

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Identités fiables
<a name="trusted-identities"></a><a name="account-identity"></a>

Avec l'accès AWS Management Console privé, vous pouvez restreindre les identités Comptes AWS et les identités organisationnelles qui peuvent utiliser le formulaire au sein AWS Management Console de votre VPC. Cela empêche l'accès à partir de comptes personnels et de comptes extérieurs à votre organisation.

Les points de terminaison Connexion à AWS VPC AWS Management Console et VPC prennent chacun en charge une politique de point de terminaison VPC qui contrôle l'identité du compte connecté. Les politiques sont évaluées au moment de la connexion et sont périodiquement réévaluées pour les sessions existantes.
+ **AWS Management ConsolePolitiques de point de terminaison VPC** : limitez les identités connectées qui peuvent accéder via ce point de terminaison. AWS Management Console Utilisez `Action: *` et`Principal: *`, avec `aws:PrincipalOrgId` ou `aws:PrincipalAccount` conditionnez les clés.
+ **Connexion à AWSPolitiques relatives aux points de terminaison VPC (flux de connexion)** : limitez les personnes autorisées à se connecter AWS Management Console via ce point de terminaison, avec une évaluation séparée avant et après la validation des informations d'identification. **Pre-authentication**bloque les tentatives de connexion avant la saisie des informations d'identification, en utilisant`signin:Authenticate`. **Post-authentication**valide la session une fois les informations d'identification acceptées et lors de l'échange de jetons OAuth, en utilisant et. `signin:AuthorizeOAuth2Access` `signin:CreateOAuth2Token`
+ **Connexion à AWSPolitiques relatives aux points de terminaison VPC (flux d'inscription)** : contrôlez si le flux d'inscription au AWS compte est accessible depuis votre réseau privé. Soutient l'`signin:CreateAccount`action par un refus implicite.

Les exemples suivants montrent comment restreindre l'accès par compte ou par organisation. Appliquez des restrictions équivalentes à votre point de terminaison AWS Management Console et à celui de votre Connexion à AWS VPC, en utilisant le format de politique approprié pour chaque point de terminaison.

**Topics**
+ [AWS Management ConsoleExemples de points de terminaison VPC](#console-vpc-endpoint-examples)
+ [Connexion à AWSExemples de points de terminaison VPC](#signin-vpc-endpoint-examples)
+ [Page d'erreur d'accès refusé](#access-denied-error)
+ [Autoriser les politiques de contrôle des services de connexion](#private-access-with-SCPs)

**Note**  
Les exemples suivants sont des politiques de référence à titre d'illustration uniquement. [Pour les environnements de production, utilisez les exemples complets de politique de périmètre des données du référentiel [aws- samples/data -perimeter-policy-examples](https://github.com/aws-samples/data-perimeter-policy-examples), tels que le SCP de périmètre réseau.](https://github.com/aws-samples/data-perimeter-policy-examples/blob/main/service_control_policies/network_perimeter_sourcevpc_scp.json)

## AWS Management ConsoleExemples de points de terminaison VPC
<a name="console-vpc-endpoint-examples"></a>

**Exemple : autoriser uniquement les comptes au sein de votre organisation**  
Cette politique de point de terminaison AWS Management Console VPC autorise l'accès au Comptes AWS sein de l'AWSorganisation spécifiée et bloque tous les autres comptes.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Exemple : autoriser uniquement des comptes spécifiques**  
Cette politique de point de terminaison AWS Management Console VPC limite l'accès à une liste de comptes spécifiques Comptes AWS et bloque tout autre compte.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": "*",
      "Action": "*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "111122223333", "222233334444" ]
        }
      }
    }
  ]
}
```

------

## Connexion à AWSExemples de points de terminaison VPC
<a name="signin-vpc-endpoint-examples"></a>

Le point de terminaison Connexion à AWS VPC nécessite des politiques comportant des Sign-In actions spécifiques et des clés de condition adaptées à chaque phase d'authentification :
+ **Pre-authentication phase — Évaluée** avant que l'identité de l'utilisateur ne soit établie. Seules les clés de condition basées sur les ressources sont disponibles, car les informations principales ne sont pas encore connues.
  + Action prise en charge : `signin:Authenticate`
  + Clés de condition prises en charge : `aws:ResourceOrgId` ou `aws:ResourceAccount`
+ **Post-authentication phase — Évalué** après l'authentification lorsque le service de connexion émet des informations d'identification de session. Les informations principales complètes sont disponibles.
  + Actions prises en charge :`signin:AuthorizeOAuth2Access`, `signin:CreateOAuth2Token`
  + Clés de condition prises en charge : `aws:PrincipalOrgId` ou `aws:PrincipalAccount``aws:ResourceOrgId`, `aws:ResourceAccount`

**Exemple : autoriser la connexion uniquement pour les comptes de votre organisation**  
Cette politique de point de terminaison Connexion à AWS VPC utilise des instructions spécifiques à une action pour autoriser la connexion Comptes AWS dans l'AWSorganisation spécifiée pendant les phases de pré-authentification et de post-authentification.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceOrgID": "o-xxxxxxxxxxx"
        }
      }
    },
    {
      "Sid": "PostAuthOrgRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgId": "o-xxxxxxxxxxx"
        }
      }
    }
  ]
}
```

------

**Exemple : autoriser la connexion uniquement pour des comptes spécifiques**  
Cette politique de point de terminaison Connexion à AWS VPC utilise des instructions spécifiques à une action pour limiter la connexion à une liste spécifique Comptes AWS lors des phases de pré-authentification et de post-authentification.

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PreAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:Authenticate",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": [ "123456789012", "210987654321" ]
        }
      }
    },
    {
      "Sid": "PostAuthAccountRestriction",
      "Effect": "Allow",
      "Principal": "*",
      "Action": [
        "signin:AuthorizeOAuth2Access",
        "signin:CreateOAuth2Token"
      ],
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "aws:PrincipalAccount": [ "123456789012", "210987654321" ]
        }
      }
    }
  ]
}
```

------

**Contrôle des flux d'inscription aux comptes**  
L'`signin:CreateAccount`action contrôle si le flux d'inscription au AWS compte est accessible depuis votre réseau privé. Cette action utilise un principal anonyme (aucun compte n'existe lors de l'inscription) et ne prend pas en charge les clés de condition.

Lorsque vous utilisez le format de politique de point de terminaison Connexion à AWS VPC, le flux d'inscription est bloqué par un refus implicite, sauf si vous l'autorisez explicitement. Si votre organisation nécessite l'ouverture d'un compte depuis le réseau privé, ajoutez la déclaration suivante à votre politique de point de Connexion à AWS terminaison VPC :

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccountSignup",
      "Effect": "Allow",
      "Principal": "*",
      "Action": "signin:CreateAccount",
      "Resource": "*"
    }
  ]
}
```

------

## Page d'erreur d'accès refusé
<a name="access-denied-error"></a>

Si vous vous connectez avec une identité qui n'appartient pas à votre compte, le message d'erreur « Votre compte n'est pas autorisé à utiliser l'accès privé à la console de gestion AWS » s'affiche. La capture d'écran suivante montre la page d'erreur d'accès refusé.

![La page d'erreur avec un message indiquant que vous n'êtes pas autorisé à utiliser l'accès AWS Management Console privé.](http://docs.aws.amazon.com/fr_fr/awsconsolehelpdocs/latest/gsg/images/console-private-access-denied.png)


## Autoriser les politiques de contrôle des services de connexion
<a name="private-access-with-SCPs"></a>

Si votre AWS organisation utilise une politique de contrôle des services (SCP) qui autorise des services spécifiques, vous devez ajouter des actions `signin:*` aux actions autorisées. Cette autorisation est nécessaire car la connexion AWS Management Console au point de terminaison VPC via un accès privé exécute une autorisation IAM que le SCP bloque sans autorisation. À titre d'exemple, la politique de contrôle des services suivante permet d'utiliser Amazon EC2 et les CloudWatch services dans l'organisation, y compris lorsqu'ils sont accessibles via un point de terminaison d'accès AWS Management Console privé.

```
{
  "Effect": "Allow",
  "Action": [
    "signin:*",
    "ec2:*",
    "cloudwatch:*",
    ... Other services allowed
  },
  "Resource": "*"
}
```

Pour plus d’informations sur les SCP, consultez [Politiques de contrôle de service (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) dans le *Guide de l’utilisateur AWS Organizations*.