Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Administration déléguée
L'administration déléguée permet aux utilisateurs assignés à un compte membre enregistré d'effectuer facilement la plupart des tâches administratives d'IAM Identity Center. Lorsque vous activez IAM Identity Center, votre instance IAM Identity Center est créée AWS Organizations par défaut dans le compte de gestion. Cela a été initialement conçu de cette façon afin qu'IAM Identity Center puisse fournir, déprovisionner et mettre à jour les rôles sur tous les comptes membres de votre organisation. Même si votre instance IAM Identity Center doit toujours résider dans le compte de gestion, vous pouvez choisir de déléguer l'administration d'IAM Identity Center à un compte membre AWS Organizations, étendant ainsi la capacité de gérer IAM Identity Center depuis l'extérieur du compte de gestion.
L'activation de l'administration déléguée offre les avantages suivants :
-
Minimise le nombre de personnes ayant besoin d'accéder au compte de gestion pour atténuer les problèmes de sécurité
-
Permet à certains administrateurs d'attribuer des utilisateurs et des groupes aux applications et aux comptes des membres de votre organisation
Pour plus d'informations sur le fonctionnement d'IAM Identity Center AWS Organizations, consultezCompte AWS accès. Pour plus d'informations et pour consulter un exemple de scénario d'entreprise montrant comment configurer l'administration déléguée, consultez Getting started with IAM Identity Center Delegated Administration
Rubriques
Bonnes pratiques
Voici quelques bonnes pratiques à prendre en compte avant de configurer l'administration déléguée :
-
Accorder le moindre privilège au compte de gestion — Sachant que le compte de gestion est un compte hautement privilégié et pour respecter le principe du moindre privilège, nous vous recommandons vivement de restreindre l'accès au compte de gestion au moins de personnes possible. La fonctionnalité d'administrateur délégué vise à minimiser le nombre de personnes ayant besoin d'accéder au compte de gestion. Vous pouvez également envisager d'utiliser un accès élevé temporaire pour n'accorder cet accès qu'en cas de besoin.
-
Ensembles d'autorisations dédiés pour le compte de gestion : utilisez des ensembles d'autorisations dédiés pour le compte de gestion. Pour des raisons de sécurité, un ensemble d'autorisations utilisé pour accéder au compte de gestion ne peut être modifié que par un administrateur IAM Identity Center à partir du compte de gestion. L'administrateur délégué ne peut pas modifier les ensembles d'autorisations fournis dans le compte de gestion.
-
Affecter uniquement des utilisateurs (et non des groupes) aux ensembles d'autorisations du compte de gestion : le compte de gestion disposant de privilèges spéciaux, vous devez faire preuve de prudence lorsque vous attribuez l'accès à ce compte dans la console ou AWS Command Line Interface (CLI). Si vous assignez des groupes à des ensembles d'autorisations ayant accès au compte de gestion, toute personne autorisée à modifier les adhésions à ces groupes add/remove peut to/from utiliser ces groupes, et ainsi déterminer qui a accès au compte de gestion. Il s'agit de tout administrateur de groupe contrôlant votre source d'identité, y compris l'administrateur de votre fournisseur d'identité (IdP), l'administrateur du service de domaine Microsoft Active Directory (AD DS) ou l'administrateur du centre d'identité IAM. Par conséquent, vous devez affecter les utilisateurs directement aux ensembles d'autorisations qui accordent l'accès au compte de gestion et éviter les groupes. Si vous utilisez des groupes pour gérer l'accès au compte de gestion, assurez-vous que les contrôles appropriés sont en place dans l'IdP afin de limiter les personnes autorisées à modifier ces groupes, et assurez-vous que les modifications apportées à ces groupes (ou les modifications des informations d'identification des utilisateurs du compte de gestion) sont enregistrées et examinées si nécessaire.
-
Tenez compte de votre emplacement Active Directory : si vous prévoyez d'utiliser Active Directory comme source d'identité IAM Identity Center, localisez le répertoire dans le compte membre sur lequel vous avez activé la fonctionnalité d'administrateur délégué d'IAM Identity Center. Si vous décidez de remplacer la source d'identité IAM Identity Center d'une autre source par Active Directory, ou de la remplacer par une autre source, le répertoire doit résider dans le compte membre administrateur délégué d'IAM Identity Center. Si vous souhaitez que votre Active Directory figure dans le compte de gestion, vous devez effectuer la configuration dans le compte de gestion, car l'administrateur délégué n'aura pas les autorisations nécessaires pour l'effectuer.
Limiter les actions de la banque d'identités IAM Identity Center dans le compte d'administration déléguée avec des sources d'identité externes
Si vous utilisez une source d'identité externe telle qu'un IdP AWS Directory Service, vous devez mettre en œuvre des politiques qui limitent les actions du magasin d'identités qu'un administrateur du IAM Identity Center peut effectuer depuis le compte d'administration déléguée. Les opérations d'écriture et de suppression doivent être soigneusement étudiées. En général, la source d'identité externe est la source de vérité pour les utilisateurs et leurs attributs, ainsi que pour les appartenances aux groupes. Si vous les modifiez à l'aide du magasin d'identités APIs ou de la console, vos modifications seront remplacées au cours des cycles de synchronisation normaux. Il est préférable de confier ces opérations au contrôle exclusif de votre identité, source de vérité. Cela empêche également un administrateur du centre d'identité IAM de modifier les appartenances à un groupe pour accorder l'accès à un ensemble d'autorisations ou à une application attribué au groupe, plutôt que de laisser le contrôle de l'appartenance au groupe à votre administrateur IdP. Vous devez également vérifier qui peut créer des jetons porteurs SCIM à partir du compte d'administration déléguée, car ceux-ci pourraient permettre à un administrateur du compte membre de modifier des groupes et des utilisateurs via un client SCIM.
Il peut arriver que des opérations d'écriture ou de suppression soient appropriées à partir du compte administrateur délégué. Par exemple, vous pouvez créer un groupe sans ajouter de membres, puis attribuer un ensemble d'autorisations sans avoir à attendre que l'administrateur de l'IdP crée le groupe. Personne n'aura accès à cette attribution tant que l'administrateur de l'IdP n'aura pas approvisionné le groupe et que le processus de synchronisation de l'IdP n'aura pas établi les membres du groupe. Il peut également être approprié de supprimer un utilisateur ou un groupe pour empêcher la connexion ou l'autorisation lorsque vous ne pouvez pas attendre le processus de synchronisation de l'IdP pour supprimer l'accès à l'utilisateur ou au groupe. Cependant, l'utilisation abusive de cette autorisation peut perturber les utilisateurs. Vous devez utiliser le principe du moindre privilège lorsque vous attribuez des autorisations au magasin d'identités. Vous pouvez contrôler les actions du magasin d'identités autorisées par les administrateurs de votre compte d'administration déléguée à l'aide d'une politique de contrôle des services (SCP).
L'exemple de SCP ci-dessous empêche d'affecter des utilisateurs à des groupes via l'API Identity Store et le AWS Management Console, ce qui est recommandé lorsque votre source d'identité est externe. Cela n'affecte pas la synchronisation des utilisateurs depuis AWS Directory Service ou depuis un IdP externe (via SCIM).
Note
Bien que vous utilisiez une source d'identité externe, il est possible que votre organisation s'appuie, en tout ou en partie, sur l'Identity Store APIs pour le provisionnement des utilisateurs et des groupes. Par conséquent, avant d'activer ce SCP, vous devez vérifier que votre processus de provisionnement utilisateur n'utilise pas cette opération d'API Identity Store. Reportez-vous également à la section suivante pour savoir comment limiter la gestion des adhésions à des groupes à des groupes spécifiques.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["identitystore:CreateGroupMembership"], "Resource": [ "*" ] } ] }
Si vous souhaitez empêcher l'ajout d'utilisateurs uniquement aux groupes qui accordent l'accès au compte de gestion, vous pouvez référencer ces groupes spécifiques à l'aide de l'ARN du groupe au format suivant :arn:${Partition}:identitystore:::group/${GroupId}. Ce type de ressource, ainsi que les autres types de ressources disponibles dans l'Identity Store, sont documentés dans la section Types de ressources définis par AWS Identity Store dans la référence d'autorisation de service. Vous pouvez également envisager d'inclure un magasin d'identité supplémentaire APIs dans le SCP. Pour plus d'informations, consultez la section Actions de la référence d'API Identity Store.
En ajoutant la déclaration de politique suivante à votre SCP, vous pouvez empêcher la création de jetons porteurs SCIM par l'administrateur délégué. Vous pouvez l'appliquer aux deux sources d'identité externes.
Note
Si votre administrateur délégué doit configurer le provisionnement des utilisateurs avec SCIM ou effectuer la rotation périodique du jeton porteur SCIM, vous devrez autoriser temporairement l'accès à cette API pour permettre à l'administrateur délégué d'effectuer ces tâches.
{ "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] }
Limiter les actions de la banque d'identités IAM Identity Center dans le compte d'administration déléguée pour les utilisateurs gérés localement
Si vous créez vos utilisateurs et vos groupes directement dans IAM Identity Center, plutôt que d'utiliser un IdP externe, vous devez prendre AWS Directory Service des précautions pour savoir qui peut créer des utilisateurs, réinitialiser les mots de passe et contrôler l'appartenance aux groupes. Ces actions confèrent à l'administrateur de grands pouvoirs pour déterminer qui peut se connecter et qui peut y accéder par le biais de l'adhésion à des groupes. Il est préférable de mettre en œuvre ces politiques sous forme de politiques intégrées dans les ensembles d'autorisations que vous utilisez pour les administrateurs de votre IAM Identity Center, plutôt que sous forme de politiques en ligne. SCPs L'exemple de politique en ligne suivant a deux objectifs. Tout d'abord, cela empêche d'ajouter des utilisateurs à des groupes spécifiques. Vous pouvez l'utiliser pour empêcher les administrateurs délégués d'ajouter des utilisateurs aux groupes qui accordent l'accès au compte de gestion. Deuxièmement, il empêche l'émission de jetons porteurs SCIM.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": ["identitystore:CreateGroupMembership"], "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, arn:${Partition}:identitystore:::group/${GroupId2} ] } ], { "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] } ] }
Séparez la gestion de la configuration d'IAM Identity Center de la gestion PermissionSet
Séparez les tâches administratives, notamment la modification de la source d'identité externe, la gestion des jetons SCIM, la configuration du délai d'expiration des sessions, des tâches de création, de modification et d'attribution d'ensembles d'autorisations en créant des ensembles d'autorisations d'administration distincts à partir de votre compte de gestion.
Limiter l'émission de jetons au porteur SCIM
Les jetons porteurs SCIM permettent à une source d'identité externe de fournir des informations aux utilisateurs, aux groupes et aux appartenances à des groupes via le protocole SCIM lorsque la source d'identité de votre centre d'identité IAM est un IdP externe tel qu'Okta ou Entra ID. Vous pouvez configurer le SCP suivant pour empêcher la création de jetons porteurs SCIM par les administrateurs délégués. Si votre administrateur délégué doit configurer le provisionnement des utilisateurs avec SCIM ou effectuer la rotation périodique du jeton porteur SCIM, vous devrez autoriser temporairement l'accès à cette API pour permettre à l'administrateur délégué d'effectuer ces tâches.
{ "Effect": "Deny", "Action": ["sso-directory:CreateBearerToken"], "Resource": [ "*" ] }
Utilisez des balises d'ensembles d'autorisations et des listes de comptes pour déléguer l'administration de comptes spécifiques
Vous pouvez créer des ensembles d'autorisations que vous attribuez à vos administrateurs IAM Identity Center afin de déléguer qui peut créer des ensembles d'autorisations et qui peut attribuer quels ensembles d'autorisations à quels comptes. Cela se fait en balisant les ensembles d'autorisations et en utilisant des conditions de politique dans les ensembles d'autorisations que vous attribuez à vos administrateurs. Par exemple, vous pouvez créer des ensembles d'autorisations qui permettent à un utilisateur de créer des ensembles d'autorisations à condition qu'ils soient balisés d'une certaine manière. Vous pouvez également créer des politiques qui permettent à un administrateur d'attribuer des ensembles d'autorisations dotés d'une étiquette spécifique dans des comptes spécifiques. Cela peut vous aider à déléguer la gestion des comptes sans donner à un administrateur les privilèges nécessaires pour modifier son accès et ses privilèges sur le compte d'administration déléguée. Par exemple, en balisant les ensembles d'autorisations que vous utilisez uniquement dans le compte d'administration déléguée, vous pouvez définir une politique qui autorise uniquement certaines personnes à modifier les ensembles d'autorisations et les attributions qui affectent le compte d'administration déléguée. Vous pouvez également autoriser d'autres personnes à gérer une liste de comptes en dehors du compte d'administration déléguée. Pour en savoir plus, consultez la section Délégation de la gestion des ensembles d'autorisations et de l'attribution de comptes AWS IAM Identity Center dans
Prérequis
Avant de pouvoir enregistrer un compte en tant qu'administrateur délégué, vous devez d'abord déployer l'environnement suivant :
-
AWS Organizations doit être activé et configuré avec au moins un compte membre en plus de votre compte de gestion par défaut.
-
Si votre source d'identité est définie sur Active Directory, la Synchronisation AD configurable par IAM Identity Center fonctionnalité doit être activée.
