupes**, le nouvel ensemble d'autorisations apparaît dans la liste. Cochez la case à côté du nom de l'ensemble d'autorisations, choisissez **Suivant**, puis **Soumettre**.
1. Déconnectez-vous de la console .
### Étape 3. Connectez-vous au portail d' AWS accès en tant qu'utilisateur administratif
Le portail AWS d'accès est un portail Web qui permet à l'utilisateur que vous avez créé d'accéder à la console AWS de gestion. Avant de pouvoir vous connecter au portail AWS d'accès, vous devez accepter l'invitation à rejoindre IAM Identity Center et activer vos informations d'identification utilisateur.
1. Vérifiez dans votre e-mail la ligne d'objet de l'**invitation à rejoindre AWS IAM Identity Center**.
1. Choisissez **Accepter l'invitation** et suivez les instructions de la page d'inscription pour définir un nouveau mot de passe, vous connecter et enregistrer un appareil MFA pour votre utilisateur.
1. Après avoir enregistré votre appareil MFA, le portail d' AWS accès s'ouvre.
1. Dans le portail AWS d'accès, sélectionnez votre Compte AWS et choisissez **AdministratorAccess**. Vous êtes redirigé vers la console AWS de gestion.
### Étape 4 : Configurer l'application AWS gérée pour utiliser IAM Identity Center
1. Lorsque vous êtes connecté à la console AWS de gestion, ouvrez la console de l'application AWS gérée que vous comptez utiliser.
1. Suivez les instructions de la console pour configurer l'application AWS gérée afin qu'elle utilise IAM Identity Center. Au cours de ce processus, vous pouvez affecter l'utilisateur que vous avez créé à l'application.
## Configuration d'une instance de compte d'IAM Identity Center pour tester les applications AWS gérées
**Note**
Une instance de compte d'IAM Identity Center limite votre déploiement à une seule Compte AWS instance. Vous devez activer cette instance de la même manière Région AWS que l' AWS application que vous souhaitez tester.
**Confirmez votre application**
Toutes les applications AWS gérées qui fonctionnent avec IAM Identity Center peuvent être utilisées avec les instances organisationnelles d'IAM Identity Center. Toutefois, seules certaines de ces applications peuvent être utilisées avec des instances de compte d'IAM Identity Center. Consultez la liste des[AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md).
### Étape 1. Activation d’une instance de compte d’IAM Identity Center
1. Procédez de l'une des manières suivantes pour vous connecter au AWS Management Console.
+ **Nouvel utilisateur AWS (utilisateur root)** : connectez-vous en tant que propriétaire du compte en choisissant **Utilisateur root** et en saisissant votre adresse Compte AWS e-mail. Sur la page suivante, saisissez votre mot de passe.
+ **Utilisez-le déjà AWS avec un appareil autonome Compte AWS (informations d'identification IAM)** : connectez-vous à l'aide de vos informations d'identification IAM avec des autorisations administratives.
1. Sur la page d'accueil de la console de AWS gestion, sélectionnez le service IAM Identity Center ou accédez à la console [IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Activer**.
1. Sur la AWS Organizations page **Activer le centre d'identité IAM avec**, choisissez **activer une instance de compte d'IAM Identity** Center.
1. Sur la page **Activer l'instance de compte d'IAM Identity Center**, passez en revue les informations et ajoutez éventuellement les balises que vous souhaitez associer à cette instance de compte. Puis choisissez **Enable**.
### Étape 2. Création d'un utilisateur dans IAM Identity Center
Cette procédure décrit comment créer un utilisateur directement dans le répertoire intégré d'Identity Center. Ce répertoire n'est connecté à aucun autre répertoire que votre administrateur pourrait utiliser pour gérer les utilisateurs du personnel. Après avoir créé l'utilisateur dans IAM Identity Center, vous devez spécifier de nouvelles informations d'identification pour cet utilisateur. Lorsque vous vous connectez en tant qu'utilisateur pour tester votre application AWS gérée, vous vous connectez avec les nouvelles informations d'identification. Les nouvelles informations d'identification ne vous permettront pas d'accéder aux autres ressources de l'entreprise.
**Note**
Nous vous recommandons d'utiliser cette méthode pour créer des utilisateurs à des fins de test uniquement.
1. Dans le volet de navigation de la console IAM Identity Center, sélectionnez **Utilisateurs**, puis **Ajouter un utilisateur**.
1. Suivez les instructions de la console pour ajouter l'utilisateur. Gardez la **case Envoyer un e-mail à cet utilisateur avec les instructions de configuration du mot de passe** sélectionnée et assurez-vous de spécifier une adresse e-mail à laquelle vous avez accès.
1. Déconnectez-vous de la console .
### Étape 3. Connectez-vous au portail d' AWS accès en tant qu'utilisateur de votre IAM Identity Center
Le portail AWS d'accès est un portail Web qui permet à l'utilisateur que vous avez créé d'accéder à la console AWS de gestion. Avant de pouvoir vous connecter au portail AWS d'accès, vous devez accepter l'invitation à rejoindre IAM Identity Center et activer vos informations d'identification utilisateur.
1. Vérifiez dans votre e-mail la ligne d'objet de l'**invitation à rejoindre AWS IAM Identity Center**.
1. Choisissez **Accepter l'invitation** et suivez les instructions de la page d'inscription pour définir un nouveau mot de passe, vous connecter et enregistrer un appareil MFA pour votre utilisateur.
1. Après avoir enregistré votre appareil MFA, le portail d' AWS accès s'ouvre. Lorsque des applications sont disponibles, vous les trouverez sous l'onglet **Applications**.
**Note**
AWS les applications qui prennent en charge les instances de compte permettent aux utilisateurs de se connecter aux applications sans avoir besoin d'autorisations supplémentaires. Par conséquent, l'onglet **Comptes** restera vide.
### Étape 4 : Configurer l'application AWS gérée pour utiliser IAM Identity Center
1. Lorsque vous êtes connecté à la console AWS de gestion, ouvrez la console de l'application AWS gérée que vous comptez utiliser.
1. Suivez les instructions de la console pour configurer l'application AWS gérée afin qu'elle utilise IAM Identity Center. Au cours de ce processus, vous pouvez affecter l'utilisateur que vous avez créé à l'application.
# Afficher et modifier les détails d'une application AWS gérée
Une fois que vous avez connecté une application AWS gérée à IAM Identity Center à l'aide de la console ou APIs pour l'application, l'application est enregistrée auprès d'IAM Identity Center. Une fois qu'une application est enregistrée auprès d'IAM Identity Center, vous pouvez consulter et modifier les détails de l'application dans la console IAM Identity Center.
Les informations relatives à l'application indiquent si des affectations d'utilisateurs et de groupes sont requises et, le cas échéant, des utilisateurs et des groupes assignés et des applications fiables pour la propagation des identités. Pour plus d'informations sur la propagation d'identités fiables, consultez[Vue d'ensemble de la propagation d'identités fiables](trustedidentitypropagation-overview.md).
**Pour afficher et modifier les informations relatives à une application AWS gérée dans la console IAM Identity Center**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Choisissez l'onglet **AWS géré**.
1. Choisissez le lien de l'application gérée que vous souhaitez ouvrir et afficher.
1. Si vous souhaitez modifier les informations relatives à une application AWS gérée, choisissez **Action**, puis **Modifier les détails**.
1. Vous pouvez modifier le nom d'affichage et la description de l'application, ainsi que la méthode d'attribution des utilisateurs et des groupes.
1. Pour modifier le nom d'affichage, entrez le nom souhaité dans le champ **Nom d'affichage** et choisissez **Enregistrer les modifications**.
1. Pour modifier la description, entrez la description souhaitée dans le champ **Description** et choisissez **Enregistrer les modifications**.
1. Pour modifier la méthode d'attribution des utilisateurs et des groupes, effectuez les modifications souhaitées et choisissez **Enregistrer les modifications**. Pour de plus amples informations, veuillez consulter [Utilisateurs, groupes et provisionnement dans IAM Identity Center](users-groups-provisioning.md).
# Désactivation d'une application AWS gérée
Pour empêcher les utilisateurs de s'authentifier auprès d'une application AWS gérée, vous pouvez désactiver l'application dans la console IAM Identity Center.
**Pour désactiver une application AWS gérée**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Sur la page **Applications**, sous **Applications AWS gérées**, choisissez l'application que vous souhaitez désactiver.
1. Une fois l'application sélectionnée, choisissez **Actions**, puis sélectionnez **Désactiver**.
1. Dans la boîte de dialogue **Désactiver l'application**, choisissez **Désactiver**.
1. Dans la liste des **applications AWS gérées**, le statut de l'application apparaît comme **Inactif**.
**Note**
**Si une application AWS gérée est désactivée, vous pouvez rétablir la capacité des utilisateurs à s'authentifier auprès de l'application en choisissant **Actions** puis Activer.**
# Activation de sessions de console à identité améliorée
Une session à identité améliorée pour la console améliore la session de AWS console d'un utilisateur en fournissant un contexte utilisateur supplémentaire pour personnaliser l'expérience de cet utilisateur. Cette fonctionnalité est actuellement prise en charge pour les utilisateurs de Kiro Pro [sur les AWS applications et](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html) les sites Web.
Vous pouvez activer les sessions de console à identité améliorée sans modifier les modèles d'accès existants ni la fédération dans la AWS console. Si vos utilisateurs se connectent à la AWS console via IAM (par exemple, s'ils se connectent en tant qu'utilisateurs IAM ou via un accès fédéré avec IAM), ils peuvent continuer à utiliser ces méthodes. Si vos utilisateurs se connectent au portail AWS d'accès, ils peuvent continuer à utiliser leurs informations d'identification utilisateur IAM Identity Center.
**Topics**
+ [Prérequis et considérations](#prereqs-and-considerations)
+ [Comment activer les identity-enhanced-console sessions](#enable-identity-enhanced-sessions-q)
+ [Comment fonctionnent les sessions de console à identité améliorée](#how-identity-enhanced-sessions-work)
## Prérequis et considérations
Avant d'activer les sessions de console à identité améliorée, passez en revue les conditions préalables et les considérations suivantes :
+ Si vos utilisateurs accèdent à Kiro sur des AWS applications et des sites Web via un abonnement Kiro Pro, vous devez activer les sessions de console à identité améliorée.
**Note**
Les utilisateurs de Kiro peuvent accéder à Kiro sans sessions d'identification améliorée, mais ils n'auront pas accès à leurs abonnements Kiro Pro.
+ Les sessions de console à identité améliorée nécessitent une [instance organisationnelle](organization-instances-identity-center.md) d'IAM Identity Center.
+ L'intégration à Kiro n'est pas prise en charge si vous activez IAM Identity Center dans le cadre d'un opt-in. Région AWS
+ Pour activer les sessions de console à identité améliorée, vous devez disposer des autorisations suivantes :
+ `sso:CreateApplication`
+ `sso:GetSharedSsoConfiguration`
+ `sso:ListApplications`
+ `sso:PutApplicationAssignmentConfiguration`
+ `sso:PutApplicationAuthenticationMethod`
+ `sso:PutApplicationGrant`
+ `sso:PutApplicationAccessScope`
+ `signin:CreateTrustedIdentityPropagationApplicationForConsole`
+ `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ Pour permettre à vos utilisateurs d'utiliser des sessions de console à identité améliorée, vous devez leur accorder l'`sts:setContext`autorisation dans le cadre d'une politique basée sur l'identité. Pour plus d'informations, consultez la [section Autorisation des utilisateurs à utiliser les sessions de console à identité améliorée.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html)
## Comment activer les identity-enhanced-console sessions
Vous pouvez activer les sessions de console à identité améliorée dans la console Kiro ou dans la console IAM Identity Center.
**Activer les sessions de console à identité améliorée dans la console Kiro**
Avant d'activer les sessions de console à identité améliorée, vous devez disposer d'une instance d'organisation d'IAM Identity Center connectée à une source d'identité. Si vous avez déjà configuré IAM Identity Center, passez à l'étape 3.
1. Ouvrez la console IAM Identity Center. Choisissez **Activer** et créez une instance d'organisation d'IAM Identity Center. Pour plus d'informations, consultez [Activer IAM Identity Center](enable-identity-center.md).
1. Connectez votre source d'identité à IAM Identity Center et connectez les utilisateurs à IAM Identity Center. Vous pouvez connecter votre source d'identité existante à IAM Identity Center ou utiliser le répertoire Identity Center si vous n'utilisez pas déjà une autre source d'identité. Pour de plus amples informations, veuillez consulter [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md).
1. Une fois que vous avez terminé de configurer IAM Identity Center, ouvrez la console Kiro et suivez les étapes décrites dans la section [Abonnements](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html) du guide de l'utilisateur de *Kiro.* Assurez-vous d'activer les sessions de console à identité améliorée.
**Note**
Si vous ne disposez pas des autorisations suffisantes pour activer les sessions de console à identité améliorée, vous devrez peut-être demander à un administrateur IAM Identity Center d'effectuer cette tâche pour vous dans la console IAM Identity Center. Pour en savoir plus, consultez la procédure suivante.
**Activer les sessions de console à identité améliorée dans la console IAM Identity Center**
Si vous êtes administrateur d'IAM Identity Center, un autre administrateur peut vous demander d'activer les sessions de console à identité améliorée dans la console IAM Identity Center.
1. Ouvrez la console IAM Identity Center.
1. Dans le panneau de navigation, sélectionnez **Settings** (Paramètres).
1. **Sous **Activer les sessions à identité améliorée**, choisissez Activer.**
1. Dans le deuxième message, sélectionnez **Activer**.
1. Une fois que vous avez terminé d'activer les sessions de console à identité améliorée, un message de confirmation apparaît en haut de la page **Paramètres**.
1. **Dans la section **Détails**, le statut des **sessions améliorées par identité** est Activé.**
## Comment fonctionnent les sessions de console à identité améliorée
IAM Identity Center améliore la session de console actuelle d'un utilisateur pour inclure l'ID utilisateur IAM Identity Center actif et l'ID de session IAM Identity Center.
Les sessions de console à identité améliorée incluent les trois valeurs suivantes :
+ **ID utilisateur du magasin d'identités** ([boutique d'identité : UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)) : cette valeur est utilisée pour identifier de manière unique un utilisateur dans la source d'identité connectée à IAM Identity Center.
+ **ARN du répertoire du magasin d'identités** ([boutique d'identité : IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)) : cette valeur est l'ARN du magasin d'identités connecté à IAM Identity Center et dans lequel vous pouvez rechercher des attributs. `identitystore:UserId`
+ **ID de session IAM Identity Center** : cette valeur indique si la session IAM Identity Center de l'utilisateur est toujours valide.
Les valeurs sont les mêmes, mais obtenues de différentes manières et ajoutées à différents moments du processus, en fonction de la manière dont l'utilisateur se connecte :
+ **IAM Identity Center (portail AWS d'accès)** : dans ce cas, l'ID utilisateur et les valeurs ARN du magasin d'identités de l'utilisateur sont déjà fournis dans la session IAM Identity Center active. IAM Identity Center améliore la session en cours en ajoutant uniquement l'ID de session.
+ **Autres méthodes de connexion** : si l'utilisateur se connecte en AWS tant qu'utilisateur IAM, avec un rôle IAM ou en tant qu'utilisateur fédéré avec IAM, aucune de ces valeurs n'est fournie. IAM Identity Center améliore la session en cours en ajoutant l'ID utilisateur de la banque d'identités, l'ARN du répertoire de la banque d'identités et l'ID de session.
# Applications gérées par le client
IAM Identity Center agit comme un service d'identité central pour les utilisateurs et les groupes de votre personnel. Si vous utilisez déjà un fournisseur d'identité (IdP), IAM Identity Center peut s'intégrer à votre IdP afin que vous puissiez configurer vos utilisateurs et vos groupes dans IAM Identity Center et utiliser votre IdP pour l'authentification. Avec une connexion unique, IAM Identity Center représente votre IdP devant Services AWS plusieurs et permet à OAuth vos applications 2.0 de demander l'accès aux données de ces services au nom de vos utilisateurs. Vous pouvez également utiliser IAM Identity Center pour attribuer à vos utilisateurs l'accès aux applications [SAML 2.0.](https://wiki.oasis-open.org/security) Cela inclut des AWS services tels qu'Amazon Connect et Amazon AWS Client VPN, qui s'intègrent à IAM Identity Center exclusivement à l'aide de SAML et sont donc classés dans la catégorie des applications gérées par le client.
+ Si votre application prend en charge les **jetons Web JSON (JWTs)**, vous pouvez utiliser la fonction de propagation d'identité sécurisée d'IAM Identity Center pour permettre à votre application de demander l'accès aux données Services AWS au nom de vos utilisateurs. La propagation fiable des identités repose sur le cadre d'autorisation OAuth 2.0 et inclut une option permettant aux applications d'échanger des jetons d'identité provenant d'un serveur d'autorisation OAuth 2.0 externe contre des jetons émis par IAM Identity Center et reconnus par Services AWS. Pour de plus amples informations, veuillez consulter [Cas d'utilisation de propagation d'identité fiables](trustedidentitypropagation-integrations.md).
+ Si votre application prend en charge le **protocole SAML 2.0**, vous pouvez la connecter à une [instance organisationnelle d'IAM Identity Center](identity-center-instances.md). Vous pouvez utiliser IAM Identity Center pour attribuer l'accès à votre application SAML 2.0.
**Note**
Lorsque vous intégrez des applications gérées par le client à une instance IAM Identity Center qui utilise une [clé KMS gérée par le client](encryption-at-rest.md), vérifiez si l'application invoque le service IAM Identity Center APIs pour confirmer si l'application a besoin d'autorisations relatives aux clés KMS. Suivez les instructions relatives à l'octroi d'autorisations clés KMS pour les flux de travail personnalisés figurant dans les [politiques clés KMS de base](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center) du guide de l'utilisateur d'IAM Identity Center.
**Topics**
+ [Accès par authentification unique aux applications SAML 2.0 et OAuth 2.0](customermanagedapps-saml2-oauth2.md)
+ [Configuration d'applications SAML 2.0 gérées par le client](customermanagedapps-saml2-setup.md)
# Accès par authentification unique aux applications SAML 2.0 et OAuth 2.0
IAM Identity Center vous permet de fournir à vos utilisateurs un accès par authentification unique aux applications SAML 2.0 ou OAuth 2.0. Les rubriques suivantes fournissent une présentation générale de SAML 2.0 et OAuth 2.0.
**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2,0](#oidc-concept)
## SAML 2.0
SAML 2.0 est une norme industrielle utilisée pour échanger en toute sécurité des assertions SAML qui transmettent des informations sur un utilisateur entre une autorité SAML (appelée fournisseur d'identité ou IdP) et un consommateur SAML 2.0 (appelé fournisseur de services ou SP). IAM Identity Center utilise ces informations pour fournir un accès d'authentification unique fédéré aux utilisateurs autorisés à utiliser les applications du AWS portail d'accès.
**Note**
IAM Identity Center ne prend pas en charge la validation des signatures des demandes d'authentification SAML entrantes provenant d'applications SAML.
## OAuth 2,0
OAuth Le 2.0 est un protocole qui permet aux applications d'accéder aux données des utilisateurs et de les partager en toute sécurité sans partager de mots de passe. Cette fonctionnalité fournit aux utilisateurs un moyen sécurisé et standardisé d'autoriser les applications à accéder à leurs ressources. L'accès est facilité par différents flux de subventions OAuth 2.0.
IAM Identity Center permet aux applications qui s'exécutent sur des clients publics de récupérer des informations d'identification temporaires pour accéder Comptes AWS et fournir des services par programmation au nom de leurs utilisateurs. Les clients publics sont généralement des ordinateurs de bureau, des ordinateurs portables ou d'autres appareils mobiles utilisés pour exécuter des applications localement. Les exemples d' AWS applications exécutées sur des clients publics incluent le AWS Command Line Interface (AWS CLI) et AWS Toolkit les kits de développement AWS logiciel (SDKs). Pour permettre à ces applications d'obtenir des informations d'identification, IAM Identity Center prend en charge certaines parties des flux OAuth 2.0 suivants :
+ [Octroi de code d'autorisation avec clé de preuve pour l'échange de code (PKCE) ([RFC 6749 et RFC 7636](https://www.rfc-editor.org/rfc/rfc6749#section-4.1))](https://www.rfc-editor.org/rfc/rfc7636)
+ Octroi d'autorisation d'appareil ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))
**Note**
Ces types de subventions ne peuvent être utilisés Services AWS que s'ils prennent en charge cette fonctionnalité. Il est possible que ces services ne prennent pas en charge ce type de subvention du tout Régions AWS. Reportez-vous à la documentation pertinente Services AWS pour les différences régionales.
OpenID Connect (OIDC) est un protocole d'authentification basé sur le OAuth framework 2.0. L'OIDC indique comment utiliser la OAuth version 2.0 pour l'authentification. Par le biais du [service IAM Identity Center OIDC APIs](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html), une application enregistre un client OAuth 2.0 et utilise l'un de ces flux pour obtenir un jeton d'accès qui fournit des autorisations à IAM Identity Center protected. APIs Une application définit les [étendues d'accès](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc) pour déclarer l'utilisateur d'API auquel elle est destinée. Une fois que vous, en tant qu'administrateur du centre d'identité IAM, avez configuré votre source d'identité, les utilisateurs finaux de votre application doivent terminer un processus de connexion, s'ils ne l'ont pas déjà fait. Vos utilisateurs finaux doivent ensuite donner leur accord pour autoriser l'application à effectuer des appels d'API. Ces appels d'API sont effectués à l'aide des autorisations des utilisateurs. En réponse, IAM Identity Center renvoie un jeton d'accès à l'application contenant les étendues d'accès auxquelles les utilisateurs ont consenti.
### Utilisation d'un flux de subventions OAuth 2.0
OAuth Les flux de subventions 2.0 ne sont disponibles que par le biais d'applications AWS gérées qui les prennent en charge. Pour utiliser un flux OAuth 2.0, votre instance d'IAM Identity Center et toutes les applications AWS gérées prises en charge que vous utilisez doivent être déployées en une seule Région AWS fois. Reportez-vous à la documentation de chacune Service AWS pour déterminer la disponibilité régionale des applications AWS gérées et l'instance d'IAM Identity Center que vous souhaitez utiliser.
Pour utiliser une application qui utilise un flux OAuth 2.0, l'utilisateur final doit saisir l'URL à laquelle l'application se connectera et s'enregistrera auprès de votre instance d'IAM Identity Center. Selon l'application, en tant qu'administrateur, vous devez fournir à vos utilisateurs l'URL du **portail AWS d'accès ou l'URL** de l'**émetteur** de votre instance d'IAM Identity Center. **Vous trouverez ces deux paramètres sur la page des paramètres de la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon/).** Pour plus d'informations sur la configuration d'une application cliente, reportez-vous à la documentation de cette application.
L'expérience de l'utilisateur final en matière de connexion à une application et de fourniture de son consentement varie selon que l'application utilise le [Octroi de code d'autorisation avec PKCE](#auth-code-grant-pkce) ou[Octroi d'autorisation d'appareil](#device-auth-grant).
#### Octroi de code d'autorisation avec PKCE
Ce flux est utilisé par les applications qui s'exécutent sur un appareil doté d'un navigateur.
1. Une fenêtre de navigateur s'ouvre.
1. Si l'utilisateur ne s'est pas authentifié, le navigateur le redirige pour terminer l'authentification utilisateur.
1. Après authentification, l'utilisateur s'affiche sur un écran de consentement qui affiche les informations suivantes :
+ Le nom de l'application
+ Les étendues d'accès que l'application demande le consentement pour utiliser
1. L'utilisateur peut annuler le processus de consentement ou donner son consentement et l'application procède à l'accès en fonction des autorisations de l'utilisateur.
#### Octroi d'autorisation d'appareil
Ce flux peut être utilisé par les applications qui s'exécutent sur un appareil avec ou sans navigateur. Lorsque l'application lance le flux, elle présente une URL et un code utilisateur que l'utilisateur doit vérifier ultérieurement dans le flux. Le code utilisateur est nécessaire car l'application qui initie le flux est peut-être exécutée sur un appareil différent de celui sur lequel l'utilisateur donne son consentement. Le code garantit que l'utilisateur consent au flux qu'il a initié sur l'autre appareil.
**Note**
Si des clients l'utilisent`device.sso.region.amazonaws.com`, vous devez mettre à jour votre flux d'autorisation afin d'utiliser Proof Key for Code Exchange (PKCE). Pour plus d'informations, consultez [la section Configuration de l'authentification IAM Identity Center AWS CLIà l'aide du](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) *guide de l'AWS Command Line Interface utilisateur*.
1. Lorsque le flux est lancé à partir d'un appareil doté d'un navigateur, une fenêtre de navigateur s'ouvre. Lorsque le flux est lancé à partir d'un appareil sans navigateur, l'utilisateur doit ouvrir un navigateur sur un autre appareil et accéder à l'URL présentée par l'application.
1. Dans les deux cas, si l'utilisateur ne s'est pas authentifié, le navigateur le redirige pour terminer l'authentification de l'utilisateur.
1. Après authentification, l'utilisateur s'affiche sur un écran de consentement qui affiche les informations suivantes :
+ Le nom de l'application
+ Les étendues d'accès que l'application demande le consentement pour utiliser
+ Le code utilisateur que l'application a présenté à l'utilisateur
1. L'utilisateur peut annuler le processus de consentement ou donner son consentement et l'application procède à l'accès en fonction des autorisations de l'utilisateur.
### Étendue d'accès
Une *étendue* définit l'accès à un service accessible via un flux OAuth 2.0. Les étendues permettent au service, également appelé serveur de ressources, de regrouper les autorisations liées aux actions et aux ressources du service, et elles spécifient les opérations grossières que OAuth les clients 2.0 peuvent demander. Lorsqu'un client OAuth 2.0 s'enregistre auprès du [service IAM Identity Center OIDC](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html), il précise les limites dans lesquelles il doit déclarer les actions prévues, pour lesquelles l'utilisateur doit donner son consentement.
OAuth Les clients 2.0 utilisent `scope` les valeurs définies dans [la section 3.3 de OAuth 2.0 (RFC 6749)](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) pour spécifier les autorisations demandées pour un jeton d'accès. Les clients peuvent spécifier un maximum de 25 étendues lorsqu'ils demandent un jeton d'accès. Lorsqu'un utilisateur donne son consentement lors d'une attribution de code d'autorisation avec PKCE ou Device Authorization Grant flow, IAM Identity Center encode les étendues dans le jeton d'accès qu'il renvoie.
AWS ajoute des champs d'application à IAM Identity Center pour qu'ils soient pris en charge. Services AWS Le tableau suivant répertorie les étendues prises en charge par le service IAM Identity Center OIDC lorsque vous enregistrez un client public.
#### Étendue d'accès prise en charge par le service IAM Identity Center OIDC lors de l'enregistrement d'un client public
****
| Scope | Description | Services pris en charge par |
| --- | --- | --- |
| sso:account:access | Accédez aux comptes gérés par IAM Identity Center et aux ensembles d'autorisations. | IAM Identity Center |
| codewhisperer:analysis | Activez l'accès à l'analyse du code Kiro. | ID de constructeur AWS et IAM Identity Center |
| codewhisperer:completions | Activez l'accès aux suggestions de code en ligne de Kiro. | ID de constructeur AWS et IAM Identity Center |
| codewhisperer:conversations | Activez l'accès au chat Kiro. | ID de constructeur AWS et IAM Identity Center |
| codewhisperer:taskassist | Activez l'accès à Kiro Agent pour le développement de logiciels. | ID de constructeur AWS et IAM Identity Center |
| codewhisperer:transformations | Activez l'accès à l'agent Kiro pour la transformation du code. | ID de constructeur AWS et IAM Identity Center |
| codecatalyst:read\$1write | Lisez et écrivez sur vos CodeCatalyst ressources Amazon pour accéder à toutes vos ressources existantes. | ID de constructeur AWS et IAM Identity Center |
| verified\$1access:application:connect | Activer Accès vérifié par AWS | Accès vérifié par AWS |
| redshift:connect | Connect à Amazon Redshift | Amazon Redshift |
| datazone:domain:access | Accédez à votre rôle d'exécution de DataZone domaine | Amazon DataZone |
| nosqlworkbench:datamodeladviser | Création et lecture de modèles de données | NoSQL Workbench |
| transform:read\$1write | Permettre l'accès à l'agent de AWS transformation pour la transformation du code | AWS Transformation |
# Configuration d'applications SAML 2.0 gérées par le client
Si vous utilisez des applications gérées par le client qui prennent en charge le [protocole SAML 2.0](https://wiki.oasis-open.org/security), vous pouvez fédérer votre IdP à IAM Identity Center via SAML 2.0 et utiliser IAM Identity Center pour gérer l'accès des utilisateurs à ces applications. Vous pouvez sélectionner une application SAML 2.0 dans un catalogue d'applications couramment utilisées dans la console IAM Identity Center, ou vous pouvez configurer votre propre application SAML 2.0.
**Note**
Si vous avez des applications gérées par le client compatibles avec la OAuth version 2.0 et que vos utilisateurs doivent y accéder depuis ces applications Services AWS, vous pouvez utiliser la propagation d'identité sécurisée. Grâce à la propagation sécurisée des identités, un utilisateur peut se connecter à une application, et cette application peut transmettre l'identité de l'utilisateur dans les demandes d'accès aux données Services AWS.
**Topics**
+ [Configuration d'une application à partir du catalogue d'applications IAM Identity Center](saasapps.md)
+ [Configurez votre propre application SAML 2.0](customermanagedapps-set-up-your-own-app-saml2.md)
# Configuration d'une application à partir du catalogue d'applications IAM Identity Center
Vous pouvez utiliser le catalogue d'applications de la console IAM Identity Center pour ajouter de nombreuses applications SAML 2.0 couramment utilisées qui fonctionnent avec IAM Identity Center. Les exemples incluent Salesforce, Box et Microsoft 365.
La plupart des applications fournissent des informations détaillées sur la façon de configurer la confiance entre IAM Identity Center et le fournisseur de services de l'application. Ces informations sont disponibles sur la page de configuration de l'application, une fois que vous l'avez sélectionnée dans le catalogue. Après avoir configuré l'application, vous pouvez attribuer l'accès à des utilisateurs ou à des groupes dans IAM Identity Center selon vos besoins.
Utilisez cette procédure pour configurer une relation de confiance SAML 2.0 entre IAM Identity Center et le fournisseur de services de votre application.
Avant de commencer cette procédure, il est utile de disposer du fichier d'échange de métadonnées du fournisseur de services afin de configurer plus efficacement la confiance. Si vous ne possédez pas ce fichier, vous pouvez toujours utiliser cette procédure pour le configurer manuellement.
**Pour ajouter et configurer une application à partir du catalogue d'applications**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Choisissez l’onglet **Gérée par le client**.
1. Choisissez **Add application** (Ajouter une application).
1. Sur la page **Sélectionner le type d'application**, sous **Préférences de configuration**, choisissez **Je souhaite sélectionner une application dans le catalogue**.
1. Sous **Catalogue d'applications**, commencez à taper le nom de l'application que vous souhaitez ajouter dans le champ de recherche.
1. Choisissez le nom de l'application dans la liste lorsqu'elle apparaît dans les résultats de recherche, puis cliquez sur **Suivant**.
1. Sur la page **Configurer l'application**, les champs **Nom d'affichage** et **Description** sont préremplis avec les informations pertinentes pour l'application. Vous pouvez modifier ces informations.
1. Sous les **métadonnées du IAM Identity Center**, procédez comme suit :
1. Dans le **fichier de métadonnées SAML d'IAM Identity Center**, choisissez **Télécharger pour télécharger** les métadonnées du fournisseur d'identité.
1. Sous le **certificat IAM Identity Center**, choisissez **Télécharger le certificat** pour télécharger le certificat du fournisseur d'identité.
**Note**
Vous aurez besoin de ces fichiers ultérieurement lorsque vous configurerez l'application sur le site Web du fournisseur de services. Suivez les instructions de ce fournisseur.
1. (Facultatif) Sous **Propriétés de l'application**, vous pouvez spécifier l'**URL de démarrage de l'application**, **l'état du relais** et **la durée de la session**. Pour de plus amples informations, veuillez consulter [Comprendre les propriétés de l'application dans la console IAM Identity Center](appproperties.md).
1. Sous **Métadonnées de l'application**, effectuez l'une des opérations suivantes :
1. Si vous avez un fichier de métadonnées, choisissez **Télécharger le fichier de métadonnées SAML de l'application**. Sélectionnez ensuite **Choisir un fichier** pour rechercher et sélectionner le fichier de métadonnées.
1. Si vous n'avez pas de fichier de métadonnées, choisissez **Tapez manuellement vos valeurs de métadonnées**, puis fournissez l'**URL de l'application ACS** et les valeurs d'**audience SAML de l'application**.
1. Sélectionnez **Soumettre**. Vous êtes redirigé vers la page de détails de l'application que vous venez d'ajouter.
# Configurez votre propre application SAML 2.0
Vous pouvez configurer vos propres applications qui autorisent la fédération d'identités à l'aide de SAML 2.0 et les ajouter à IAM Identity Center. La plupart des étapes de configuration de vos propres applications SAML 2.0 sont identiques à celles de configuration d'une application SAML 2.0 à partir du catalogue d'applications de la console IAM Identity Center. Toutefois, vous devez également fournir des mappages d'attributs SAML supplémentaires pour vos propres applications SAML 2.0. Ces mappages permettent à IAM Identity Center de remplir correctement l'assertion SAML 2.0 pour votre application. Vous pouvez fournir ce mappage d'attributs SAML supplémentaire lorsque vous configurez l'application pour la première fois. Vous pouvez également fournir des mappages d'attributs SAML 2.0 sur la page de détails de l'application dans la console IAM Identity Center.
Utilisez la procédure suivante pour configurer une relation de confiance SAML 2.0 entre IAM Identity Center et le fournisseur de services de votre application SAML 2.0. Avant de commencer cette procédure, vérifiez que vous avez le certificat et les fichiers d'échange de métadonnées du fournisseur de services afin de finaliser la configuration de l'approbation.
**Pour configurer votre propre application SAML 2.0**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Choisissez l’onglet **Gérée par le client**.
1. Choisissez **Add application** (Ajouter une application).
1. Sur la page **Sélectionner le type d’application**, sous **Préférence de configuration**, choisissez **J’ai une application que je souhaite configurer**.
1. Sous **Type d'application**, choisissez **SAML 2.0.**
1. Choisissez **Suivant**.
1. Sur la page **Configurer l'application**, sous **Configurer l'application**, entrez un **nom d'affichage** pour l'application, tel que**MyApp**. Entrez ensuite une **description**.
1. Sous les **métadonnées du IAM Identity Center**, procédez comme suit :
1. Dans le **fichier de métadonnées SAML d'IAM Identity Center**, choisissez **Télécharger pour télécharger** les métadonnées du fournisseur d'identité.
1. Sous le **certificat IAM Identity Center**, choisissez **Télécharger pour télécharger** le certificat du fournisseur d'identité.
**Note**
Vous aurez besoin de ces fichiers par la suite pour configurer l'application personnalisée sur le site web du fournisseur de services.
1. (Facultatif) Sous **Propriétés de l'application**, vous pouvez également spécifier l'**URL de démarrage de l'application**, **l'état du relais** et **la durée de la session**. Pour de plus amples informations, veuillez consulter [Comprendre les propriétés de l'application dans la console IAM Identity Center](appproperties.md).
1. Sous **Métadonnées de l'application**, choisissez **Tapez manuellement vos valeurs de métadonnées**. Indiquez ensuite l'**URL ACS de l'application** **et les valeurs d'audience SAML** de l'application.
1. Sélectionnez **Soumettre**. Vous êtes redirigé vers la page de détails de l'application que vous venez d'ajouter.
# Vue d'ensemble de la propagation d'identités fiables
La propagation fiable des identités est une fonctionnalité d'IAM Identity Center qui permet aux administrateurs d' Services AWS accorder des autorisations en fonction des attributs de l'utilisateur tels que les associations de groupes. Avec la propagation d'identité sécurisée, le contexte d'identité est ajouté à un rôle IAM pour identifier l'utilisateur qui demande l'accès aux AWS ressources. Ce contexte est propagé à d'autres Services AWS.
Le contexte d'identité comprend les informations Services AWS utilisées pour prendre des décisions d'autorisation lorsqu'ils reçoivent des demandes d'accès. Ces informations incluent des métadonnées qui identifient le demandeur (par exemple, un utilisateur du IAM Identity Center), l'accès Service AWS auquel l'accès est demandé (par exemple, Amazon Redshift) et l'étendue de l'accès (par exemple, accès en lecture seule). Le destinataire Service AWS utilise ce contexte, ainsi que toutes les autorisations attribuées à l'utilisateur, pour autoriser l'accès à ses ressources.
## Avantages d'une propagation d'identité fiable
La propagation fiable des identités permet aux administrateurs d' Services AWS accorder des autorisations sur des ressources, telles que des données, en utilisant les identités d'entreprise de votre personnel. En outre, ils peuvent vérifier qui a accédé à quelles données en consultant les journaux de service ou AWS CloudTrail. Si vous êtes administrateur d'IAM Identity Center, d'autres Service AWS administrateurs peuvent vous demander d'activer la propagation sécurisée des identités.
## Permettre une propagation d'identité fiable
Le processus d'activation de la propagation d'identités fiables implique les deux étapes suivantes :
1. **Activez IAM Identity Center et connectez votre source d'identités existante à IAM Identity Center** : vous continuerez à gérer les identités de vos employés dans votre source d'identités existante ; la connexion à IAM Identity Center crée une référence à votre personnel que tous peuvent partager Services AWS dans votre cas d'utilisation. Les propriétaires de données pourront également l'utiliser dans de futurs cas d'utilisation.
1. **Connectez le Services AWS cas d'utilisation à IAM Identity Center** : l'administrateur de chaque Service AWS cas d'utilisation de propagation d'identité sécurisée suit les instructions de la documentation du service correspondant pour connecter le service à IAM Identity Center.
**Note**
Si votre cas d'utilisation implique une *application développée par un *tiers* ou un client*, vous activez la propagation fiable des identités en configurant une relation de confiance entre le fournisseur d'identité qui authentifie les utilisateurs de l'application et IAM Identity Center. Cela permet à votre application de tirer parti du flux de propagation d'identité sécurisé décrit précédemment.
Pour de plus amples informations, veuillez consulter [Utilisation d'applications dotées d'un émetteur de jetons fiable](using-apps-with-trusted-token-issuer.md).
## Comment fonctionne la propagation fiable des identités
Le schéma suivant montre le flux de travail de haut niveau pour la propagation d'identités fiables :
![\[Flux de travail simplifié de propagation des identités fiables.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. Les utilisateurs s'authentifient à l'aide d'une application orientée client, par exemple Quick.
1. L'application orientée client demande l'accès pour utiliser et Service AWS pour interroger des données et inclut des informations sur l'utilisateur.
**Note**
Certains cas d'utilisation de propagation d'identités fiables impliquent des outils qui interagissent avec Services AWS l'utilisation de pilotes de service. Vous pouvez savoir si cela s'applique à votre cas d'utilisation dans le [guide d'utilisation](trustedidentitypropagation-integrations.md).
1. Service AWS Vérifie l'identité de l'utilisateur auprès d'IAM Identity Center et compare les attributs de l'utilisateur, tels que ses associations de groupe, avec ceux requis pour l'accès. L'accès Service AWS est autorisé tant que l'utilisateur ou son groupe dispose des autorisations nécessaires.
1. Services AWS peuvent enregistrer l'identifiant de l'utilisateur dans AWS CloudTrail et dans leurs journaux de service. Consultez la documentation du service pour plus de détails.
L'image suivante fournit une vue d'ensemble des étapes décrites précédemment dans le processus de propagation des identités fiables :
![\[Flux de travail simplifié de propagation des identités fiables.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [Avantages d'une propagation d'identité fiable](#benefits-trusted-identity-propagation)
+ [Permettre une propagation d'identité fiable](#enabling-tip)
+ [Comment fonctionne la propagation fiable des identités](#how-tip-works)
+ [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md)
+ [Cas d'utilisation de propagation d'identité fiables](trustedidentitypropagation-integrations.md)
+ [Services d'autorisation](authorization-services.md)
# Prérequis et considérations
Avant de configurer la propagation sécurisée des identités, passez en revue les conditions préalables et les considérations suivantes.
**Topics**
+ [Conditions préalables](#trustedidentitypropagation-prerequisites)
+ [Considérations](#trustedidentitypropagation-considerations)
+ [Considérations relatives aux applications gérées par le client](#trustedidentitypropagation-customer-apps)
## Conditions préalables
Pour utiliser la propagation d'identité sécurisée, assurez-vous que votre environnement répond aux exigences suivantes :
+ Activer et approvisionner IAM Identity Center
+ Pour utiliser la propagation d'identité sécurisée, vous devez activer IAM Identity Center au même Région AWS endroit où les AWS applications et services auxquels vos utilisateurs auront accès sont activés. Pour plus d'informations, consultez [Activer IAM Identity Center](enable-identity-center.md).
+ L'instance d'organisation IAM Identity Center est recommandée - Nous vous recommandons d'utiliser une [instance d'organisation](organization-instances-identity-center.md) d'IAM Identity Center que vous activez dans le compte de gestion de. AWS Organizations Vous pouvez [déléguer l'administration](organization-instances-identity-center.md) d'une instance d'organisation d'IAM Identity Center à un compte membre. Si vous choisissez une [instance de compte](account-instances-identity-center.md) d'IAM Identity Center, toutes les instances auxquelles vous souhaitez Services AWS que les utilisateurs accèdent grâce à une propagation d'identité sécurisée doivent se trouver dans le même Compte AWS endroit où vous activez IAM Identity Center. Pour de plus amples informations, veuillez consulter [Instances de compte d’IAM Identity Center](account-instances-identity-center.md).
+ Connectez votre fournisseur d'identité existant à IAM Identity Center et configurez vos utilisateurs et groupes dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Tutoriels sur les sources d'identité IAM Identity Center](tutorials.md).
+ Connectez les applications et services AWS gérés dans votre cas d'utilisation de propagation d'identité fiable à IAM Identity Center. Pour utiliser une propagation d'identité fiable, les applications AWS gérées doivent être connectées à IAM Identity Center.
## Considérations
Tenez compte des considérations suivantes lors de la configuration et de l'utilisation de la propagation d'identité sécurisée :
+ **Organisation ou instance de compte d'IAM Identity Center**
+ Une [instance organisationnelle](organization-instances-identity-center.md) d'IAM Identity Center vous donnera le maximum de contrôle et de flexibilité pour étendre vos cas d'utilisation à plusieurs Comptes AWS, utilisateurs et Services AWS. Si vous ne parvenez pas à utiliser une instance d'organisation, votre cas d'utilisation peut être pris en charge par les instances de compte d'IAM Identity Center. Pour en savoir plus sur les instances de compte de support d'IAM Identity Center figurant Services AWS dans votre cas d'utilisation, consultez[AWS applications gérées que vous pouvez utiliser avec IAM Identity Center](awsapps-that-work-with-identity-center.md).
+ **Les autorisations multi-comptes (ensembles d'autorisations) ne sont pas requises**
+ La propagation fiable des identités ne vous oblige pas à configurer des autorisations [multi-comptes (ensembles d'autorisations](manage-your-accounts.md)). Vous pouvez activer IAM Identity Center et l'utiliser uniquement pour une propagation d'identité fiable.
## Considérations relatives aux applications gérées par le client
Votre personnel peut bénéficier d'une propagation d'identité fiable, même si vos utilisateurs interagissent avec des applications destinées aux clients qui ne sont pas gérées par AWS, par exemple, Tableau ou par vos applications développées sur mesure. Les utilisateurs de ces applications ne sont peut-être pas approvisionnés dans IAM Identity Center. Pour permettre une reconnaissance et une autorisation fluides de l'accès des utilisateurs aux AWS ressources, IAM Identity Center vous permet de configurer une relation de confiance entre le fournisseur d'identité authentifiant vos utilisateurs et IAM Identity Center. Pour de plus amples informations, veuillez consulter [Utilisation d'applications dotées d'un émetteur de jetons fiable](using-apps-with-trusted-token-issuer.md).
En outre, la configuration de la propagation d'identité sécurisée pour votre application nécessitera :
+ Votre application doit utiliser le framework OAuth 2.0 pour l'authentification. La propagation d'identités fiables ne prend pas en charge les intégrations SAML 2.0.
+ Votre candidature doit être reconnue par IAM Identity Center. Suivez les instructions spécifiques à votre [cas d'utilisation](trustedidentitypropagation-integrations.md).
# Cas d'utilisation de propagation d'identité fiables
En tant qu'administrateur du centre d'identité IAM, il peut vous être demandé d'aider à configurer la propagation sécurisée des identités depuis les applications destinées aux utilisateurs vers. Services AWS Pour appuyer cette demande, vous aurez besoin des informations suivantes :
+ Avec quelle application orientée client vos utilisateurs interagiront-ils ?
+ Quels Services AWS sont ceux utilisés pour interroger les données et pour autoriser l'accès aux données ?
+ Qui Service AWS autorise l'accès aux données ?
Votre rôle dans la mise en place **de cas d'utilisation de propagation d'identité fiables qui n'impliquent pas d'applications tierces ou d'applications développées sur mesure** est de :
1. [Activez IAM Identity Center](enable-identity-center.md).
1. [Connectez votre source d'identité existante à IAM Identity Center](tutorials.md).
Les étapes restantes de la configuration de l'identité sécurisée pour ces cas d'utilisation sont effectuées dans les applications connectées Services AWS et. Les administrateurs des applications connectées Services AWS doivent consulter les guides d'utilisation respectifs pour obtenir des conseils complets spécifiques au service.
Votre rôle dans la mise en place d'une **propagation d'identité fiable dans les cas d'utilisation impliquant des applications tierces ou des applications développées sur mesure** inclut les étapes de [Activer IAM Identity Center](enable-identity-center.md) [connexion à votre source d'identités](tutorials.md), ainsi que les étapes suivantes :
1. Configuration de la connexion de votre fournisseur d'identité (IdP) à l'application tierce ou développée sur mesure.
1. Permettre à IAM Identity Center de reconnaître l'application tierce ou développée sur mesure.
1. Configuration de votre IdP en tant qu'émetteur de jetons de confiance dans IAM Identity Center. Pour de plus amples informations, veuillez consulter [Utilisation d'applications dotées d'un émetteur de jetons fiable](using-apps-with-trusted-token-issuer.md).
Les administrateurs des applications connectées Services AWS doivent se référer aux guides d'utilisation respectifs pour obtenir des conseils complets spécifiques aux services.
## Cas d'utilisation de l'analytique, du data lakehouse et de l'apprentissage automatique
Vous pouvez activer des cas d'utilisation de propagation fiables à l'aide des services d'analyse et d'apprentissage automatique suivants :
+ **Amazon Redshift** - Pour obtenir des conseils, consultez. [Propagation d'identité fiable avec Amazon Redshift](tip-usecase-redshift.md)
+ **Amazon EMR** - Pour obtenir des conseils, consultez. [Propagation d'identité fiable avec Amazon EMR](tip-usecase-emr.md)
+ **Amazon Athena** - Pour obtenir des conseils, consultez. [Propagation d'identité fiable avec Amazon Athena](tip-usecase-ate.md)
+ **SageMaker Studio** - Pour obtenir des conseils, voir[Propagation d'identité fiable avec Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md).
## Cas d'utilisation supplémentaires
Vous pouvez activer le centre d'identité IAM et la propagation d'identités fiables avec les options supplémentaires Services AWS suivantes :
+ **Amazon Q Business** : pour obtenir des conseils, consultez :
+ [Flux de travail d'administration pour les applications utilisant IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc).
+ [Configuration d'une application Amazon Q Business à l'aide d'IAM Identity Center](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html).
+ [Configurez Amazon Q Business avec la propagation d'identité fiable d'IAM Identity Center](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/).
+ **Amazon OpenSearch Service** : pour obtenir des conseils, consultez :
+ [Support de propagation d'identité fiable d'IAM Identity Center pour Amazon OpenSearch Service.](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html)
+ [Interface OpenSearch utilisateur centralisée (tableaux de bord) avec Amazon OpenSearch Service.](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html)
+ **AWS Transfer Family**- pour obtenir des conseils, voir :
+ [Applications Web Transfer Family](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html).
**Topics**
+ [Cas d'utilisation de l'analytique, du data lakehouse et de l'apprentissage automatique](#tip-data-analytic-usecases-overview)
+ [Cas d'utilisation supplémentaires](#tip-additional-usecases)
+ [Propagation d'identité fiable avec Amazon Redshift](tip-usecase-redshift.md)
+ [Propagation d'identité fiable avec Amazon EMR](tip-usecase-emr.md)
+ [Propagation d'identité fiable avec Amazon Athena](tip-usecase-ate.md)
+ [Propagation d'identité fiable avec Amazon SageMaker Studio](trusted-identity-propagation-usecase-sagemaker-studio.md)
# Propagation d'identité fiable avec Amazon Redshift
Les étapes à suivre pour activer la propagation fiable des identités varient selon que vos utilisateurs interagissent avec des applications AWS gérées ou des applications gérées par le client. Le schéma suivant montre une configuration de propagation d'identité fiable pour les applications orientées client ( AWS gérées ou externes) qui interrogent les données Amazon Redshift avec un contrôle d'accès fourni soit par Amazon Redshift, soit par des services d'autorisation, tels qu'Amazon S3. AWS AWS Lake Formation Access Grants
![\[Schéma de propagation d'identités fiables à l'aide d'Amazon Redshift, Quick, Lake Formation et IAM Identity Center\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/rs-tip-diagram.png)
[Lorsque la propagation fiable des identités vers Amazon Redshift est activée, les administrateurs de Redshift peuvent configurer Redshift pour [créer automatiquement des rôles pour IAM Identity Center en tant que fournisseur d'identité, associer les rôles](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) Redshift aux groupes d'IAM Identity Center et utiliser le contrôle d'accès basé sur les rôles Redshift pour accorder l'accès.](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)
## Applications destinées aux clients prises en charge
**AWS applications gérées**
Les applications AWS gérées orientées client suivantes prennent en charge la propagation fiable des identités vers Amazon Redshift :
+ [Amazon Redshift Query Editor V2](setting-up-tip-redshift.md)
+ [Rapide](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**Note**
Si vous utilisez Amazon Redshift Spectrum pour accéder à des bases de données ou à des tables AWS Glue Data Catalog externes, pensez [à configurer Lake](tip-tutorial-lf.md) Formation [et Amazon Access Grants](tip-tutorial-s3.md) S3 pour fournir un contrôle d'accès précis.
**Applications gérées par le client**
Les applications gérées par le client suivantes prennent en charge la propagation fiable des identités vers Amazon Redshift :
+ **Tableau**y Tableau Desktop compris TableauServer, et Tableau Prep
+ Pour permettre aux utilisateurs de propager des identités de manière fiableTableau, consultez la section [Intégrer Tableau et Okta utiliser Amazon Redshift à l'aide d'IAM Identity Center](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/) sur le blog *AWS Big Data*.
+ **Clients SQL** (DBeaveretDBVisualizer)
+ *Pour permettre une propagation d'identité fiable pour les utilisateurs de clients SQL (DBeaveretDBVisualizer), consultez la section [Intégrer le fournisseur d'identité (IdP) à Amazon Redshift Query Editor V2 et le client SQL à l'aide d'IAM Identity Center pour une authentification unique fluide](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) sur le blog Big Data.AWS *
# Configuration d'une propagation d'identité fiable avec Amazon Redshift Query Editor V2
La procédure suivante explique comment assurer une propagation d'identité fiable depuis Amazon Redshift Query Editor V2 vers Amazon Redshift.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
L'activation de la propagation fiable des identités inclut les tâches effectuées par un administrateur IAM Identity Center dans la console IAM Identity Center et les tâches effectuées par un administrateur Amazon Redshift dans la console Amazon Redshift.
## Tâches effectuées par l'administrateur de l'IAM Identity Center
Les tâches suivantes devaient être effectuées par l'administrateur de l'IAM Identity Center :
1. **Créez un [rôle IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)** dans le compte où se trouve le cluster Amazon Redshift ou l'instance Serverless avec la politique d'autorisation suivante. Pour plus d'informations, consultez la section [Création d'un rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html).
1. Les exemples de politique suivants incluent les autorisations nécessaires pour terminer ce didacticiel. Pour utiliser cette politique, remplacez celle de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
**Politique d'autorisation :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**Politique de confiance :**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. **Créez un ensemble d'autorisations** dans le compte AWS Organizations de gestion sur lequel IAM Identity Center est activé. Vous l'utiliserez à l'étape suivante pour autoriser les utilisateurs fédérés à accéder à Redshift Query Editor V2.
1. **Accédez à la console **IAM Identity Center**, sous Autorisations **multi-comptes, choisissez Ensembles d'autorisations**.**
1. Choisissez **Create permission set (Créer un jeu d'autorisations)**.
1. Choisissez **Ensemble d'autorisations personnalisé**, puis cliquez sur **Suivant**.
1. Dans **Politiques AWS gérées**, sélectionnez **`AmazonRedshiftQueryEditorV2ReadSharing`**.
1. Sous **Stratégie intégrée**, ajoutez la politique suivante :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. Sélectionnez **Suivant**, puis attribuez un nom au nom de l'ensemble d'autorisations. Par exemple, **Redshift-Query-Editor-V2**.
1. Sous **État du relais — facultatif**, définissez l'état du relais par défaut sur l'URL de l'éditeur de requêtes V2, en utilisant le format :`https://your-region.console.aws.amazon.com/sqlworkbench/home`.
1. Vérifiez les paramètres et choisissez **Créer**.
1. Accédez au tableau de bord du centre d'identité IAM et copiez l'URL du portail AWS d'accès depuis la section **Récapitulatif des paramètres**.
![\[Étape i, Copier AWS l'URL du portail d'accès depuis la console IAM Identity Center.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. Ouvrez une nouvelle fenêtre de navigation privée et collez l'URL.
Cela vous redirigera vers votre portail AWS d'accès, garantissant que vous vous connectez avec un utilisateur d'IAM Identity Center.
![\[Étape j, Connectez-vous pour AWS accéder au portail.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
Pour plus d'informations sur l'ensemble d'autorisations, consultez[Gérer Comptes AWS avec des ensembles d'autorisations](permissionsetsconcept.md).
1. **Permettez aux utilisateurs fédérés d'accéder à Redshift Query** Editor V2.
1. Dans le compte AWS Organizations de gestion, ouvrez la console **IAM Identity Center**.
1. Dans le volet de navigation, sous **Autorisations multi-comptes**, sélectionnez **Comptes AWS**.
1. Sur la Comptes AWS page, sélectionnez Compte AWS celui auquel vous souhaitez attribuer l'accès.
1. Choisissez **Attribuer des utilisateurs ou des groupes**.
1. Sur la page **Attribuer des utilisateurs et des groupes**, choisissez les utilisateurs et/ou les groupes pour lesquels vous souhaitez créer l'ensemble d'autorisations. Ensuite, choisissez **Suivant**.
1. Sur la page **Attribuer des ensembles d'autorisations**, choisissez le jeu d'autorisations que vous avez créé à l'étape précédente. Ensuite, choisissez **Suivant**.
1. Sur la page **Réviser et soumettre les devoirs**, passez en revue vos sélections et choisissez **Soumettre**.
## Tâches effectuées par un administrateur Amazon Redshift
Pour permettre une propagation d'identité fiable vers Amazon Redshift, un administrateur de cluster Amazon Redshift ou un administrateur Amazon Redshift Serverless doit effectuer un certain nombre de tâches dans la console Amazon Redshift. *Pour plus d'informations, consultez [Intégrer le fournisseur d'identité (IdP) à Amazon Redshift Query Editor V2 et au client SQL à l'aide d'IAM Identity Center pour une authentification unique fluide](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/) sur le blog Big Data.AWS *
# Propagation d'identité fiable avec Amazon EMR
Le schéma suivant montre une configuration de propagation d'identité fiable pour Amazon EMR Studio à l'aide d'Amazon EMR sur Amazon EC2 avec un contrôle d'accès fourni par Amazon S3. AWS Lake Formation Access Grants
![\[Schéma de propagation d'identités fiables à l'aide d'Amazon EMR, de Lake Formation et d'IAM Identity Center\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**Applications destinées aux clients prises en charge**
+ Amazon EMR Studio
**Pour activer la propagation d'identités fiables, procédez comme suit :**
+ [Configurez Amazon EMR](setting-up-tip-emr.md) en Studio tant qu'application orientée client pour le cluster Amazon EMR.
+ Configurez le [cluster Amazon EMR sur Amazon EC2](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html) avec. Apache Spark
+ *Recommandé* : [AWS Lake Formation](tip-tutorial-lf.md)et [Amazon S3 Access Grants](tip-tutorial-s3.md) pour fournir un contrôle d'accès précis AWS Glue Data Catalog et des emplacements de données sous-jacents dans S3.
# Configuration d'une propagation d'identité fiable avec Amazon EMR Studio
La procédure suivante explique comment configurer Amazon EMR Studio pour une propagation d'identité fiable dans les requêtes adressées à un groupe de travail Amazon Athena ou à un cluster Amazon EMR en cours d'exécution. Apache Spark
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
Pour terminer la configuration de la propagation d'identité sécurisée depuis Amazon EMR Studio, l'administrateur d'EMR Studio doit effectuer les étapes suivantes.
## Étape 1. Création des rôles IAM requis pour EMR Studio
Au cours de cette étape, l'Studioadministrateur Amazon EMR crée un rôle de service IAM et un rôle d'utilisateur IAM pour EMR. Studio
1. **[Création d'un rôle de service EMR Studio : EMR Studio assume ce rôle](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** IAM pour gérer en toute sécurité les espaces de travail et les blocs-notes, se connecter aux clusters et gérer les interactions de données.
1. Accédez à la console IAM ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) et créez un rôle IAM.
1. Sélectionnez **Service AWS**comme entité de confiance, puis choisissez **Amazon EMR**. Joignez les politiques suivantes pour définir les autorisations et la relation de confiance du rôle.
Pour utiliser ces politiques, remplacez celles de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
Pour une référence de toutes les autorisations de rôle de service, voir Autorisations de [rôle de service EMR Studio](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table).
1. **[Créez un rôle utilisateur EMR Studio pour l'authentification IAM Identity Center :](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** EMR Studio assume ce rôle lorsqu'un utilisateur se connecte via IAM Identity Center pour gérer des espaces de travail, des clusters EMR, des jobs et des référentiels git. **Ce rôle est utilisé pour lancer le flux de travail de propagation des identités fiables**.
**Note**
Le rôle d'utilisateur EMR Studio n'a pas besoin d'inclure d'autorisations pour accéder aux emplacements Amazon S3 des tables dans AWS Glue Catalog. AWS Lake Formation les autorisations et les emplacements enregistrés des lacs seront utilisés pour recevoir des autorisations temporaires.
L'exemple de politique suivant peut être utilisé dans un rôle permettant à un utilisateur d'EMR Studio d'utiliser les groupes de travail Athena pour exécuter des requêtes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
La politique de confiance suivante permet à EMR Studio d'assumer ce rôle :
**Note**
Des autorisations supplémentaires sont nécessaires pour exploiter les espaces de travail EMR Studio et les Notebooks EMR. Voir [Créer des politiques d'autorisation pour les utilisateurs d'EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies) pour plus d'informations.
**Vous trouverez de plus amples informations à l'aide des liens suivants :**
+ [Définir des autorisations IAM personnalisées à l’aide de politiques gérées par le client](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [Autorisations relatives aux rôles du service EMR Studio](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## Étape 2. Créez et configurez votre studio EMR
Au cours de cette étape, vous allez créer un Amazon EMR Studio dans la console EMR Studio et utiliser les rôles IAM que vous y avez créés. [Étape 1. Création des rôles IAM requis pour EMR StudioÉtape 2. Créez et configurez votre studio EMR](#setting-up-tip-emr-step1)
1. Accédez à la console EMR Studio, sélectionnez **Create Studio** et l'option **Configuration personnalisée**. Vous pouvez créer un nouveau compartiment S3 ou utiliser un compartiment existant. Vous pouvez cocher la case pour **chiffrer les fichiers de l'espace de travail avec vos propres clés KMS**. Pour de plus amples informations, veuillez consulter [AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html).
![\[Étape 1 Créez EMR Studio dans la console EMR.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. Sous **Rôle de service pour permettre à Studio d'accéder à vos ressources**, sélectionnez le rôle [Étape 1. Création des rôles IAM requis pour EMR StudioÉtape 2. Créez et configurez votre studio EMR](#setting-up-tip-emr-step1) de service créé dans le menu.
1. Choisissez **IAM Identity Center** sous **Authentification**. Sélectionnez le rôle d'utilisateur créé dans[Étape 1. Création des rôles IAM requis pour EMR StudioÉtape 2. Créez et configurez votre studio EMR](#setting-up-tip-emr-step1).
![\[Étape 3 Créez EMR Studio dans la console EMR, en sélectionnant IAM Identity Center comme méthode d'authentification.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. Cochez la case **Propagation d'identité fiable**. Choisissez **Uniquement les utilisateurs et les groupes assignés** dans la section Accès aux applications, ce qui vous permettra de n'autoriser que les utilisateurs et les groupes autorisés à accéder à ce studio.
1. *(Facultatif)* - Vous pouvez configurer le VPC et le sous-réseau si vous utilisez ce studio avec des clusters EMR.
![\[Étape 4 Créez EMR Studio dans la console EMR, en sélectionnant les paramètres réseau et de sécurité.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. Vérifiez tous les détails et sélectionnez **Create Studio**.
1. Après avoir configuré un cluster Athena WorkGroup ou EMR, connectez-vous à l'URL du Studio pour :
1. Exécutez des requêtes Athena avec l'éditeur de requêtes.
1. Exécutez des tâches Spark dans l'espace de travail à l'aide du Jupyter bloc-notes.
# Propagation d'identité fiable avec Amazon Athena
Les étapes à suivre pour activer la propagation fiable des identités varient selon que vos utilisateurs interagissent avec des applications AWS gérées ou des applications gérées par le client. Le schéma suivant montre une configuration de propagation d'identité fiable pour les applications orientées client ( AWS gérées ou externes) qui utilisent Amazon Athena pour AWS interroger les données Amazon S3 avec un contrôle d'accès fourni par Amazon S3 et AWS Lake Formation Amazon S3. Access Grants
**Note**
La propagation fiable des identités avec Amazon Athena nécessite l'utilisation de Trino.
Les clients Apache Spark et SQL connectés à Amazon Athena via les pilotes ODBC et JDBC ne sont pas pris en charge.
![\[Schéma de propagation d'identités fiables à l'aide d'Athena, Amazon EMR, Lake Formation et IAM Identity Center\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS applications gérées**
L'application AWS gérée orientée client suivante prend en charge la propagation sécurisée des identités avec Athena :
+ Amazon EMR Studio
**Pour activer la propagation d'identités fiables, procédez comme suit :**
+ [Configurez Amazon EMR](setting-up-tip-emr.md) en Studio tant qu'application orientée client pour Athena. L'éditeur de requêtes d'EMR Studio est nécessaire pour exécuter les requêtes Athena lorsque la propagation sécurisée des identités est activée.
+ [Configurez le groupe de travail Athena](setting-up-tip-ate.md).
+ [Configurez AWS Lake Formation](tip-tutorial-lf.md) pour activer un contrôle d'accès précis pour les AWS Glue tables en fonction de l'utilisateur ou du groupe dans IAM Identity Center.
+ [Configurez Amazon S3 Access Grants](tip-tutorial-s3.md) pour permettre un accès temporaire aux emplacements de données sous-jacents dans S3.
**Note**
Lake Formation et Amazon S3 Access Grants sont tous deux requis pour le contrôle d'accès aux résultats des requêtes Athena AWS Glue Data Catalog et pour ceux-ci dans Amazon S3.
**Applications gérées par le client**
*Pour activer la propagation d'identité fiable pour les utilisateurs d'*applications développées sur mesure*, reportez-vous à la section [Accès Services AWS par programmation à l'aide de la propagation d'identité sécurisée](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/) dans le blog sur la AWS sécurité.*
# Configuration d'une propagation d'identité fiable avec les groupes de travail Amazon Athena
La procédure suivante explique comment configurer les groupes de travail Amazon Athena pour une propagation d'identité fiable.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
1. [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
1. Cette configuration nécessite [Amazon EMR Studio](setting-up-tip-emr.md) et [Amazon S3 Access](tip-tutorial-s3.md) Grants. [AWS Lake Formation](tip-tutorial-lf.md)
## Configuration d'une propagation d'identité fiable avec Athena
Pour configurer la propagation sécurisée des identités avec Athena, l'administrateur d'Athena doit :
1. Passez en revue [les considérations et les limites liées à l'utilisation des groupes de travail Athena compatibles avec IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations).
1. [Créez un groupe de travail Athena compatible avec IAM Identity Center](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup).
# Propagation d'identité fiable avec Amazon SageMaker Studio
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) s'intègre à IAM Identity Center et prend en charge les [sessions d'arrière-plan des utilisateurs](user-background-sessions.md) et la propagation d'identités fiables. Les sessions utilisateur en arrière-plan permettent à un utilisateur de lancer une tâche de longue durée sur SageMaker Studio, sans qu'il soit obligé de rester connecté pendant l'exécution de la tâche. La tâche s'exécute immédiatement et en arrière-plan, en utilisant les autorisations de l'utilisateur à l'origine de la tâche. La tâche peut continuer à s'exécuter même si l'utilisateur éteint son ordinateur, si sa session de connexion à IAM Identity Center expire ou s'il se déconnecte du portail d' AWS accès. La durée de session par défaut pour les sessions d'arrière-plan des utilisateurs est de 7 jours, mais vous pouvez spécifier une durée maximale de 90 jours. La propagation fiable des identités permet de fournir un accès précis à des AWS ressources telles que les compartiments Amazon S3 en fonction de l'identité de l'utilisateur ou de son appartenance à un groupe.
Le schéma suivant montre une configuration de propagation d'identité fiable pour SageMaker Studio, avec accès aux données stockées dans un compartiment Amazon S3. Les sessions d'arrière-plan utilisateur sont activées pour IAM Identity Center, ce qui permet à la tâche de formation SageMaker Studio de s'exécuter en arrière-plan. Le contrôle d'accès aux données d'entraînement est fourni par Amazon S3Access Grants.
![\[Schéma de propagation d'identités fiables pour SageMaker Studio, avec une tâche de formation SageMaker Studio exécutée dans le cadre d'une session d'arrière-plan utilisateur et un accès aux données de formation dans Amazon S3 fournies par Amazon S3Access Grants.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS application gérée**
L'application AWS gérée orientée client suivante prend en charge la propagation d'identités fiables :
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**Pour activer la propagation d'identité fiable et les sessions d'arrière-plan des utilisateurs, procédez comme suit :**
+ [Configurez SageMaker Studio en tant qu'application orientée client.](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [Configurez Amazon S3 Access Grants](tip-tutorial-s3.md) pour permettre un accès temporaire aux emplacements de données sous-jacents dans Amazon S3.
# Configuration d'une propagation d'identité fiable avec SageMaker Studio
La procédure suivante explique comment configurer SageMaker Studio pour une propagation d'identité fiable et des sessions d'arrière-plan utilisateur.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez effectuer les tâches suivantes :
1. [Activez IAM Identity Center](enable-identity-center.md). Une instance d'organisation est requise. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
1. [Approvisionnez les utilisateurs et les groupes de votre source d'identités dans IAM Identity Center](tutorials.md).
1. [Vérifiez que les sessions d'arrière-plan des utilisateurs sont activées](user-background-sessions.md) dans la console IAM Identity Center. Par défaut, les sessions utilisateur en arrière-plan sont activées et leur durée est fixée à 7 jours. Vous pouvez modifier cette durée.
Pour configurer une propagation d'identité fiable depuis SageMaker Studio, l'administrateur de SageMaker Studio doit effectuer les étapes suivantes.
## Étape 1 : activer la propagation d'identités fiables dans un domaine SageMaker Studio nouveau ou existant
SageMaker Studio utilise des domaines pour organiser les profils utilisateur, les applications et les ressources associées. Pour activer la propagation d'identités fiables, vous devez créer un domaine SageMaker Studio ou modifier un domaine existant comme décrit dans la procédure suivante.
1. Ouvrez la console SageMaker AI, accédez à **Domains** et effectuez l'une des opérations suivantes.
+ **Créez un nouveau domaine SageMaker Studio à l'aide de [Configuration pour les organisations](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
Choisissez **Configurer pour les organisations**, puis procédez comme suit :
+ Choisissez **AWS Identity Center** comme méthode d'authentification.
+ Cochez la case **Activer la propagation d'identités fiables pour tous les utilisateurs de ce domaine**.
+ **Modifiez un domaine SageMaker Studio existant.**
+ Sélectionnez un domaine existant qui utilise IAM Identity Center pour l'authentification.
**Important**
La propagation d'identités fiables n'est prise en charge que dans les domaines SageMaker Studio qui utilisent IAM Identity Center pour l'authentification. Si le domaine utilise IAM pour l'authentification, vous ne pouvez pas modifier la méthode d'authentification et, par conséquent, vous ne pouvez pas activer la propagation d'identité fiable.
+ [Modifiez les paramètres du domaine](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit). Modifiez les paramètres **d'authentification et d'autorisation** pour activer la propagation d'identités fiables.
1. Passez à l'[étape 2 : configurer le rôle d'exécution du domaine par défaut](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role). Ce rôle est requis pour que les utilisateurs d'un domaine SageMaker Studio puissent accéder à d'autres AWS services tels qu'Amazon S3.
## Étape 2 : Configuration du rôle d'exécution du domaine par défaut et de la politique de confiance des rôles
Un *rôle d'exécution de domaine* est un [rôle IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles) qu'un domaine SageMaker Studio assume au nom de tous les utilisateurs du domaine. Les autorisations que vous attribuez à ce rôle déterminent les actions que SageMaker Studio peut effectuer.
1. Pour créer ou sélectionner un rôle d'exécution de domaine, effectuez l'une des opérations suivantes :
+ **Créez ou sélectionnez un rôle à l'aide de [Configuration pour les organisations](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions).**
+ Ouvrez la console SageMaker AI et suivez les instructions de la console à l'**étape 2 : Configurer les rôles et les activités** de machine learning pour créer un nouveau rôle d'exécution de domaine ou sélectionner un rôle existant.
+ Effectuez le reste des étapes de configuration pour créer votre domaine SageMaker Studio.
+ **Créez un rôle d'exécution manuellement.**
+ Ouvrez la console IAM et [créez vous-même le rôle d'exécution](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role).
1. [Mettez à jour la politique de confiance](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html) attachée au rôle d'exécution du domaine afin qu'elle inclue les deux actions suivantes : [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)et [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html). Pour plus d'informations sur la façon de trouver le rôle d'exécution pour votre domaine SageMaker Studio, voir [Obtenir le rôle d'exécution du domaine](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain).
Une *politique de confiance* spécifie l'identité qui peut assumer un rôle. Cette politique est requise pour permettre au service SageMaker Studio d'assumer le rôle d'exécution du domaine. Ajoutez ces deux actions afin qu'elles apparaissent comme suit dans votre politique.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## Étape 3 : vérifier les autorisations Amazon S3 Access Grant requises pour le rôle d'exécution du domaine
Pour utiliser Amazon S3 Access Grants, vous devez avoir une politique d'autorisation attachée (sous forme de politique intégrée ou de politique gérée par le client) à votre rôle d'exécution de domaine SageMaker Studio contenant les autorisations suivantes.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
Si aucune politique ne contient ces autorisations, suivez les instructions de la section [Ajouter et supprimer des autorisations d'identité IAM](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html) dans le *Guide de l'Gestion des identités et des accès AWS utilisateur*.
## Étape 4 : Attribuer des groupes et des utilisateurs au domaine
Attribuez des groupes et des utilisateurs au domaine SageMaker Studio en suivant les étapes décrites dans [Ajouter des groupes et des utilisateurs](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html).
## Étape 5 : configurer les autorisations d'accès Amazon S3
Pour configurer les subventions d'accès Amazon S3, suivez les étapes décrites dans [Configuration des subventions d'accès Amazon S3 pour une propagation d'identité fiable via IAM Identity Center](tip-tutorial-s3.md#tip-tutorial-s3-configure). Suivez les step-by-step instructions pour effectuer les tâches suivantes :
1. Créez une instance Amazon S3 Access Grants.
1. Enregistrez un emplacement dans cette instance.
1. Créez des autorisations pour permettre à des utilisateurs ou à des groupes spécifiques de l'IAM Identity Center d'accéder à des emplacements ou à des sous-ensembles Amazon S3 désignés (par exemple, des préfixes spécifiques) au sein de ces sites.
## Étape 6 : Soumettre un projet de SageMaker formation et consulter les détails de la session d'arrière-plan de l'utilisateur
Dans SageMaker Studio, lancez un nouveau bloc-notes Jupyter et soumettez une tâche de formation. Pendant l'exécution de la tâche, effectuez les étapes suivantes pour afficher les informations de session et vérifier que le contexte de session d'arrière-plan de l'utilisateur est actif.
1. Ouvrez la console IAM Identity Center.
1. Choisissez **Utilisateurs**.
1. Sur la page **Utilisateurs**, choisissez le nom d'utilisateur de l'utilisateur dont vous souhaitez gérer les sessions. Cela vous amène à une page contenant les informations de l'utilisateur.
1. Sur la page de l'utilisateur, choisissez l'onglet **Sessions actives**. Le nombre entre parenthèses à côté de **Sessions actives** indique le nombre de sessions actives pour cet utilisateur.
1. Pour rechercher des sessions par le nom de ressource Amazon (ARN) de la tâche qui utilise la session, dans la liste des **types de session**, choisissez **Sessions d'arrière-plan utilisateur**, puis entrez l'ARN de la tâche dans le champ de recherche.
Voici un exemple de la façon dont une tâche de formation utilisant une session d'arrière-plan utilisateur apparaît dans l'onglet **Sessions actives** d'un utilisateur.
![\[alt text not found\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## Étape 7 : Afficher les CloudTrail journaux pour vérifier la propagation fiable de l'identité dans CloudTrail
Lorsque la propagation d'identités fiables est activée, les actions apparaissent dans les journaux d' CloudTrail événements situés sous l'`onBehalfOf`élément. Le `userId` reflète l'ID de l'utilisateur de l'IAM Identity Center qui a initié la tâche de formation. L' CloudTrail événement suivant capture le processus de propagation d'identités fiables.
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## Considérations relatives à l’exécution
Si un administrateur définit **MaxRuntimeInSeconds**des tâches de formation ou de traitement de longue durée inférieures à la durée de la session d'arrière-plan de l'utilisateur, SageMaker Studio exécute le travail pendant la durée minimale de la session d'arrière-plan de l'utilisateur **MaxRuntimeInSeconds **ou pendant la durée minimale de la session d'arrière-plan de l'utilisateur.
Pour plus d'informations **MaxRuntimeInSeconds**, consultez les instructions relatives au `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition)paramètre dans le *Amazon SageMaker API Reference*.
# Services d'autorisation
Dans tous les [cas d'utilisation d'Analytics et de data lakehouse](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview), vous pouvez obtenir des contrôles d'accès précis en utilisant :
+ AWS Lake Formation - pour obtenir des conseils, voir[Configuration AWS Lake Formation avec IAM Identity Center](tip-tutorial-lf.md).
+ Amazon S3 Access Grants : pour obtenir des conseils, consultez[Configuration des subventions d'accès Amazon S3 avec IAM Identity Center](tip-tutorial-s3.md).
# Configuration AWS Lake Formation avec IAM Identity Center
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html)est un service géré qui simplifie la création et la gestion de lacs de données sur AWS. Il automatise la collecte, le catalogage et la sécurité des données, en fournissant un référentiel centralisé pour le stockage et l'analyse de différents types de données. Lake Formation propose des contrôles d'accès précis et s'intègre à divers services AWS d'analyse, permettant aux entreprises de configurer, de sécuriser et d'extraire efficacement des informations de leurs lacs de données.
Suivez ces étapes pour permettre à Lake Formation d'accorder des autorisations de données en fonction de l'identité de l'utilisateur à l'aide d'IAM Identity Center et d'une propagation d'identité fiable.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
+ [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
## Étapes pour configurer une propagation d'identité fiable
1. **Intégrez IAM Identity Center** en AWS Lake Formation suivant les instructions de la section [Connecting Lake Formation with IAM Identity](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html) Center.
**Important**
**Si vous ne disposez pas de AWS Glue Data Catalog tables**, vous devez les créer afin de les utiliser AWS Lake Formation pour accorder l'accès aux utilisateurs et aux groupes IAM Identity Center. Voir [Création d'objets dans AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html) pour plus d'informations.
1. **Enregistrez les emplacements des lacs de données**.
[Enregistrez les emplacements S3](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html) où les données des tables Glue sont stockées. Lake Formation fournira ainsi un accès temporaire aux emplacements S3 requis lorsque les tables sont demandées, éliminant ainsi le besoin d'inclure des autorisations S3 dans le rôle de service (par exemple, le rôle de service Athena configuré sur le). WorkGroup
1. Accédez aux **emplacements des lacs de données** dans la section **Administration** du volet de navigation de la AWS Lake Formation console. Sélectionnez **Enregistrer l'emplacement**.
Cela permettra à Lake Formation de fournir des informations d'identification IAM temporaires avec les autorisations nécessaires pour accéder aux emplacements de données S3.
![\[Étape 1 Enregistrez l'emplacement du lac de données dans la console Lake Formation.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. Entrez le chemin S3 des emplacements de données des AWS Glue tables dans le champ **Amazon S3 path**.
1. Dans la section **Rôle IAM**, ne sélectionnez pas le rôle lié au service si vous souhaitez l'utiliser dans le cadre d'une propagation d'identité sécurisée. Créez un rôle distinct avec les autorisations suivantes.
Pour utiliser ces politiques, remplacez celles de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html). La politique d'autorisation doit accorder l'accès à l'emplacement S3 spécifié dans le chemin :
1. **Politique d'autorisation** :
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **Relation de confiance** : Cela devrait inclure `sts:SectContext` ce qui est nécessaire pour la propagation d'une identité fiable.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**Note**
Le rôle IAM créé par l'assistant est un rôle lié à un service et n'inclut pas. `sts:SetContext`
1. Après avoir créé le rôle IAM, sélectionnez **Enregistrer l'emplacement**.
## Propagation d'identité fiable grâce à Lake Formation Comptes AWS
AWS Lake Formation prend en charge l'utilisation de [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) pour partager des tables entre elles Comptes AWS et fonctionne avec une propagation d'identité fiable lorsque le compte du donateur et le compte du bénéficiaire se trouvent dans la même AWS Organizations instance organisationnelle d'IAM Identity Center. Région AWS Voir [Partage de données entre comptes dans Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html) pour plus d'informations.
# Configuration des subventions d'accès Amazon S3 avec IAM Identity Center
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) offre la flexibilité nécessaire pour accorder un contrôle d'accès précis basé sur l'identité aux sites S3. Vous pouvez utiliser Amazon S3 Access Grants pour accorder l'accès au compartiment Amazon S3 directement aux utilisateurs et aux groupes de votre entreprise. Suivez ces étapes pour activer S3 Access Grants avec IAM Identity Center et obtenir une propagation d'identité fiable.
## Conditions préalables
Avant de commencer ce didacticiel, vous devez configurer les éléments suivants :
+ [Activez IAM Identity Center](enable-identity-center.md). [L'instance d'organisation](organization-instances-identity-center.md) est recommandée. Pour de plus amples informations, veuillez consulter [Prérequis et considérations](trustedidentitypropagation-overall-prerequisites.md).
## Configuration des autorisations d'accès S3 pour une propagation d'identité fiable via IAM Identity Center
**Si vous possédez déjà une Access Grants instance Amazon S3 avec un emplacement enregistré, procédez comme suit :**
1. [Associez votre instance IAM Identity Center](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html).
1. [Créez une subvention](#tip-tutorial-s3-create-grant).
**Si vous n'avez pas Access Grants encore créé d'Amazon S3, procédez comme suit :**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) : vous pouvez créer une Access Grants instance S3 par Région AWS. Lorsque vous créez l'Access Grantsinstance S3, assurez-vous de cocher la case **Ajouter une instance IAM Identity Center** et de fournir l'ARN de votre instance IAM Identity Center. Sélectionnez **Suivant**.
L'image suivante montre la page Créer une Access Grants instance S3 dans la Access Grants console Amazon S3 :
![\[Créez une page d'Access Grantsinstance S3 dans la console S3 Access Grants.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **Enregistrer un emplacement** - Après avoir créé et [créé une Access Grants instance Amazon S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) Région AWS dans un compte, vous [enregistrez un emplacement S3](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) dans cette instance. Un Access Grants emplacement S3 associe la région S3 par défaut (`S3://`), un compartiment ou un préfixe à un rôle IAM. S3 Access Grants assume ce rôle Amazon S3 pour vendre des informations d'identification temporaires au bénéficiaire qui accède à cet emplacement particulier. Vous devez d'abord enregistrer au moins un emplacement dans votre Access Grants instance S3 avant de pouvoir créer une autorisation d'accès.
Pour l'**étendue de localisation**`s3://`, spécifiez, qui inclut tous vos compartiments de cette région. Il s'agit de l'étendue de localisation recommandée pour la plupart des cas d'utilisation. Si vous avez un cas d'utilisation de gestion avancée des accès, vous pouvez définir l'étendue de localisation en fonction d'un compartiment `s3://bucket` ou d'un préfixe spécifique au sein d'un compartiment`s3://bucket/prefix-with-path`. Pour plus d'informations, consultez [Enregistrer un emplacement](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html) dans le *guide de l'utilisateur d'Amazon Simple Storage Service*.
**Note**
Assurez-vous que les emplacements S3 des AWS Glue tables auxquelles vous souhaitez accorder l'accès sont inclus dans ce chemin.
La procédure vous oblige à configurer un rôle IAM pour l'emplacement. Ce rôle doit inclure les autorisations d'accès à la zone de localisation. Vous pouvez utiliser l'assistant de console S3 pour créer le rôle. Vous devez spécifier l'ARN de votre Access Grants instance S3 dans les politiques relatives à ce rôle IAM. La valeur par défaut de l'ARN de votre Access Grants instance S3 est`arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default`.
L'exemple de politique d'autorisation suivant donne à Amazon S3 des autorisations pour le rôle IAM que vous avez créé. Et l'exemple de politique de confiance qui suit permet au principal du Access Grants service S3 d'assumer le rôle IAM.
1. **Stratégie d'autorisation**
Pour utiliser ces politiques, remplacez celles de *italicized placeholder text* l'exemple de politique par vos propres informations. Pour obtenir des instructions supplémentaires, voir [Créer une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html) ou [Modifier une politique](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **Politique d’approbation**
Dans la politique de confiance du rôle IAM, accordez au service S3 Access Grants (`access-grants.s3.amazonaws.com`) l’accès au rôle IAM que vous avez créé. Pour ce faire, vous pouvez créer un fichier JSON contenant les instructions suivantes. Pour ajouter la politique d’approbation à votre compte, consultez [Création d’un rôle à l’aide de politiques d’approbation personnalisées](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## Création d'une subvention d'accès Amazon S3
Si vous possédez une Access Grants instance Amazon S3 avec un emplacement enregistré et que vous y avez associé votre instance IAM Identity Center, vous pouvez [créer une subvention](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html). Sur la page **Create Grant** de la console S3, procédez comme suit :
**Créer un octroi**
1. Sélectionnez l'emplacement créé à l'étape précédente. Vous pouvez réduire la portée de la subvention en ajoutant un sous-préfixe. Le sous-préfixe peut être un `bucket``bucket/prefix`, ou un objet du compartiment. Pour plus d'informations, consultez la section [Sous-préfixe](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix) dans le guide de l'*utilisateur d'Amazon Simple Storage Service*.
1. Sous **Autorisations et accès**, sélectionnez **Lire** et/ou **Écrire** en fonction de vos besoins.
1. Dans **Type Granter**, choisissez **Directory Identity form IAM Identity** Center.
1. Indiquez l'**ID d'utilisateur ou de groupe** IAM Identity Center. Vous trouverez l'utilisateur et le groupe IDs dans les [sections **Utilisateur** et **Groupe**](howtoviewandchangepermissionset.md) de la console IAM Identity Center. Sélectionnez **Suivant**.
1. Sur la page **Révision et finition**, passez en revue les paramètres du S3, Access Grant puis sélectionnez **Create Grant**.
L'image suivante montre la page Create Grant dans la Access Grants console Amazon S3 :
![\[Créez une page de subvention dans la console Amazon S3 Access Grants.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)
# Configuration de votre propre application OAuth 2.0
La propagation fiable des identités permet à une application gérée par le client de demander l'accès aux données AWS des services au nom d'un utilisateur. La gestion de l'accès aux données est basée sur l'identité de l'utilisateur, de sorte que les administrateurs peuvent accorder l'accès en fonction de l'appartenance des utilisateurs et des groupes aux utilisateurs existants. L'identité de l'utilisateur, les actions effectuées en son nom et les autres événements sont enregistrés dans des journaux et CloudTrail des événements spécifiques au service.
Grâce à la propagation sécurisée des identités, un utilisateur peut se connecter à une application gérée par le client, et cette application peut transmettre l'identité de l'utilisateur dans les demandes d'accès aux données Services AWS.
**Important**
Pour accéder à un Service AWS, les applications gérées par le client doivent obtenir un jeton auprès d'un émetteur de jetons fiable, externe à IAM Identity Center. Un *émetteur de jetons de confiance* est un serveur d'autorisation OAuth 2.0 qui crée des jetons signés. Ces jetons autorisent les applications qui lancent des demandes d'accès à Services AWS (réception d'applications). Pour de plus amples informations, veuillez consulter [Utilisation d'applications dotées d'un émetteur de jetons fiable](using-apps-with-trusted-token-issuer.md).
**Topics**
+ [Configurez des applications OAuth 2.0 gérées par le client pour une propagation fiable des identités](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)
+ [Spécifier les applications fiables](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md)
+ [Utilisation d'applications dotées d'un émetteur de jetons fiable](using-apps-with-trusted-token-issuer.md)
# Configurez des applications OAuth 2.0 gérées par le client pour une propagation fiable des identités
Pour configurer une application OAuth 2.0 gérée par le client pour une propagation d'identité fiable, vous devez d'abord l'ajouter à IAM Identity Center. Utilisez la procédure suivante pour ajouter votre application à IAM Identity Center.
**Topics**
+ [Étape 1 : Sélectionnez le type de demande](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type)
+ [Étape 2 : Spécifier les détails de l'application](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)
+ [Étape 3 : Spécifier les paramètres d'authentification](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)
+ [Étape 4 : Spécifier les informations d'identification de l'application](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)
+ [Étape 5 : révision et configuration](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)
## Étape 1 : Sélectionnez le type de demande
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Choisissez l’onglet **Gérée par le client**.
1. Choisissez **Add application** (Ajouter une application).
1. Sur la page **Sélectionner le type d’application**, sous **Préférence de configuration**, choisissez **J’ai une application que je souhaite configurer**.
1. Sous **Type d'application**, choisissez **OAuth 2.0**.
1. Choisissez **Next** pour passer à la page suivante,[Étape 2 : Spécifier les détails de l'application](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details).
## Étape 2 : Spécifier les détails de l'application
1. Sur la page **Spécifier les détails** de **l'application, sous Nom et description** de l'application, entrez un **nom d'affichage** pour l'application, tel que**MyApp**. Entrez ensuite une **description**.
1. Sous **Méthode d'attribution des utilisateurs et des groupes**, choisissez l'une des options suivantes :
+ **Exiger des attributions** : autorisez uniquement les utilisateurs et les groupes IAM Identity Center affectés à cette application à accéder à l'application.
Visibilité de la vignette de l'application : seuls les utilisateurs affectés à l'application directement ou par le biais d'une attribution de groupe peuvent voir la vignette de l'application dans le portail AWS d'accès, à condition que la **visibilité de l'application dans le portail AWS d'accès** soit définie sur **Visible**.
+ **Pas besoin d'assignations** : autorisez tous les utilisateurs et groupes autorisés d'IAM Identity Center à accéder à cette application.
Visibilité de la vignette de l'application : la vignette de l'application est visible par tous les utilisateurs qui se connectent au portail AWS d'accès, sauf si la **visibilité de l'application dans le portail d' AWS accès** est définie sur **Non visible**.
1. Sous **portail AWS d'accès**, entrez l'URL à laquelle les utilisateurs peuvent accéder à l'application et spécifiez si la vignette de l'application sera visible ou non dans le portail AWS d'accès. Si vous choisissez **Non visible**, même les utilisateurs assignés ne peuvent pas voir la vignette de l'application.
1. Sous **Balises (facultatif)**, choisissez **Ajouter une nouvelle balise**, puis spécifiez les valeurs de **clé** et de **valeur (facultatif)**.
Pour plus d’informations sur les balises, consultez [Ressources de balisage AWS IAM Identity Center](tagging.md).
1. Choisissez **Next**, puis passez à la page suivante[Étape 3 : Spécifier les paramètres d'authentification](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings).
## Étape 3 : Spécifier les paramètres d'authentification
Pour ajouter une application gérée par le client compatible avec la OAuth version 2.0 à IAM Identity Center, vous devez spécifier un émetteur de jetons fiable. Un émetteur de jetons de confiance est un serveur d'autorisation OAuth 2.0 qui crée des jetons signés. Ces jetons autorisent les applications qui lancent des demandes (demandes d’applications) pour accéder aux applications gérées par AWS (réception d’applications).
1. Sur la page **Spécifier les paramètres d'authentification**, sous **Émetteurs de jetons fiables**, effectuez l'une des opérations suivantes :
+ Pour utiliser un émetteur de jetons de confiance existant :
Cochez la case à côté du nom de l'émetteur de jetons de confiance que vous souhaitez utiliser.
+ Pour ajouter un nouvel émetteur de jetons de confiance :
1. Choisissez **Créer un émetteur de jetons approuvés**.
1. Un nouvel onglet de navigateur s'ouvre. Suivez les étapes 5 à 8 dans[Comment ajouter un émetteur de jetons fiable à la console IAM Identity Center](setuptrustedtokenissuer.md#how-to-add-trustedtokenissuer).
1. Après avoir effectué ces étapes, retournez dans la fenêtre du navigateur que vous utilisez pour configurer votre application et sélectionnez l'émetteur de jetons de confiance que vous venez d'ajouter.
1. Dans la liste des émetteurs de jetons de confiance, cochez la case à côté du nom de l'émetteur de jetons de confiance que vous venez d'ajouter.
Après avoir sélectionné un émetteur de jetons de confiance, la section **Configurer les émetteurs de jetons de confiance sélectionnés** apparaît.
1. Sous **Configurer les émetteurs de jetons fiables sélectionnés**, entrez la **réclamation Aud**. La **réclamation** Aud identifie le public cible (destinataires) du jeton généré par l'émetteur du jeton de confiance. Pour de plus amples informations, veuillez consulter [Réclamation d'aide](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
1. Pour éviter que vos utilisateurs n'aient à s'authentifier à nouveau lorsqu'ils utilisent cette application, sélectionnez **Activer l'octroi de jetons d'actualisation**. Lorsqu'elle est sélectionnée, cette option actualise le jeton d'accès à la session toutes les 60 minutes, jusqu'à ce que la session expire ou que l'utilisateur y mette fin.
1. Choisissez **Next**, puis passez à la page suivante[Étape 4 : Spécifier les informations d'identification de l'application](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials).
## Étape 4 : Spécifier les informations d'identification de l'application
Suivez les étapes de cette procédure pour spécifier les informations d'identification que votre application utilise pour effectuer des actions d'échange de jetons avec des applications fiables. Ces informations d'identification sont utilisées dans une politique basée sur les ressources. La politique exige que vous spécifiiez un principal autorisé à effectuer les actions spécifiées dans la stratégie. **Vous devez spécifier un principal**, même si les applications fiables se trouvent dans les mêmes applications Compte AWS.
**Note**
Lorsque vous définissez des autorisations à l'aide de politiques, accordez uniquement les autorisations nécessaires à l'exécution d'une tâche. Pour ce faire, vous définissez les actions qui peuvent être entreprises sur des ressources spécifiques dans des conditions spécifiques, également appelées autorisations de moindre privilège.
Cette politique nécessite l'action de [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)l'API. Pour plus d'informations sur cette politique et un exemple que vous pouvez adapter en fonction des besoins de votre environnement, consultez[Exemple de politique basée sur les ressources pour IAM Identity Center IAM Identity Center](iam-auth-access-using-resource-based-policies.md).
1. Sur la page **Spécifier les informations d'identification de l'application**, effectuez l'une des opérations suivantes :
+ Pour définir rapidement un ou plusieurs rôles IAM :
1. Choisissez **Entrez un ou plusieurs rôles IAM**.
1. Sous **Enter IAM roles**, spécifiez le Amazon Resource Name (ARN) d'un rôle IAM existant. Pour spécifier l'ARN, utilisez la syntaxe suivante. La partie de la région de l'ARN est vide, car les ressources IAM sont globales.
```
arn:aws:iam::account:role/role-name-with-path
```
*Pour plus d'informations, consultez la section [Accès entre comptes à l'aide de politiques basées sur les ressources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html#access_policies-cross-account-using-resource-based-policies) et [IAM ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns) dans le guide de l'utilisateur.Gestion des identités et des accès AWS *
+ Pour modifier manuellement la politique (obligatoire si vous spécifiez des informations autres que les informations AWS d'identification) :
1. Sélectionnez **Modifier la politique de l'application**.
1. Modifiez votre politique en tapant ou en collant du texte dans la zone de texte JSON.
1. Résolvez les avertissements de sécurité, les erreurs ou les avertissements généraux générés lors de la validation des politiques. Pour plus d'informations, consultez la section [Validation des politiques IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html) dans le guide de l'*Gestion des identités et des accès AWS utilisateur*.
1. Choisissez **Next** et passez à la page suivante,[Étape 5 : révision et configuration](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure).
## Étape 5 : révision et configuration
1. Sur la page **Révision et configuration**, passez en revue les choix que vous avez faits. Pour apporter des modifications, choisissez la section de configuration souhaitée, choisissez **Modifier**, puis apportez les modifications requises.
1. Lorsque vous avez terminé, choisissez **Ajouter une application**.
1. L'application que vous avez ajoutée apparaît dans la liste des **applications gérées par le client**.
1. Après avoir configuré votre application gérée par le client dans IAM Identity Center, vous devez spécifier une ou plusieurs applications Services AWS, ou applications fiables, pour la propagation des identités. Cela permet aux utilisateurs de se connecter à votre application gérée par le client et d'accéder aux données de l'application sécurisée.
Pour de plus amples informations, veuillez consulter [Spécifier les applications fiables](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md).
# Spécifier les applications fiables
Après avoir [configuré votre application gérée par le client](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md), vous devez spécifier un ou plusieurs AWS services fiables, ou applications fiables, pour la propagation des identités. Spécifiez un AWS service contenant des données auxquelles les utilisateurs de vos applications gérées par le client doivent accéder. Lorsque vos utilisateurs se connectent à votre application gérée par le client, cette application transmet l'identité de vos utilisateurs à l'application sécurisée.
Utilisez la procédure suivante pour sélectionner un service, puis spécifiez les applications individuelles à approuver pour ce service.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Choisissez l’onglet **Gérée par le client**.
1. Dans la liste des **applications gérées par le client**, sélectionnez l'application OAuth 2.0 pour laquelle vous souhaitez lancer des demandes d'accès. Il s'agit de l'application à laquelle vos utilisateurs se connectent.
1. Sur la page **Détails**, sous **Applications approuvées pour la propagation d’identité**, choisissez **Spécifier les applications approuvées**.
1. Sous **Type d'installation**, sélectionnez **Applications individuelles et spécifiez l'accès**, puis choisissez **Suivant**.
1. Sur la page **Sélectionner un service**, choisissez le AWS service qui possède des applications auxquelles votre application gérée par le client peut faire confiance pour la propagation des identités, puis choisissez **Next**.
Le service que vous sélectionnez définit les applications fiables. Vous allez sélectionner les applications à l'étape suivante.
1. Sur la page **Sélectionner des applications**, choisissez **Applications individuelles**, cochez la case correspondant à chaque application pouvant recevoir des demandes d'accès, puis choisissez **Suivant**.
1. Sur la page **Configurer l'accès**, sous **Méthode de configuration**, effectuez l'une des opérations suivantes :
+ **Sélectionnez l’accès pour chaque application :** sélectionnez cette option pour configurer différents niveaux d’accès pour chaque application. Choisissez l’application pour laquelle vous souhaitez configurer le niveau d’accès, puis choisissez **Modifier l’accès**. Dans **Niveau d’accès à appliquer**, modifiez les niveaux d’accès selon vos besoins, puis sélectionnez **Enregistrer les modifications**.
+ **Appliquer le même niveau d'accès à toutes les applications** : sélectionnez cette option si vous n'avez pas besoin de configurer les niveaux d'accès pour chaque application.
1. Choisissez **Suivant**.
1. Sur la page **Vérifier la configuration**, passez en revue les choix que vous avez effectués. Pour apporter des modifications, choisissez la section de configuration souhaitée, choisissez **Modifier l'accès**, puis apportez les modifications requises.
1. Lorsque vous avez terminé, choisissez **Trust applications**.
# Utilisation d'applications dotées d'un émetteur de jetons fiable
Les émetteurs de jetons fiables vous permettent d'utiliser la propagation d'identité fiable avec des applications qui s'authentifient en dehors de. AWS Avec des émetteurs de jetons fiables, vous pouvez autoriser ces applications à faire des demandes d'accès aux applications AWS gérées au nom de leurs utilisateurs.
Les rubriques suivantes décrivent le fonctionnement des émetteurs de jetons fiables et fournissent des conseils de configuration.
**Topics**
+ [Vue d'ensemble des émetteurs de jetons fiables](#trusted-token-issuer-overview)
+ [Conditions préalables et considérations pour les émetteurs de jetons fiables](#trusted-token-issuer-prerequisites)
+ [Détails de la réclamation de JTI](#trusted-token-issuer-configuration-jti-claim)
+ [Paramètres de configuration des émetteurs de jetons fiables](trusted-token-issuer-configuration-settings.md)
+ [Configuration d'un émetteur de jetons de confiance](setuptrustedtokenissuer.md)
+ [Sessions de rôles IAM améliorées](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)
## Vue d'ensemble des émetteurs de jetons fiables
La propagation d'identités fiables fournit un mécanisme qui permet aux applications qui s'authentifient AWS à l'extérieur de faire des demandes au nom de leurs utilisateurs en utilisant un émetteur de jetons fiable. Un *émetteur de jetons de confiance* est un serveur d'autorisation OAuth 2.0 qui crée des jetons signés. Ces jetons autorisent les applications qui lancent des demandes (demandes d'applications) pour accéder à Services AWS(recevoir des applications). Les applications demandeuses lancent des demandes d'accès au nom des utilisateurs authentifiés par l'émetteur de jetons de confiance. Les utilisateurs sont connus à la fois de l'émetteur du jeton sécurisé et de l'IAM Identity Center.
Services AWS qui reçoivent des demandes gèrent l'autorisation précise de leurs ressources en fonction de leurs utilisateurs et de leur appartenance à un groupe, comme indiqué dans le répertoire Identity Center. Services AWS ne peut pas utiliser directement les jetons provenant de l'émetteur de jetons externe.
Pour résoudre ce problème, IAM Identity Center fournit à l'application demandeuse, ou à un AWS pilote utilisé par l'application demandeuse, un moyen d'échanger le jeton émis par l'émetteur du jeton approuvé contre un jeton généré par IAM Identity Center. Le jeton généré par IAM Identity Center fait référence à l'utilisateur IAM Identity Center correspondant. L'application demandeuse, ou le pilote, utilise le nouveau jeton pour lancer une demande à l'application réceptrice. Étant donné que le nouveau jeton fait référence à l'utilisateur correspondant dans IAM Identity Center, l'application réceptrice peut autoriser l'accès demandé en fonction de l'utilisateur ou de son appartenance à un groupe tel que représenté dans IAM Identity Center.
**Important**
Le choix d'un serveur d'autorisation OAuth 2.0 à ajouter en tant qu'émetteur de jetons de confiance est une décision de sécurité qui nécessite un examen attentif. Choisissez uniquement des émetteurs de jetons fiables en qui vous avez confiance pour effectuer les tâches suivantes :
Authentifiez l'utilisateur indiqué dans le jeton.
Autorisez l'accès de cet utilisateur à l'application réceptrice.
Générez un jeton qu'IAM Identity Center peut échanger contre un jeton créé par IAM Identity Center.
## Conditions préalables et considérations pour les émetteurs de jetons fiables
Avant de configurer un émetteur de jetons fiable, passez en revue les conditions préalables et les considérations suivantes.
+ **Configuration d'un émetteur de jetons fiable**
Vous devez configurer un serveur d'autorisation OAuth 2.0 (l'émetteur de jetons de confiance). Bien que l'émetteur de jetons de confiance soit généralement le fournisseur d'identité que vous utilisez comme source d'identité pour IAM Identity Center, il n'est pas nécessaire que ce soit le cas. Pour plus d'informations sur la configuration de l'émetteur de jetons de confiance, consultez la documentation du fournisseur d'identité concerné.
**Note**
Vous pouvez configurer jusqu'à 10 émetteurs de jetons fiables à utiliser avec IAM Identity Center, à condition de mapper l'identité de chaque utilisateur de l'émetteur de jetons de confiance à un utilisateur correspondant dans IAM Identity Center.
+ Le serveur d'autorisation OAuth 2.0 (l'émetteur de jetons de confiance) qui crée le jeton doit disposer d'un point de terminaison de découverte [OpenID Connect (](https://openid.net/specs/openid-connect-discovery-1_0.html)OIDC) que IAM Identity Center peut utiliser pour obtenir des clés publiques afin de vérifier les signatures des jetons. Pour de plus amples informations, veuillez consulter [URL du point de terminaison de découverte OIDC (URL de l'émetteur)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url).
+ **Tokens émis par l'émetteur de jetons de confiance**
Les jetons émis par l'émetteur de jetons de confiance doivent répondre aux exigences suivantes :
+ Le jeton doit être signé et au format [JSON Web Token (JWT) à](https://datatracker.ietf.org/doc/html/rfc7519#section-3) l'aide de l' RS256algorithme.
+ Le jeton doit contenir les allégations suivantes :
+ [Émetteur](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss) — Entité qui a émis le jeton. Cette valeur doit correspondre à la valeur configurée dans le point de terminaison de découverte OIDC (URL de l’émetteur) dans l’émetteur de jetons de confiance.
+ [Sujet](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (sous) — L'utilisateur authentifié.
+ [Audience](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3) (aud) — Destinataire prévu du jeton. Il s'agit de Service AWS celui qui sera accessible une fois le jeton échangé contre un jeton auprès d'IAM Identity Center. Pour de plus amples informations, veuillez consulter [Réclamation d'aide](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim).
+ [Délai d'expiration](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp) : délai après lequel le jeton expire.
+ Le jeton peut être un jeton d'identité ou un jeton d'accès.
+ Le jeton doit avoir un attribut qui peut être mappé de manière unique à un utilisateur du IAM Identity Center.
**Note**
L'utilisation d'une clé de signature personnalisée pour JWTs from n'Microsoft Entra IDest pas prise en charge. Pour utiliser des jetons provenant Microsoft Entra ID d'un émetteur de jetons fiable, vous ne pouvez pas utiliser de clé de signature personnalisée.
+ **Réclamations facultatives**
IAM Identity Center prend en charge toutes les revendications facultatives définies dans la RFC 7523. Pour plus d'informations, consultez [la section 3 : Format JWT et exigences de traitement](https://datatracker.ietf.org/doc/html/rfc7523#section-3) de cette RFC.
Par exemple, le jeton peut contenir une réclamation [JTI (JWT ID).](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7) Cette réclamation, lorsqu'elle est présente, empêche les jetons portant le même JTI d'être réutilisés pour des échanges de jetons. Pour plus d'informations sur les réclamations de la JTI, consultez[Détails de la réclamation de JTI](#trusted-token-issuer-configuration-jti-claim).
+ **Configuration du centre d'identité IAM pour fonctionner avec un émetteur de jetons fiable**
Vous devez également activer IAM Identity Center, configurer la source d'identité pour IAM Identity Center et configurer les utilisateurs correspondant aux utilisateurs figurant dans le répertoire de l'émetteur de jetons de confiance.
Pour ce faire, vous devez effectuer l'une des opérations suivantes :
+ Synchronisez les utilisateurs dans IAM Identity Center à l'aide du protocole SCIM (System for Cross-Domain Identity Management) 2.0.
+ Créez les utilisateurs directement dans IAM Identity Center.
## Détails de la réclamation de JTI
Si IAM Identity Center reçoit une demande d'échange d'un jeton qu'IAM Identity Center a déjà échangé, la demande échoue. Pour détecter et empêcher la réutilisation d'un jeton pour des échanges de jetons, vous pouvez inclure une réclamation JTI. IAM Identity Center protège contre la réédition de jetons en fonction des revendications contenues dans le jeton.
Les serveurs d'autorisation OAuth 2.0 n'ajoutent pas tous une réclamation JTI aux jetons. Certains serveurs d'autorisation OAuth 2.0 peuvent ne pas vous autoriser à ajouter une JTI en tant que réclamation personnalisée. OAuth Les serveurs d'autorisation 2.0 qui prennent en charge l'utilisation d'une réclamation JTI peuvent ajouter cette réclamation uniquement aux jetons d'identité, aux jetons d'accès uniquement, ou aux deux. Pour plus d'informations, consultez la documentation de votre serveur d'autorisation OAuth 2.0.
Pour plus d'informations sur la création d'applications qui échangent des jetons, consultez la documentation de l'API IAM Identity Center. Pour plus d'informations sur la configuration d'une application gérée par le client afin d'obtenir et d'échanger les jetons appropriés, consultez la documentation de l'application.
# Paramètres de configuration des émetteurs de jetons fiables
Les sections suivantes décrivent les paramètres requis pour configurer et utiliser un émetteur de jetons fiable.
**Topics**
+ [URL du point de terminaison de découverte OIDC (URL de l'émetteur)](#oidc-discovery-endpoint-url)
+ [Mappage d'attribut](#trusted-token-issuer-attribute-mappings)
+ [Réclamation d'aide](#trusted-token-issuer-aud-claim)
## URL du point de terminaison de découverte OIDC (URL de l'émetteur)
Lorsque vous ajoutez un émetteur de jetons fiable à la console IAM Identity Center, vous devez spécifier l'URL du point de terminaison de découverte OIDC. Cette URL est généralement désignée par son URL relative,`/.well-known/openid-configuration`. Dans la console IAM Identity Center, cette URL est appelée URL de l'*émetteur.*
**Note**
Vous devez coller l'URL du point de terminaison de découverte *jusqu'au bout et sans*`.well-known/openid-configuration`. Si elle `.well-known/openid-configuration` est incluse dans l'URL, la configuration de l'émetteur de jetons de confiance ne fonctionnera pas. Comme IAM Identity Center ne valide pas cette URL, si celle-ci n'est pas correctement formée, la configuration de l'émetteur de jetons de confiance échouera sans notification.
L'URL du point de terminaison de découverte OIDC doit être accessible uniquement via les ports 80 et 443.
IAM Identity Center utilise cette URL pour obtenir des informations supplémentaires sur l'émetteur du jeton de confiance. Par exemple, IAM Identity Center utilise cette URL pour obtenir les informations requises pour vérifier les jetons générés par l'émetteur de jetons de confiance. Lorsque vous ajoutez un émetteur de jetons de confiance à IAM Identity Center, vous devez spécifier cette URL. Pour trouver l'URL, consultez la documentation du fournisseur de serveur d'autorisation OAuth 2.0 que vous utilisez pour générer des jetons pour votre application, ou contactez directement le fournisseur pour obtenir de l'aide.
## Mappage d'attribut
Les mappages d'attributs permettent à IAM Identity Center de faire correspondre l'utilisateur représenté dans un jeton émis par un émetteur de jeton fiable à un seul utilisateur dans IAM Identity Center. Vous devez spécifier le mappage des attributs lorsque vous ajoutez l'émetteur de jetons de confiance à IAM Identity Center. Ce mappage d'attributs est utilisé dans une réclamation dans le jeton généré par l'émetteur du jeton fiable. La valeur de la réclamation est utilisée pour effectuer une recherche dans IAM Identity Center. La recherche utilise l'attribut spécifié pour récupérer un seul utilisateur dans IAM Identity Center, qui sera utilisé comme utilisateur dans AWS le centre. La réclamation que vous choisissez doit être mappée à un attribut dans une liste fixe d'attributs disponibles dans la banque d'identités IAM Identity Center. Vous pouvez choisir l'un des attributs de la banque d'identités IAM Identity Center suivants : nom d'utilisateur, e-mail et identifiant externe. La valeur de l'attribut que vous spécifiez dans IAM Identity Center doit être unique pour chaque utilisateur.
## Réclamation d'aide
Une *réclamation AUD* identifie le public (destinataires) auquel un jeton est destiné. Lorsque l'application demandant l'accès s'authentifie par le biais d'un fournisseur d'identité qui n'est pas fédéré à IAM Identity Center, ce fournisseur d'identité doit être configuré en tant qu'émetteur de jetons de confiance. L'application qui reçoit la demande d'accès (l'application réceptrice) doit échanger le jeton généré par l'émetteur du jeton approuvé contre un jeton généré par IAM Identity Center.
Pour plus d'informations sur la façon d'obtenir les valeurs de réclamation en dollars australiens pour l'application réceptrice telles qu'elles sont enregistrées auprès de l'émetteur de jetons de confiance, consultez la documentation de votre émetteur de jetons de confiance ou contactez l'administrateur de l'émetteur de jetons de confiance pour obtenir de l'aide.
# Configuration d'un émetteur de jetons de confiance
Pour permettre la propagation d'identités fiables pour une application qui s'authentifie en externe auprès d'IAM Identity Center, un ou plusieurs administrateurs doivent configurer un émetteur de jetons fiable. Un émetteur de jetons de confiance est un serveur d'autorisation OAuth 2.0 qui émet des jetons aux applications qui initient des demandes (demandes d'applications). Les jetons autorisent ces applications à initier des demandes au nom de leurs utilisateurs à une application réceptrice (une Service AWS).
**Topics**
+ [Coordination des rôles et responsabilités administratifs](#coordinating-administrative-roles-responsibilities)
+ [Tâches de configuration d'un émetteur de jetons de confiance](#setuptrustedtokenissuer-tasks)
+ [Comment ajouter un émetteur de jetons fiable à la console IAM Identity Center](#how-to-add-trustedtokenissuer)
+ [Comment afficher ou modifier les paramètres de l'émetteur de jetons de confiance dans la console IAM Identity Center](#view-edit-trusted-token-issuers)
+ [Processus de configuration et flux de demandes pour les applications utilisant un émetteur de jetons fiable](#setuptrustedtokenissuer-setup-process-request-flow)
## Coordination des rôles et responsabilités administratifs
Dans certains cas, un seul administrateur peut effectuer toutes les tâches nécessaires à la configuration d'un émetteur de jetons de confiance. Si plusieurs administrateurs exécutent ces tâches, une étroite coordination est requise. Le tableau suivant décrit comment plusieurs administrateurs peuvent se coordonner pour configurer un émetteur de jetons fiable et configurer le AWS service pour l'utiliser.
**Note**
L'application peut être n'importe quel AWS service intégré à IAM Identity Center et prenant en charge la propagation fiable des identités.
Pour de plus amples informations, veuillez consulter [Tâches de configuration d'un émetteur de jetons de confiance](#setuptrustedtokenissuer-tasks).
****
| Role | Effectue ces tâches | Se coordonne avec |
| --- | --- | --- |
| Administrateur du centre d'identité IAM | Ajoute l'IdP externe en tant qu'émetteur de jetons de confiance à la console IAM Identity Center. Permet de configurer le mappage d'attributs correct entre IAM Identity Center et l'IdP externe. Informe l'administrateur du AWS service lorsque l'émetteur du jeton sécurisé est ajouté à la console IAM Identity Center. | Administrateur d'un IdP externe (émetteur de jetons de confiance) AWS administrateur de service |
| Administrateur d'un IdP externe (émetteur de jetons de confiance) | Configure l'IdP externe pour émettre des jetons. Permet de configurer le mappage d'attributs correct entre IAM Identity Center et l'IdP externe. Fournit le nom du public (réclamation Aud) à l'administrateur du AWS service. | Administrateur du centre d'identité IAM AWS administrateur de service |
| AWS administrateur de service | Vérifie la présence de l'émetteur de jetons de confiance dans la console de AWS service. L'émetteur du jeton sécurisé sera visible dans la console de AWS service une fois que l'administrateur d'IAM Identity Center l'aura ajouté à la console IAM Identity Center. Configure le AWS service pour qu'il utilise l'émetteur de jetons de confiance. | Administrateur du centre d'identité IAM Administrateur d'un IdP externe (émetteur de jetons de confiance) |
## Tâches de configuration d'un émetteur de jetons de confiance
Pour configurer un émetteur de jetons fiable, un administrateur du centre d'identité IAM, un administrateur d'IdP externe (émetteur de jetons de confiance) et un administrateur de l'application doivent effectuer les tâches suivantes.
**Note**
L'application peut être n'importe quel AWS service intégré à IAM Identity Center et prenant en charge la propagation fiable des identités.
1. **Ajouter l'émetteur de jeton fiable à IAM Identity Center** : l'administrateur du centre d'identité IAM [ajoute l'émetteur de jeton fiable à l'aide de la console IAM](#how-to-add-trustedtokenissuer) Identity Center ou. [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) Cette configuration nécessite de spécifier les éléments suivants :
+ Nom de l'émetteur de jetons de confiance.
+ URL du point de terminaison de découverte OIDC (dans la console IAM Identity Center, cette URL est appelée URL de l'*émetteur*). Le point de terminaison de découverte doit être accessible via les ports 80 et 443 uniquement.
+ Mappage d'attributs pour la recherche par l'utilisateur. Ce mappage d'attributs est utilisé dans une réclamation dans le jeton généré par l'émetteur du jeton fiable. La valeur de la réclamation est utilisée pour effectuer une recherche dans IAM Identity Center. La recherche utilise l'attribut spécifié pour récupérer un seul utilisateur dans IAM Identity Center.
1. **Connecter le AWS service à IAM Identity Center** : l'administrateur du AWS service doit connecter l'application à IAM Identity Center à l'aide de la console de l'application ou de l'application. APIs
Une fois que l'émetteur du jeton sécurisé est ajouté à la console IAM Identity Center, il est également visible dans la console de AWS service et peut être sélectionné par l'administrateur du AWS service.
1. **Configurer l'utilisation de l'échange de jetons** : dans la console de AWS service, l'administrateur du AWS service configure le AWS service pour accepter les jetons émis par l'émetteur de jetons de confiance. Ces jetons sont échangés contre des jetons générés par IAM Identity Center. Cela nécessite de spécifier le nom de l'émetteur de jetons de confiance indiqué à l'étape 1 et la valeur de réclamation Aud correspondant au AWS service.
L'émetteur de jetons de confiance place la valeur de réclamation Aud dans le jeton qu'il émet pour indiquer que le jeton est destiné à être utilisé par le AWS service. Pour obtenir cette valeur, contactez l'administrateur de l'émetteur du jeton de confiance.
## Comment ajouter un émetteur de jetons fiable à la console IAM Identity Center
Dans une organisation qui compte plusieurs administrateurs, cette tâche est exécutée par un administrateur du IAM Identity Center. Si vous êtes l'administrateur de l'IAM Identity Center, vous devez choisir l'IdP externe à utiliser comme émetteur de jetons de confiance.
**Pour ajouter un émetteur de jetons fiable à la console IAM Identity Center**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Authentification**.
1. Sous **Émetteurs de jetons fiables**, choisissez **Créer un émetteur de jetons de confiance**.
1. Sur la page **Configurer un IdP externe pour émettre des jetons fiables**, sous **Détails de l'émetteur de jetons fiables**, procédez comme suit :
+ Pour **l'URL de l'émetteur**, spécifiez l'[URL de découverte OIDC de l'](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url)IdP externe qui émettra des jetons pour une propagation d'identité fiable. Vous devez spécifier l'URL du point de terminaison de découverte jusqu'au bout et sans`.well-known/openid-configuration`. L'administrateur de l'IdP externe peut fournir cette URL.
**Note**
Remarque Cette URL doit correspondre à l'URL figurant dans la réclamation de l'émetteur (iss) dans les jetons émis pour une propagation d'identité fiable.
+ Pour **Nom de l'émetteur de jeton fiable**, entrez un nom pour identifier cet émetteur de jeton fiable dans IAM Identity Center et dans la console de l'application.
1. Sous **Attributs de carte**, procédez comme suit :
+ Pour **l'attribut du fournisseur d'identité**, sélectionnez un attribut dans la liste à mapper à un attribut de la banque d'identités IAM Identity Center.
+ Pour l'**attribut IAM Identity Center**, sélectionnez l'attribut correspondant pour le mappage des attributs.
1. Sous **Tags (facultatif)**, choisissez **Ajouter une nouvelle balise**, spécifiez une valeur pour **Key**, et éventuellement pour **Value**.
Pour plus d’informations sur les balises, consultez [Ressources de balisage AWS IAM Identity Center](tagging.md).
1. Choisissez **Créer un émetteur de jetons approuvés**.
1. Une fois que vous avez créé l’émetteur de jetons approuvés, contactez l’administrateur de l’application pour lui communiquer le nom de l’émetteur de jetons approuvés, afin qu’il puisse confirmer que cet émetteur est visible dans la console appropriée.
1. L'administrateur de l'application doit sélectionner cet émetteur de jeton sécurisé dans la console applicable pour permettre aux utilisateurs d'accéder à l'application à partir d'applications configurées pour la propagation d'identités fiables.
## Comment afficher ou modifier les paramètres de l'émetteur de jetons de confiance dans la console IAM Identity Center
Après avoir ajouté un émetteur de jetons de confiance à la console IAM Identity Center, vous pouvez consulter et modifier les paramètres appropriés.
Si vous envisagez de modifier les paramètres de l'émetteur de jetons de confiance, gardez à l'esprit que les utilisateurs risquent de perdre l'accès à toutes les applications configurées pour utiliser l'émetteur de jetons de confiance. Pour éviter de perturber l'accès des utilisateurs, nous vous recommandons de vous coordonner avec les administrateurs de toutes les applications configurées pour utiliser l'émetteur de jetons approuvé avant de modifier les paramètres.
**Pour consulter ou modifier les paramètres de l'émetteur de jetons de confiance dans la console IAM Identity Center**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Sélectionnez **Paramètres**.
1. Sur la page **Paramètres**, choisissez l'onglet **Authentification**.
1. Sous **Émetteurs de jetons fiables**, sélectionnez l'émetteur de jetons de confiance que vous souhaitez consulter ou modifier.
1. Sélectionnez **Actions**, puis **Edit** (Modifier).
1. Sur la page **Modifier l'émetteur de jetons de confiance**, consultez ou modifiez les paramètres selon vos besoins. Vous pouvez modifier le nom de l'émetteur du jeton fiable, les mappages d'attributs et les balises.
1. Sélectionnez **Enregistrer les modifications**.
1. Dans la boîte de dialogue **Modifier l'émetteur de jetons de confiance**, vous êtes invité à confirmer que vous souhaitez apporter des modifications. Choisissez **Confirmer**.
## Processus de configuration et flux de demandes pour les applications utilisant un émetteur de jetons fiable
Cette section décrit le processus de configuration et le flux de demandes pour les applications qui utilisent un émetteur de jetons fiable pour la propagation d'identités fiables. Le schéma suivant donne un aperçu de ce processus.
![\[Processus de configuration et flux de demandes pour les applications utilisant un émetteur de jetons fiable pour une propagation d'identité fiable\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)
Les étapes suivantes fournissent des informations supplémentaires sur ce processus.
1. Configurez IAM Identity Center et l'application AWS gérée réceptrice pour qu'ils utilisent un émetteur de jetons fiable. Pour plus d'informations, consultez [Tâches de configuration d'un émetteur de jetons de confiance](#setuptrustedtokenissuer-tasks).
1. Le flux de demandes commence lorsqu'un utilisateur ouvre l'application demandeuse.
1. L'application demandeuse demande un jeton à l'émetteur de jetons de confiance pour initier des demandes à l'application AWS gérée réceptrice. Si l'utilisateur ne s'est pas encore authentifié, ce processus déclenche un flux d'authentification. Le jeton contient les informations suivantes :
+ Le sujet (Sub) de l'utilisateur.
+ Attribut utilisé par IAM Identity Center pour rechercher l'utilisateur correspondant dans IAM Identity Center.
+ Une réclamation d'audience (Aud) contenant une valeur que l'émetteur de jetons de confiance associe à l'application AWS gérée réceptrice. Si d'autres réclamations sont présentes, elles ne sont pas utilisées par IAM Identity Center.
1. L'application demandeuse, ou le AWS pilote qu'elle utilise, transmet le jeton à IAM Identity Center et demande que le jeton soit échangé contre un jeton généré par IAM Identity Center. Si vous utilisez un AWS pilote, vous devrez peut-être le configurer pour ce cas d'utilisation. Pour plus d'informations, consultez la documentation de l'application AWS gérée correspondante.
1. IAM Identity Center utilise le point de terminaison OIDC Discovery pour obtenir la clé publique qu'il peut utiliser pour vérifier l'authenticité du jeton. IAM Identity Center effectue ensuite les opérations suivantes :
+ Vérifie le jeton.
+ Effectue une recherche dans le répertoire Identity Center. Pour ce faire, IAM Identity Center utilise l'attribut mappé spécifié dans le jeton.
+ Vérifie que l'utilisateur est autorisé à accéder à l'application réceptrice. Si l'application AWS gérée est configurée pour exiger des affectations aux utilisateurs et aux groupes, l'utilisateur doit disposer d'une attribution directe ou basée sur un groupe à l'application ; sinon, la demande est refusée. Si l'application AWS gérée est configurée pour ne pas nécessiter d'assignation d'utilisateur ou de groupe, le traitement se poursuit.
**Note**
AWS les services ont une configuration de paramètres par défaut qui détermine si des attributions sont requises pour les utilisateurs et les groupes. Nous vous recommandons de ne pas modifier le paramètre **Exiger des attributions** pour ces applications si vous prévoyez de les utiliser dans le cadre d'une propagation d'identité sécurisée. Même si vous avez configuré des autorisations détaillées qui permettent aux utilisateurs d'accéder à des ressources spécifiques de l'application, la modification du paramètre **Exiger des attributions** peut entraîner un comportement inattendu, notamment une interruption de l'accès des utilisateurs à ces ressources.
+ Vérifie que l'application demandeuse est configurée pour utiliser des étendues valides pour l'application AWS gérée réceptrice.
1. Si les étapes de vérification précédentes sont réussies, IAM Identity Center crée un nouveau jeton. Le nouveau jeton est un jeton opaque (crypté) qui inclut l'identité de l'utilisateur correspondant dans IAM Identity Center, le public (Aud) de l'application AWS gérée réceptrice et les étendues que l'application demandeuse peut utiliser lorsqu'elle adresse des demandes à l'application AWS gérée réceptrice.
1. L'application demandeuse, ou le pilote qu'elle utilise, lance une demande de ressource à l'application réceptrice et transmet le jeton généré par IAM Identity Center à l'application réceptrice.
1. L'application réceptrice appelle IAM Identity Center pour obtenir l'identité de l'utilisateur et les étendues codées dans le jeton. Il peut également faire des demandes pour obtenir les attributs des utilisateurs ou les appartenances à des groupes d'utilisateurs à partir du répertoire Identity Center.
1. L'application réceptrice utilise sa configuration d'autorisation pour déterminer si l'utilisateur est autorisé à accéder à la ressource d'application demandée.
1. Si l'utilisateur est autorisé à accéder à la ressource d'application demandée, l'application réceptrice répond à la demande.
1. L'identité de l'utilisateur, les actions effectuées en son nom et les autres événements sont enregistrés dans les journaux et CloudTrail événements de l'application réceptrice. La manière spécifique dont ces informations sont enregistrées varie en fonction de l'application.
# Sessions de rôles IAM améliorées
Le [AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) permet à une application d'obtenir une session de rôle IAM améliorée en termes d'identité. Les sessions de rôle à identité améliorée ont un contexte d'identité ajouté qui porte un identifiant utilisateur à celui Service AWS qu'elles appellent. Services AWS peut rechercher les appartenances aux groupes et les attributs de l'utilisateur dans IAM Identity Center et les utiliser pour autoriser l'accès de l'utilisateur aux ressources.
AWS les applications obtiennent des sessions de rôle à identité améliorée en adressant des requêtes à l'action de l' AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API et en transmettant une assertion de contexte avec l'identifiant de l'utilisateur (`userId`) dans le `ProvidedContexts` paramètre de la demande à. `AssumeRole` L'assertion de contexte est obtenue à partir de la `idToken` demande reçue en réponse à une demande adressée `SSO OIDC` à [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html). Lorsqu'une AWS application utilise une session de rôle à identité améliorée pour accéder à une ressource, elle CloudTrail enregistre la `userId` session initiatrice et l'action entreprise. Pour de plus amples informations, veuillez consulter [Journalisation des sessions de rôle IAM améliorée en termes d'identité](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Types de sessions de rôle IAM à identité améliorée](#types-identity-enhanced-iam-role-sessions)
+ [Journalisation des sessions de rôle IAM améliorée en termes d'identité](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Types de sessions de rôle IAM à identité améliorée
AWS STS peut créer deux types différents de sessions de rôle IAM à identité améliorée, en fonction de l'assertion de contexte fournie à la demande. `AssumeRole` Les applications qui ont obtenu des jetons d'identification auprès d'IAM Identity Center peuvent ajouter `sts:identiy_context` (recommandé) ou `sts:audit_context` (pris en charge pour des raisons de rétrocompatibilité) aux sessions de rôle IAM. Une session de rôle IAM à identité améliorée ne peut comporter qu'une seule de ces assertions de contexte, et non les deux.
### Sessions de rôle IAM à identité améliorée créées avec `sts:identity_context`
Lorsqu'une session de rôle à identité améliorée contient `sts:identity_context` l'appelé, cela Service AWS détermine si l'autorisation des ressources est basée sur l'utilisateur représenté dans la session de rôle ou si elle est basée sur le rôle. Services AWS qui prennent en charge l'autorisation basée sur l'utilisateur fournissent à l'administrateur de l'application des contrôles permettant d'attribuer l'accès à l'utilisateur ou aux groupes dont l'utilisateur est membre.
Services AWS qui ne prennent pas en charge l'autorisation basée sur l'utilisateur ignorent le`sts:identity_context`. CloudTrail enregistre l'userID de l'utilisateur IAM Identity Center avec toutes les actions entreprises par le rôle. Pour de plus amples informations, veuillez consulter [Journalisation des sessions de rôle IAM améliorée en termes d'identité](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Pour obtenir ce type de session de rôle à identité améliorée auprès des applications AWS STS, les applications fournissent la valeur du `sts:identity_context` champ dans la [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)demande à l'aide du paramètre de `ProvidedContexts` demande. Utilisez `arn:aws:iam::aws:contextProvider/IdentityCenter` comme valeur pour`ProviderArn`.
Pour plus d'informations sur le comportement de l'autorisation, consultez la documentation relative à la réception Service AWS.
### Sessions de rôle IAM à identité améliorée créées avec `sts:audit_context`
Dans le passé, `sts:audit_context` était utilisé pour permettre d' Services AWS enregistrer l'identité de l'utilisateur sans l'utiliser pour prendre une décision d'autorisation. Services AWS sont désormais en mesure d'utiliser un seul contexte - `sts:identity_context` - pour y parvenir ainsi que pour prendre des décisions d'autorisation. Nous vous recommandons d'utiliser `sts:identity_context` la propagation sécurisée des identités dans tous les nouveaux déploiements.
## Journalisation des sessions de rôle IAM améliorée en termes d'identité
Lorsqu'une demande est adressée à une session Service AWS utilisant un rôle IAM amélioré, le centre d'identité IAM de l'utilisateur `userId` est connecté à CloudTrail l'élément. `OnBehalfOf` La manière dont les événements sont enregistrés CloudTrail varie en fonction du Service AWS. Tous n' Services AWS enregistrent pas l'`onBehalfOf`élément.
Voici un exemple de connexion à une demande envoyée à une session Service AWS utilisant un rôle à identité améliorée. CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```
# Rotation des certificats IAM Identity Center
IAM Identity Center utilise des certificats pour établir une relation de confiance SAML entre IAM Identity Center et le fournisseur de services de votre application. Lorsque vous ajoutez une application dans IAM Identity Center, un certificat IAM Identity Center est automatiquement créé pour être utilisé avec cette application pendant le processus de configuration. Par défaut, ce certificat IAM Identity Center généré automatiquement est valide pour une période de cinq ans.
En tant qu'administrateur d'IAM Identity Center, vous devrez parfois remplacer les anciens certificats par des certificats plus récents pour une application donnée. Par exemple, il se peut que vous deviez remplacer un certificat lorsque sa date d'expiration approche. Le processus de remplacement d'un ancien certificat par un nouveau est appelé *rotation des certificats*.
## Considérations relatives à la rotation d'un certificat
Avant de commencer le processus de rotation d'un certificat dans IAM Identity Center, tenez compte des points suivants :
+ Le processus de rotation des certifications nécessite que vous rétablissiez la confiance entre IAM Identity Center et le fournisseur de services. Pour rétablir la confiance, utilisez les procédures fournies dans[Rotation d'un certificat IAM Identity Center](rotatecert.md).
+ La mise à jour du certificat auprès du fournisseur de services peut entraîner une interruption de service temporaire pour vos utilisateurs jusqu'à ce que la confiance soit rétablie avec succès. Planifiez cette opération avec soin en dehors des heures de pointe si possible.
# Rotation d'un certificat IAM Identity Center
La rotation d'un certificat IAM Identity Center est un processus en plusieurs étapes qui implique les étapes suivantes :
+ Génération d'un nouveau certificat
+ Ajouter le nouveau certificat sur le site Web du fournisseur de services
+ Activer le nouveau certificat
+ Supprimer le certificat inactif
Utilisez toutes les procédures suivantes dans l'ordre suivant pour terminer le processus de rotation des certificats pour une application donnée.
## Étape 1 : générer un nouveau certificat
Les nouveaux certificats IAM Identity Center que vous générez peuvent être configurés pour utiliser les propriétés suivantes :
+ **Période de validité** — Spécifie le temps imparti (en mois) avant l'expiration d'un nouveau certificat IAM Identity Center.
+ **Taille de clé** — Détermine le nombre de bits qu'une clé doit utiliser avec son algorithme cryptographique. Vous pouvez définir cette valeur sur 1024 bits RSA ou 2048 bits RSA. Pour des informations générales sur le fonctionnement de la taille des clés en cryptographie, consultez la section [Taille des clés](https://en.wikipedia.org/wiki/Key_size).
+ **Algorithme** — Spécifie l'algorithme utilisé par IAM Identity Center lors de la signature de l'assertion/réponse SAML. Vous pouvez définir cette valeur sur SHA-1 ou SHA-256. AWS recommande d'utiliser le protocole SHA-256 dans la mesure du possible, sauf si votre fournisseur de services exige le protocole SHA-1. Pour des informations générales sur le fonctionnement des algorithmes de cryptographie, voir Cryptographie à [clé publique](https://en.wikipedia.org/wiki/Public-key_cryptography).
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Dans la liste des applications, sélectionnez l'application pour laquelle vous souhaitez générer un nouveau certificat.
1. Sur la page des détails de l'application, choisissez l'onglet **Configuration**. Sous les **métadonnées du centre d'identité IAM**, sélectionnez **Gérer le certificat**. Si vous n'avez pas d'onglet **Configuration** ou si le paramètre de configuration n'est pas disponible, il n'est pas nécessaire de faire pivoter le certificat pour cette application.
1. Sur la page du **certificat IAM Identity Center**, sélectionnez **Générer un nouveau certificat**.
1. Dans la boîte de dialogue **Générer un nouveau certificat IAM Identity Center**, spécifiez les valeurs appropriées pour la **période de validité**, **l'algorithme** et la **taille de la clé**. Choisissez ensuite **Generate**.
## Étape 2 : mise à jour du site Web du fournisseur de services
Suivez la procédure ci-dessous pour rétablir la confiance avec le fournisseur de services de l'application.
**Important**
Lorsque vous téléchargez le nouveau certificat auprès du fournisseur de services, il est possible que vos utilisateurs ne soient pas en mesure de s'authentifier. Pour corriger cette situation, définissez le nouveau certificat comme actif, comme décrit à l'étape suivante.
1. Dans la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon), choisissez l'application pour laquelle vous venez de générer un nouveau certificat.
1. Sur la page des détails de l'application, choisissez **Modifier la configuration**.
1. Choisissez **Afficher les instructions**, puis suivez les instructions du site Web de votre fournisseur de services d'application spécifique pour ajouter le certificat nouvellement généré.
## Étape 3 : activer le nouveau certificat
Jusqu'à deux certificats peuvent être attribués à une application. IAM Identity Center utilisera la certification définie comme active pour signer toutes les assertions SAML.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Dans la liste des applications, sélectionnez votre application.
1. Sur la page des détails de l'application, choisissez l'onglet **Configuration**. Sous les **métadonnées du centre d'identité IAM**, sélectionnez **Gérer le certificat**.
1. Sur la page du **certificat IAM Identity Center**, sélectionnez le certificat que vous souhaitez définir comme actif, choisissez **Actions**, puis sélectionnez **Définir comme actif**.
1. Dans la boîte de dialogue **Définir le certificat sélectionné comme actif**, confirmez que vous comprenez que le fait de définir un certificat comme actif peut nécessiter le rétablissement de la confiance, puis choisissez **Rendre actif**.
## Étape 4 : Supprimer l'ancien certificat
Suivez la procédure ci-dessous pour terminer le processus de rotation des certificats pour votre demande. Vous ne pouvez supprimer qu'un certificat dont l'état est **inactif**.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Dans la liste des applications, sélectionnez votre application.
1. Sur la page des détails de l'application, sélectionnez l'onglet **Configuration**. Sous les **métadonnées du centre d'identité IAM**, sélectionnez **Gérer le certificat**.
1. Sur la page du **certificat IAM Identity Center**, sélectionnez le certificat que vous souhaitez supprimer. Choisissez **Actions**, puis **Delete (Supprimer)**.
1. Dans la boîte de dialogue **Supprimer le certificat**, choisissez **Supprimer**.
# Indicateurs du statut d'expiration des certificats
Dans la console IAM Identity Center, la page **Applications** affiche des icônes d'indicateur d'état dans les propriétés de chaque application. Ces icônes s'affichent dans la colonne **Expire le** jour à côté de chaque certificat de la liste. Ce qui suit décrit les critères utilisés par IAM Identity Center pour déterminer l'icône qui s'affiche pour chaque certificat.
+ **Rouge** — Indique qu'un certificat est actuellement expiré.
+ **Jaune** — Indique qu'un certificat expirera dans 90 jours ou moins.
+ **Vert** — Indique qu'un certificat est actuellement valide et le restera pendant au moins 90 jours supplémentaires.
**Pour vérifier le statut d'un certificat**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Dans la liste des applications, vérifiez le statut des certificats de la liste, comme indiqué dans la colonne **Expire le**.
# Comprendre les propriétés de l'application dans la console IAM Identity Center
Dans IAM Identity Center, vous pouvez personnaliser l'expérience utilisateur en configurant l'URL de démarrage de l'application, l'état du relais et la durée de session.
## URL de démarrage de l'application
Vous utilisez une URL de lancement d'application pour démarrer le processus de fédération avec votre application. L'utilisation typique concerne une application qui prend uniquement en charge la liaison initiée par le fournisseur de services (SP).
Les étapes et le schéma suivants illustrent le flux de travail d'authentification par URL de démarrage de l'application lorsqu'un utilisateur choisit une application dans le portail AWS d'accès :
1. Le navigateur de l'utilisateur redirige la demande d'authentification en utilisant la valeur de l'URL de démarrage de l'application (dans ce cas https://example.com).
1. L'application envoie un `HTML` `POST` identifiant `SAMLRequest` à IAM Identity Center.
1. IAM Identity Center envoie ensuite un message `HTML` `POST` avec un `SAMLResponse` retour à l'application.
![\[Le diagramme montre le flux de travail d'authentification de l'URL de démarrage de l'application : étapes à suivre lorsque l'utilisateur choisit une application dans le portail AWS d'accès.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/app_properties_start_url.png)
## État du relais
Pendant le processus d'authentification de la fédération, l'état de relais redirige les utilisateurs au sein de l'application. Pour SAML 2.0, cette valeur est transmise, sans modification, à l'application. Une fois les propriétés de l'application configurées, IAM Identity Center envoie la valeur de l'état du relais avec une réponse SAML à l'application.
![\[Le schéma montre le processus d'authentification de la fédération : état du relais, SAML 2.0, IAM Identity Center, l'application reçoit une réponse.\]](http://docs.aws.amazon.com/fr_fr/singlesignon/latest/userguide/images/app_properties_relay_state.png)
## Durée de la session
La durée de session est la durée pendant laquelle une session utilisateur de l'application est valide. Pour SAML 2.0, cela est utilisé pour définir la `SessionNotOnOrAfter` date de l'élément de l'assertion SAML. `saml2:AuthNStatement`
La durée de session peut être interprétée par les applications de l'une des manières suivantes :
+ Les applications peuvent l'utiliser pour déterminer la durée maximale autorisée pour la session de l'utilisateur. Les applications peuvent générer une session utilisateur d'une durée plus courte. Cela peut se produire lorsque l'application prend uniquement en charge les sessions utilisateur avec une durée plus courte que la durée de session configurée.
+ Les applications peuvent l'utiliser comme durée exacte et ne pas permettre aux administrateurs de configurer la valeur. Cela peut se produire lorsque l'application prend uniquement en charge une durée de session spécifique.
Pour plus d'informations sur la façon dont la durée de la session est utilisée, consultez la documentation de votre application spécifique.
# Attribuer un accès utilisateur aux applications dans la console IAM Identity Center
Vous pouvez attribuer aux utilisateurs un accès par authentification unique aux applications SAML 2.0 du catalogue d'applications ou aux applications SAML 2.0 personnalisées.
Considérations relatives aux tâches de groupe :
+ **Attribuez l'accès directement aux groupes.** Pour simplifier l'administration des autorisations d'accès, nous vous recommandons d'attribuer l'accès directement à des groupes plutôt qu'à des utilisateurs individuels. Avec les groupes, vous pouvez accorder ou refuser des autorisations à des groupes d'utilisateurs, au lieu d'appliquer ces autorisations à chaque individu. Si un utilisateur est transféré dans une autre organisation, il vous suffit de le déplacer vers un autre groupe. L’utilisateur reçoit alors automatiquement les autorisations requises pour la nouvelle organisation.
+ **Les groupes imbriqués ne sont pas pris en charge.** Lors de l'attribution d'un accès utilisateur aux applications, IAM Identity Center ne prend pas en charge l'ajout d'utilisateurs à des groupes imbriqués. Si un utilisateur est ajouté à un groupe imbriqué, il peut recevoir un message « Vous n'avez aucune application » lors de la connexion. Les attributions doivent être effectuées par rapport au groupe immédiat dont l'utilisateur est membre.
**Pour attribuer un accès aux applications à un utilisateur ou à un groupe**
**Important**
Pour les applications AWS gérées, vous devez ajouter des utilisateurs directement depuis les consoles d'applications concernées ou via le APIs.
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
**Note**
Si vous gérez des utilisateurs dans AWS Managed Microsoft AD, assurez-vous que la console IAM Identity Center utilise la AWS région dans laquelle se trouve votre AWS Managed Microsoft AD annuaire avant de passer à l'étape suivante.
1. Choisissez **Applications**.
1. Dans la liste des applications, choisissez le nom de l'application à laquelle vous souhaitez attribuer l'accès.
1. Sur la page des détails de l'application, dans la section **Utilisateurs assignés**, choisissez **Attribuer des utilisateurs**.
1. Dans la boîte de dialogue **Attribuer des utilisateurs**, entrez un nom d'affichage utilisateur ou un nom de groupe. Vous pouvez spécifier plusieurs utilisateurs ou groupes en sélectionnant les comptes applicables tels qu'ils apparaissent dans les résultats de recherche.
1. Choisissez **Assign users (Affecter des utilisateurs)**.
# Supprimer l'accès des utilisateurs aux applications SAML 2.0
Utilisez cette procédure pour supprimer l'accès des utilisateurs aux applications SAML 2.0 du catalogue d'applications ou aux applications SAML 2.0 personnalisées. Pour plus d'informations sur les sessions d'authentification et leur durée, consultez[Comprendre les sessions d'authentification dans IAM Identity Center](authconcept.md).
**Pour supprimer l'accès d'un utilisateur à une application**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Dans la liste des applications, choisissez l'application dont vous souhaitez supprimer l'accès utilisateur.
1. Sur la page des détails de l'application, dans la section **Utilisateurs assignés**, sélectionnez l'utilisateur ou le groupe que vous souhaitez supprimer, puis cliquez sur le bouton **Supprimer l'accès**.
1. Dans la boîte de dialogue **Remove access (Supprimer l'accès)**, vérifiez le nom de l'utilisateur ou du groupe. Choisissez ensuite **Remove access (Supprimer l'accès)**.
# Associez les attributs de votre application aux attributs d'IAM Identity Center
Certains fournisseurs de services ont besoin d'assertions SAML personnalisées pour transmettre des données supplémentaires concernant les connexions des utilisateurs. Dans ce cas, utilisez la procédure suivante pour spécifier comment les attributs utilisateur de vos applications doivent correspondre aux attributs correspondants dans IAM Identity Center.
**Pour mapper les attributs d'une application à des attributs dans IAM Identity Center**
1. Ouvrez la [console IAM Identity Center](https://console.aws.amazon.com/singlesignon).
1. Choisissez **Applications**.
1. Dans la liste des applications, choisissez l'application pour laquelle vous souhaitez mapper les attributs.
1. Sur la page des détails de l'application, sélectionnez **Actions**, puis sélectionnez **Modifier le mappage d'attributs**.
1. Choisissez **Ajouter un nouveau mappage d'attributs**.
1. Dans la première zone de texte, entrez l'attribut de l'application.
1. Dans la deuxième zone de texte, entrez l'attribut dans IAM Identity Center que vous souhaitez associer à l'attribut de l'application. Par exemple, vous souhaiterez peut-être mapper l'attribut de l'application **Username** à l'attribut **email** utilisateur IAM Identity Center. Pour consulter la liste des attributs utilisateur autorisés dans IAM Identity Center, consultez le tableau dans[Mappages d'attributs entre le centre d'identité IAM et le répertoire des fournisseurs d'identité externes](attributemappingsconcept.md).
1. Dans la troisième colonne du tableau, choisissez le format approprié pour l'attribut dans le menu.
1. Sélectionnez **Enregistrer les modifications**.