AWS IAM Identity Center (successeur de AWS Single Sign-On) permet à plusieurs utilisateurs d'un Compte AWS unique d'utiliser les services d'AWS.
Lors de la création d'un compte Amazon Web Services (AWS), cette identité de connexion dispose d'un accès complet à tous les services et ressources AWS du compte.
Cette identité est appelée l'utilisateur racine (root) du compte AWS et la connexion à ce compte utilise l'adresse e-mail et le mot de passe qui a été utilisés à la création du compte.
Il est vivement recommandé de ne pas utiliser l'utilisateur racine pour ses tâches quotidiennes, y compris pour les tâches administratives. Les informations d'identification de l'utilisateur root ne servent qu'à effectuer certaines tâches de gestion des comptes et des services.
Il est possible de créer une clé d'accès utile pour les appels de CLI et d'API. Il n'sty possible de créer que deux clés d'accès pour chaque utilisateur, racine ou IAM.
Un clé d'accès est un ensemble constitué d'un ID de clé d'accès et d'une clé d'accès secrète.
Il est conseillé d'ctiver l'authentification multifactorielle (MFA) pour l'utilisateur root.
A la suite de la création du compte AWS (utilisateur récine), il est conseillé de créer un utilisateur administratif afin de ne pas utiliser l'utilisateur root pour les tâches quotidiennes.
Il est nécessaire de créer un jeu d'autorisations AdministratorAccess dans la section Type de jeu d'autorisations en choisissant Ensemble d'autorisations prédéfini.
Les paramètres par défaut accordent un accès complet aux AWS services et aux ressources à l'aide de cet ensemble d'autorisations AdministratorAccess prédéfini.
Le paramètre par défaut limite la session à une heure.
Activer le MFA pour IAM Identity Center :
IAM Identity Center permet d'attribuer plusieurs ensembles d'autorisations au même utilisateur. Afin de suivre les meilleures pratiques consistant à appliquer les autorisations de moindre privilège et après avoir créé l'utilisateur administratif, créez un ensemble d'autorisations plus restrictif et attribuez-le au même utilisateur.
De cette manière, vous pouvez accéder à votre compte uniquement Compte AWS avec les autorisations dont vous avez besoin, plutôt qu'avec des autorisations administratives.
Pour avoir un profil développeur pour le même compte utilisateur administratif dans IAM Identity Center :
Pour se connecter avec l'utilisateur administratif IAM Identity Center, utilisez l'URL de connexion qui a été envoyée à votre adresse e-mail lorsque vous avez créé l'utilisateur IAM Identity Center.