Fonctionnalités d'AWS IAM Identity Center

AWS IAM Identity Center facilite la gestion centralisée de l'accès à plusieurs comptes AWS et applications professionnelles. Il fournit à votre personnel un accès à authentification unique à toutes les applications et tous les comptes attribués, à partir d'un seul emplacement. Grâce à IAM Identity Center, vous pouvez facilement gérer l'accès centralisé et les autorisations des utilisateurs pour tous vos comptes dans les AWS Organizations. IAM Identity Center configure et gère automatiquement toutes les autorisations nécessaires pour vos comptes, sans nécessiter de configuration supplémentaire dans les comptes individuels. Vous pouvez attribuer des autorisations aux utilisateurs selon les fonctions professionnelles courantes et personnaliser ces autorisations pour répondre à vos besoins spécifiques de sécurité. IAM Identity Center comprend également des intégrations aux applications AWS, comme Amazon SageMaker Studio, AWS Systems Manager Change Manager et AWS IoT SiteWise, et à de nombreuses applications métier telles que Salesforce, Box et Microsoft 365.

Vous pouvez créer et gérer les identités des utilisateurs dans le magasin d'identités d'IAM Identity Center, ou vous connecter facilement à votre source d'identité existante, notamment Microsoft Active Directory, Okta, Ping Identity, JumpCloud et Azure Active Directory (Azure AD). IAM Identity Center vous permet de sélectionner des attributs d'utilisateur, tels que le centre de coût, le titre ou le lieu, à partir de votre source d'identité, puis de les utiliser pour le contrôle d'accès basé sur les attributs (ABAC) dans AWS.

Il est facile de démarrer avec IAM Identity Center. En quelques clics dans la console de gestion IAM Identity Center, vous pouvez vous connecter à votre source d'identité existante. De là, vous pouvez configurer les autorisations qui accordent à vos utilisateurs l'accès aux comptes qui leur sont attribués dans AWS Organizations et à des centaines d'applications cloud pré-configurées, à partir d'un seul et unique portail utilisateur.

IAM Identity Center vous fournit par défaut un magasin d'identité que vous pouvez utiliser pour créer des utilisateurs et les organiser dans des groupes dans IAM Identity Center. Vous pouvez créer des utilisateurs dans IAM Identity Center en définissant leur adresse e-mail et leur nom. Par défaut, lorsque vous créez un utilisateur, IAM Identity Center envoie un e-mail à l'utilisateur, afin qu'il puisse définir son propre mot de passe. En quelques minutes, vous pouvez accorder à vos utilisateurs et groupes des autorisations sur les ressources AWS dans tous vos comptes AWS, ainsi que dans de nombreuses applications métier. Vos utilisateurs se connectent à un portail utilisateur avec les informations d'identification qu'ils ont configurées dans IAM Identity Center pour accéder à tous les comptes et applications qui leur sont attribués dans un seul et unique emplacement.

Vous pouvez connecter IAM Identity Center à Okta Universal Directory, Azure AD ou un autre fournisseur d'identité (IdP) pris en charge par le biais de Security Assertion Markup Language (SAML) 2.0, afin que vos utilisateurs puissent se connecter avec leurs informations d'identification existantes. En outre, IAM Identity Center prend également en charge System for Cross-domain Identity Management (SCIM) pour l'automatisation de la mise en service des utilisateurs. Vous pouvez gérer vos utilisateurs dans votre IdP, les intégrer rapidement dans AWS et gérer de manière centralisée leur accès à tous les comptes AWS et à toutes les applications métier. IAM Identity Center vous permet également de sélectionner plusieurs attributs d'utilisateur, tels que le centre de coût, le titre ou le lieu, dans votre annuaire universel Okta, puis de les utiliser pour ABAC, afin de simplifier et de centraliser votre administration des accès.

Avec IAM Identity Center, vous pouvez gérer l'accès par authentification unique aux comptes et aux applications en utilisant vos identités d'entreprise existantes à partir de Microsoft Active Directory Domain Services (AD DS). IAM Identity Center se connecte à AD DS par le biais d'AWS Directory Service et vous permet d'accorder aux utilisateurs l'accès aux comptes et aux applications en les ajoutant simplement aux groupes AD appropriés. Par exemple, vous pouvez créer un groupe pour une équipe de développeurs qui travaillent sur une application et accorder au groupe l'accès aux comptes AWS de l'application. Lorsque de nouveaux développeurs rejoignent l'équipe et que vous les ajoutez au groupe AD, ils obtiennent automatiquement l'accès à tous les comptes AWS de l'application. IAM Identity Center vous permet également de sélectionner plusieurs attributs d'utilisateur, tels que le centre de coût, le titre ou le lieu, dans votre AD, puis de les utiliser pour ABAC, afin de simplifier et de centraliser votre administration des accès.

IAM Identity Center vous permet d'appliquer l'authentification multifactorielle (MFA) à tous vos utilisateurs, y compris l'obligation pour les utilisateurs de configurer des dispositifs MFA lors de la connexion. Grâce à IAM Identity Center, vous pouvez utiliser des fonctionnalités d'authentification solides basées sur des normes pour tous vos utilisateurs dans toutes vos sources d'identité. Si vous utilisez un IdP SAML 2.0 pris en charge comme source d'identité, vous pouvez activer les fonctionnalités d'authentification multifactorielle (MFA) de votre fournisseur. Lorsque vous utilisez Active Directory ou IAM Identity Center comme source d'identité, IAM Identity Center prend en charge la spécification Web Authentication pour vous aider à sécuriser l'accès des utilisateurs aux comptes AWS et aux applications professionnelles à l'aide d'une clé de sécurité compatible FIDO, telle que YubiKey, et d'authentificateurs biométriques intégrés, tels que Touch ID sur les Apple MacBooks et la reconnaissance faciale sur les PC. Vous pouvez également activer des mots de passe à usage uniques temporaires (TOTP) en utilisant des applications d'authentification telles que Google Authenticator ou Twilio Authy.

IAM Identity Center repose sur les rôles et les politiques d'AWS Identity and Access Management (IAM) pour gérer les accès de manière centralisée pour tous les comptes AWS de votre organisation AWS. IAM Identity Center utilise des ensembles d'autorisation, à savoir des collections d'une ou plusieurs politiques IAM. Vous attribuez ensuite un ou plusieurs ensembles d'autorisations pour définir l'accès de vos utilisateurs/groupes. Le service crée un rôle IAM contrôlé par IAM Identity Center en fonction des ces attributions, et attache les politiques spécifiées dans l'ensemble d'autorisations à ces rôles dans chaque compte assigné. Aucune autre configuration n'est requise au niveau des comptes individuels.  

IAM Identity Center offre un accès de niveau élevé temporaire par l’intermédiaire d’une gamme d'options d'intégration destinées aux partenaires. AWS a confirmé l’utilisation de CyberArk Secure Cloud Access, Ermetic et Okta Access Requests pour vous aider à répondre à divers scénarios d'accès de niveau élevé temporaire, notamment les opérations sensibles nécessitant une auditabilité complète, les environnements multicloud avec des droits et des besoins d'audit complexes, et les organisations utilisant de multiples sources d'identité et intégrations d'applications. Les utilisateurs employés qui ne disposent pas de permission générale pour effectuer des opérations sensibles, telles que la modification de la configuration d'une ressource de grande valeur dans un environnement de production, peuvent demander un accès, recevoir une approbation et effectuer l'opération pendant une durée spécifiée. De plus, vos auditeurs peuvent consulter un journal des actions et des approbations dans la solution partenaire.

Dans la console IAM Identity Center, utilisez les affectations d'applications pour fournir un accès par authentification unique à de nombreuses applications métier SAML 2.0, notamment Salesforce, Box et Microsoft 365. Vous pouvez facilement configurer l'accès par authentification unique à ces applications en suivant les instructions étape par étape dans IAM Identity Center. Il vous aide à entrer les URL, les certificats et les métadonnées requis. Vous pouvez accéder à la liste complète des applications métier pré-intégrées à IAM Identity Center en vous reportant à Applications cloud IAM Identity Center.

IAM Identity Center facilite la création et l'utilisation d'autorisations précises pour votre personnel, en fonction des attributs utilisateur définis dans votre magasin d'identité IAM Identity Center. IAM Identity Center vous permet de sélectionner plusieurs attributs, tels que le centre de coût, le titre ou le lieu, puis de les utiliser pour le contrôle d'accès en fonction d'attributs (ABAC), afin de simplifier et de centraliser l'administration des accès. Vous pouvez définir les autorisations une fois pour toute votre organisation AWS, puis accorder, révoquer ou modifier l'accès AWS en changeant simplement les attributs dans la source d'identité.

En savoir plus sur ABAC »

IAM Identity Center prend en charge l'administration centralisée et l'accès aux API à partir d'un compte d'administrateur délégué AWS Organizations pour tous les comptes membres de votre organisation. Ainsi, vous pouvez désigner un compte de votre organisation qui peut être utilisé pour administrer de façon centralisée tous les comptes membres. Grâce à l'administration déléguée, vous pouvez suivre les pratiques recommandées en réduisant le recours à votre compte de gestion.

IAM Identity Center prend en charge les normes de sécurité et les exigences de conformité, notamment Payment Card Industry - Data Security Standard (PCI DSS), International Organization for Standardization (ISO), System and Organization Controls (SOC) 1, 2 et 3, Esquema Nacional de Seguridad (ENS) High, Financial Market Supervisory Authority (FINMA) International Standard on Assurance Engagements (ISAE) 3000 Type 2 Report et Multi-Tier Cloud Security (MTCS). Le service reste évalué par Information Security Registered Assessors Program (IRAP) au niveau PROTÉGÉ.

IAM Identity Center nécessite d'être intégré à AWS Organizations, ce qui vous permet de sélectionner un ou plusieurs comptes de votre organisation et d'accorder aux utilisateurs l'accès à ces comptes. En quelques clics, vous pouvez commencer à utiliser IAM Identity Center et accorder à votre personnel l'accès à tous les comptes AWS utilisés pour une application ou par une équipe.

Vous pouvez créer des intégrations d'authentification unique dans des applications compatibles SAML 2.0 à l'aide de l'assistant de configuration des affectations d'applications d'IAM Identity Center. L'assistant de configuration des affectations d'applications vous permet de sélectionner et de formater les informations à envoyer aux applications pour activer l'accès par authentification unique. Par exemple, vous pouvez créer un attribut SAML pour le nom d'utilisateur et spécifier le format de l'attribut en fonction de l'adresse e-mail d'un utilisateur à partir de son profil AD.

Toutes les activités d'accès administratif et multicompte sont enregistrées dans AWS CloudTrail, afin de vous permettre de contrôler l'activité IAM Identity Center de manière centralisée. Grâce à CloudTrail, vous pouvez visualiser des activités telles que les tentatives de connexion, les affectations d'applications et les changements d'intégration d'annuaire. Par exemple, vous pouvez déterminer les applications auxquelles un utilisateur a accédé sur une période donnée ou à quel moment un utilisateur a reçu un accès à une application spécifique.