Gestion des accès et groupe d'utilisateurs dans AWS
La connexion d'Okta à plusieurs instances Amazon Web Services (AWS) à l'aide de groupes est principalement prise en charge dans un répertoire externe. Les administrateurs travaillent avec deux ensembles logiques de groupes de répertoires externes : les groupes de gestion et les groupes spécifiques à un rôle AWS.
Groupes spécifiques à un rôle AWS
Le répertoire externe doit comporter un groupe pour chaque paire compte-rôle spécifique à laquelle vous souhaitez donner accès. Considérez ces groupes comme des groupes spécifiques à un rôle AWS.
Lorsqu'il est membre d'un groupe spécifique à un rôle, l'utilisateur se voit accorder un droit d'accès unique à un rôle spécifique dans un compte AWS spécifique. Vous pouvez créer un groupe spécifique à un rôle en utilisant un script, en exportant une liste d'utilisateurs depuis AWS ou en en créant un manuellement.
Groupes de gestion
La gestion de l'accès utilisateur via l'affectation individuelle à des groupes de rôles AWS spécifiques n'est pas efficace. Créez plutôt des groupes de type gestion de groupes pour chaque ensemble d'utilisateurs de votre organisation nécessitant des ensembles de droits AWS spécifiques.
Il est possible que ces groupes existent dans la hiérarchie de votre répertoire externe sous la forme de différents groupes spécifiques à un service, mais vous pouvez également les créer uniquement pour AWS.
Les groupes de gestion constituent la couche d'administration où vous affectez les utilisateurs, en tant que groupMembers, et que vous les mappez avec des droits spécifiques via les groupes de rôles AWS, en tant que Members Of.
Une fois que vous avez créé les groupes de gestion dans un répertoire externe, utilisez-les pour réaliser toutes les tâches administratives, notamment :
- Ajouter et supprimer des utilisateurs
- Accorder l'accès à des rôles et à des comptes AWS
- Mettre à jour des droits spécifiques en ajoutant ou en supprimant des groupes de rôles AWS dans la propriété de groupe Member Of.