Créer des groupes de rôles AWS dans un répertoire externe

Pour accéder à chaque compte Amazon Web Services (AWS), vous devez créer des groupes dans un répertoire externe pour chaque rôle AWS de chacun de ces comptes. Un filtre utilise les noms de ces groupes afin de les associer avec les rôles AWS correspondants.

  1. Créez des groupes spécifiques à un rôle AWS dans votre répertoire en appliquant l'une des méthodes suivantes :

    • Exécution d'un script pour créer des groupes dans le répertoire externe pour chaque rôle de chaque compte

      Cette option offre les plus belles perspectives d'automatisation, mais nécessite une certaine coordination entre vos équipes de gestion AWS et de gestion du répertoire externe pour que le script puisse être configuré.

    • Exportation d'un fichier CSV depuis AWS

      S'il n'est pas possible de mettre en place une approche basée sur l'utilisation d'un script entre AWS et le répertoire externe, une approche plus légère peut consister en l'exportation d'une liste des noms de rôles de chacun de vos comptes AWS dans un fichier CSV. Vous pourrez ensuite fournir la liste à vos équipes d'administration du répertoire externe. Elles pourront ensuite gérer la création de groupes de rôles AWS, sans aucune dépendance ni intégration directe avec vos comptes AWS eux-mêmes.

    • Création manuelle de groupes de rôles AWS dans le répertoire externe

      C'est la méthode la plus simple. Cependant, la création de groupes dans le répertoire externe pour chacun des rôles de chacun de vos comptes nécessite un temps de configuration élevé et des efforts de maintenance.

  2. Créez une unité organisationnelle (OU) dans votre répertoire pour y regrouper tous les groupes spécifiques à un rôle AWS qui devront être associés aux rôles AWS (par exemple, Groupe de rôles AWS et Droits AWS).

  3. À l'aide d'une syntaxe standard, créez des groupes de sécurité pour chaque rôle dans le répertoire externe.

    Syntaxe recommandée :

    aws#[account alias]#[role name]#[account #]

    Exemple :

    aws#northamerica-production#Tier1_Support#828416469395

    Par ailleurs, une expression régulière est disponible pour filtrer les groupes liés à AWS et extraire les valeurs accountid et role.

    Exemple :

    aws_(?{{accountid}}\d+)_(?{{role}}[a-zA-Z0-9+=,.@\-_]+)

Si vous utilisez votre propre syntaxe de groupe, assurez-vous d'inclure un alias de compte, un nom de rôle et un # de compte avec des caractères de délimitation reconnaissables entre chacun d'eux. Vous devrez également créer une expression régulière personnalisée.

Étapes suivantes

Créer des groupes de gestion pour mapper les utilisateurs avec les comptes et rôles AWS