Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Gestion des identités et des accès AWS dans AMS Accelerate
<a name="acc-sec-iam"></a>

Gestion des identités et des accès AWS est un service Web qui vous permet de contrôler en toute sécurité l'accès aux AWS ressources. Vous pouvez utiliser IAM pour contrôler les personnes qui s'authentifient (sont connectées) et sont autorisées (disposent d'autorisations) à utiliser des ressources. Lors de l'intégration d'AMS Accelerate, vous êtes chargé de créer des rôles d'administrateur IAM entre comptes au sein de chacun de vos comptes gérés.

Dans AMS Accelerate, vous êtes responsable de la gestion de l'accès à vos ressources Comptes AWS et à leurs ressources sous-jacentes, telles que les solutions de gestion des accès, les politiques d'accès et les processus associés. Cela signifie que vous gérez le cycle de vie de vos utilisateurs, les autorisations dans les services d'annuaire et le système d'authentification fédérée, pour accéder à la AWS console ou AWS APIs. Pour vous aider à gérer votre solution d'accès, AMS Accelerate déploie des AWS Config règles qui détectent les erreurs de configuration courantes de l'IAM et envoie des notifications de correction. Pour en savoir plus, consultez [Règles gérées AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html).

## Authentification avec des identités dans AMS Accelerate
<a name="acc-sec-iam-auth"></a>

AMS utilise des rôles IAM, qui sont un type d'identité IAM. Un rôle IAM est similaire à un utilisateur, dans la mesure où il s'agit d'une identité dotée de politiques d'autorisation qui déterminent ce que l'identité peut et ne peut pas faire. AWS Cependant, aucun identifiant n'est associé à un rôle et, au lieu d'être associé de manière unique à une seule personne, il peut être assumé par tous ceux qui en ont besoin. Un utilisateur IAM peut endosser un rôle pour accepter différentes autorisations temporaires concernant un tâche spécifique.

Les rôles d'accès sont contrôlés par l'appartenance à un groupe interne, qui est administré et révisé périodiquement par la direction des opérations. AMS utilise les rôles IAM suivants.

**Note**  
Les rôles d'accès AMS permettent aux opérateurs AMS d'accéder à vos ressources pour fournir des fonctionnalités AMS (voir[Service description (Description du service)](acc-sd.md)). La modification de ces rôles peut entraver notre capacité à fournir ces capacités. Si vous devez modifier les rôles d'accès AMS, consultez votre architecte cloud.

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/managedservices/latest/accelerate-guide/acc-sec-iam.html)

**Note**  
Il s'agit du modèle du ams-access-management rôle. Il s'agit de la pile que les architectes du cloud (CAs) déploient manuellement dans votre compte lors de l'intégration : [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml).  
Il s'agit du modèle pour les différents rôles et niveaux d'accès : ams-access-read-only,, ams-access-operations ams-access-admin-operations, ams-access-admin : [accelerate-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml).

[Pour en savoir plus sur les identifiants AWS Cloud Development Kit (AWS CDK) (AWS CDK), y compris les hachages, consultez Unique. IDs](https://docs.aws.amazon.com/cdk/latest/guide/identifiers.html#identifiers_unique_ids)

Les services de fonctionnalités AMS Accelerate **ams-access-admin**jouent le rôle d'accès programmatique au compte, mais avec une politique de session définie pour le service de fonctionnalités concerné (par exemple, correctif, sauvegarde, surveillance, etc.).

AMS Accelerate suit les meilleures pratiques du secteur pour respecter et maintenir l'éligibilité en matière de conformité. L'accès à votre compte AMS Accelerate est enregistré CloudTrail et peut également être consulté par le biais du suivi des modifications. Pour plus d'informations sur les requêtes que vous pouvez utiliser pour obtenir ces informations, consultez[Suivi des modifications apportées à vos comptes AMS Accelerate](acc-change-record.md).

## Gestion des accès à l’aide de politiques
<a name="acc-sec-iam-policy"></a>

Diverses équipes de support d'AMS Accelerate, telles que les ingénieurs d'exploitation, les architectes cloud et les responsables de la prestation de services cloud (CSDMs), ont parfois besoin d'accéder à vos comptes pour répondre aux demandes de service et aux incidents. Leur accès est régi par un service d'accès AMS interne qui applique des contrôles, tels que la justification commerciale, les demandes de service, les éléments opérationnels et les dossiers de support. L'accès par défaut est en lecture seule, et tous les accès sont suivis et enregistrés ; voir également. [Suivi des modifications apportées à vos comptes AMS Accelerate](acc-change-record.md)

### Validation des ressources IAM
<a name="acc-sec-iam-policy-valid"></a>

Le système d'accès AMS Accelerate assume régulièrement des rôles dans vos comptes (au moins toutes les 24 heures) et vérifie que toutes nos ressources IAM sont conformes aux attentes.

Afin de protéger vos comptes, AMS Accelerate dispose d'un « canari » qui surveille et émet des alertes concernant la présence et le statut des rôles IAM, ainsi que les politiques associées, mentionnées ci-dessus. Régulièrement, le Canary assume le **ams-access-read-only**rôle CloudFormation et lance des appels d'API IAM vers vos comptes. Le canari évalue l'état des rôles d'accès AMS Accelerate pour s'assurer qu'ils ne sont toujours pas modifiés et. up-to-date Cette activité crée CloudTrail des connexions dans le compte.

Le nom de session AWS Security Token Service (AWS STS) du canary est **AMS-Access-Roles-Auditor- \$1uuid4 ()\$1** comme indiqué dans et les appels d'API suivants ont lieu : CloudTrail 
+ Appels d'API Cloud Formation : `describe_stacks()`
+ Appels d'API IAM :
  + `get_role()`
  + `list_attached_role_policies()`
  + `list_role_policies()`
  + `get_policy()`
  + `get_policy_version()`
  + `get_role_policy()`