Publié le: Nov 25, 2019
Plus tôt aujourd'hui, AWS Identity and Access Management (IAM) vous a permis d’utiliser les attributs d’identité existants de vos employés, tels que le centre de coûts et le service depuis votre annuaire, pour créer des autorisations précises dans AWS. Vos administrateurs peuvent utiliser ces attributs d'employé dans AWS pour mettre en œuvre un contrôle d'accès reposant sur des attributs aux ressources AWS et simplifier la gestion des autorisations à grande échelle.
Un moyen d’accorder à vos employés l’accès aux ressources AWS consiste à utiliser la fédération d'identité. Vous pouvez utiliser un fournisseur d'identité (IdP) conforme aux normes pour gérer l'accès fédéré des identités d'employés stockées dans votre annuaire d'entreprise. Les clients nous ont indiqué qu'ils souhaitaient utiliser les attributs d'identité de leur annuaire pour simplifier l'expérience administrative et utilisateur final afin de gérer l'accès des utilisateurs fédérés. Avec ce lancement, vos administrateurs peuvent maintenant configurer votre IdP pour envoyer les attributs des employés dans la session AWS lors de la fédération des employés dans AWS. En utilisant ces attributs en tant que balises dans AWS, vous pouvez simplifier la création d'autorisations précises, de sorte que les employés n'aient accès qu'aux ressources AWS avec les balises correspondantes. Cela permet de réduire le nombre d'autorisations distinctes que vous devez créer et gérer dans votre compte AWS. Par exemple, lorsque le développeur Bob de l'équipe rouge et le développeur Sally de l'équipe bleue se fédèrent dans AWS et assument le même rôle IAM, ils obtiennent uniquement des autorisations distinctes pour les ressources de projet balisées pour leur équipe. Cela s'explique par le fait que le fournisseur d'identité envoie l'attribut de nom d'équipe dans la session AWS lorsque Bob et Sally se fédèrent dans AWS et que les autorisations du rôle accordent l'accès aux ressources du projet avec les balises de nom d'équipe correspondantes. Désormais, si Bob passe dans l'équipe bleue et que vous mettez à jour son nom d’équipe dans votre annuaire, il a automatiquement accès aux ressources du projet de l'équipe bleue sans avoir à mettre à jour des autorisations dans IAM.
Les partenaires d'AWS Identity, Ping Identity, OneLogin, Okta, Auth0, Forgerock, IBM et RSA ont certifié l'expérience de bout en bout de cette nouvelle fonctionnalité avec leurs solutions d'identité, et nous attendons avec impatience que de nouveaux partenaires certifient cette fonctionnalité. Veuillez contacter votre fournisseur d'identité conforme aux normes pour obtenir des conseils. Pour en savoir plus sur la façon de connecter vos identités d'entreprise à des règles d'autorisations dans AWS, reportez-vous à la section relative à l'envoi de balises de session dans une session AWS.