Pourquoi auditer vos ressources ?Comment auditer les ressources Considérations

Auditez et réconciliez les ressources provisionnées automatiquement

SCIM vous permet de provisionner automatiquement des utilisateurs, des groupes et des adhésions à des groupes depuis votre source d'identité vers IAM Identity Center. Ce guide vous aide à vérifier et à réconcilier ces ressources afin de garantir une synchronisation précise.

Pourquoi auditer vos ressources ?

Un audit régulier permet de garantir que vos contrôles d'accès restent précis et que votre fournisseur d'identité (IdP) reste correctement synchronisé avec IAM Identity Center. Cela est particulièrement important pour la conformité en matière de sécurité et la gestion des accès.

Ressources que vous pouvez auditer :

Utilisateurs
Groupes
Adhésions à des groupes

Vous pouvez utiliser les commandes AWS Identity Store APIsou CLI pour effectuer l'audit et le rapprochement. Les exemples suivants utilisent des AWS CLI commandes. Pour les alternatives à l'API, reportez-vous aux opérations correspondantes dans la référence de l'API Identity Store.

Comment auditer les ressources

Voici des exemples expliquant comment auditer ces ressources à l'aide de AWS CLI commandes.

Avant de commencer, assurez-vous de disposer des éléments suivants :

Accès administrateur à IAM Identity Center.
AWS CLI installé et configuré. Pour plus d'informations, consultez le guide de l'utilisateur de l'interface de ligne de AWS commande.
Autorisations IAM requises pour les commandes Identity Store.

Étape 1 : Répertorier les ressources actuelles

Vous pouvez consulter vos ressources actuelles à l'aide du AWS CLI.

Note

Lorsque vous utilisez le AWS CLI, la pagination est gérée automatiquement, sauf indication contraire de votre part. --no-paginate Si vous appelez directement l'API (par exemple, avec un SDK ou un script personnalisé), gérez-le NextToken dans la réponse. Cela vous permet de récupérer tous les résultats sur plusieurs pages.

Exemple pour les utilisateurs


aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID

Exemple pour les groupes


aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID

Exemple pour les adhésions à des groupes


aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID

Étape 2 : comparer avec votre source d'identité

Comparez les ressources répertoriées avec votre source d'identité pour identifier les éventuelles incohérences, telles que :

Ressources manquantes qui devraient être provisionnées dans IAM Identity Center.
Ressources supplémentaires qui devraient être supprimées d'IAM Identity Center.

Exemple pour les utilisateurs


# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID

Exemple pour les groupes


# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID

Exemple pour les adhésions à des groupes


# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID

Considérations

Les commandes sont soumises à des quotas de service et à une limitation des API.
Lorsque vous constatez de nombreuses différences lors du rapprochement, apportez de petites modifications graduelles à AWS Identity Store. Cela vous permet d'éviter les erreurs qui affectent plusieurs utilisateurs.
La synchronisation SCIM peut annuler vos modifications manuelles. Vérifiez les paramètres de votre IdP pour comprendre ce comportement.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Faire pivoter un jeton d'accès

Rotation des certificats SAML 2.0