Obtenir les paramètres de connexion pour AWS Lambda (BASIC, OIDC WEB et BASIC OIDC)

A propos de cette tâche

Suivez ces instructions pour obtenir les paramètres de connexion ( BASIC, OIDC WEB et BASIC OIDC ) du connecteur « AWS Lambda ».

Procédure

Pour obtenir les valeurs de la clé d'accès secrète et de l'ID de clé d'accès ( BASIC ) sans utiliser le modèle de contrôle d'accès basé sur les rôles (RBAC) (sans utiliser l'ARN de rôle), procédez comme suit :
1. Connectez-vous à votre compte AWS. Vous pouvez choisir entre l' utilisateur racine et l' utilisateur IAM en fonction de votre rôle.
  - Utilisateur racine : Propriétaire du compte qui effectue des tâches nécessitant un accès illimité.
  - Utilisateur IAM : Utilisateur au sein d'un compte qui effectue des tâches quotidiennes.
  AWS recommande d'utiliser des politiques gérées basées sur l'identité pour attacher des jeux de permissions et des rôles à une identité et n'accorder que les permissions dont l'utilisateur a besoin. Ces politiques contrôlent les actions que l'identité peut effectuer, sur quelles ressources et dans quelles conditions. Lorsque vous définissez les autorisations pour une identité dans IAM, vous pouvez décider d'utiliser une politique gérée par AWS, une politique gérée par le client ou une politique en ligne.
  Une politique gérée par AWS est une politique autonome créée et administrée par AWS. Voici quelques exemples de stratégies gérées par AWS spécifiques à AWS Lambda :
  - AWSLambda_FullAccess donne un accès complet aux actions de l' AWS Lambda et aux autres services de l' AWS utilisés pour développer et maintenir les ressources de AWS Lambda.
  - AWSLambda_ReadOnlyAccess accorde un accès en lecture seule aux ressources d' AWS Lambda.
  - AWSLambdaRole accorde les autorisations nécessaires pour appeler les fonctions d' AWS Lambda.
  - AmazonSNSReadOnlyAccess donne un accès limité en lecture seule et peu d'opérations sur les connecteurs sont accessibles.
  Pour plus d'informations sur les politiques gérées par l' AWS s spécifiques à AWS Lambda, consultez la page de documentation « Politiques IAM basées sur l'identité pour Lambda » sur AWS.
2. Dans le menu de navigation, cliquez sur Utilisateurs.
3. Sélectionnez votre nom d'utilisateur ou de compte.
4. Cliquez sur l'onglet Informations d'identification de sécurité, puis sur Créer une clé d'accès.
5. Pour afficher la nouvelle clé d'accès, cliquez sur Afficher.
  Vous ne pouvez récupérer la clé d'accès secrète que lorsque vous créez la paire de clés pour la première fois. Pour plus d'informations, consultez la section « Compte AWS et clés d'accès » sur la page de documentation AWS.
Pour obtenir les valeurs de l'ARN du rôle, de la clé d'accès secrète et de l'ID de clé d'accès ( BASIC ) à l'aide du modèle RBAC (avec l'ARN du rôle), procédez comme suit :
1. Connectez-vous à votre compte IAM via la console de gestion d' AWS.
2. Cliquez sur « Rôles » dans la barre latérale.
3. Cliquez sur le bouton Créer un rôle.
4. Pour le type d'entité de confiance, sélectionnez :
  - AWS service si le connecteur se trouve dans le même compte d' AWS.
  - Un autre compte AWS si le connecteur se trouve dans un autre compte AWS.
5. Dans la section « Ajouter des autorisations », sélectionnez des stratégies prédéfinies ou créez une stratégie personnalisée comprenant les autorisations spécifiques requises.
6. Cliquez sur le bouton Suivant.
7. Dans le champ Nom du rôle, saisissez un nom pour le rôle.
8. Cliquez sur le bouton Créer un rôle.
9. Sur la page Rôles, sélectionnez le rôle que vous avez créé.
10. Copiez la valeur ARN (il s'agit de la valeur ARN de votre rôle ) et enregistrez-la dans un endroit sûr.
11. Cliquez sur « Politiques » dans la barre latérale.
12. Cliquez sur le bouton « Créer une politique ».
13. Dans l'éditeur de stratégie, sélectionnez l'onglet JSON et saisissez la stratégie suivante :
```
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowAssumeRole",
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "arn:aws:iam::<awsaccountnumber>:role/<rolename>"
    }
  ]
}
```
  - Remplacez <awsaccountnumber> par votre numéro de compte AWS.
  - Remplacez <rolename> par le nom du rôle que vous avez créé à l'étape précédente.
14. Cliquez sur le bouton Suivant.
15. Dans le champ « Nom de la stratégie », saisissez un nom pour la stratégie.
16. Cliquez sur le bouton « Créer une politique ».
17. Cliquez sur « Utilisateurs » dans la barre latérale.
18. Cliquez sur le bouton « Créer un utilisateur ».
19. Dans le champ Nom d'utilisateur, saisissez un nom pour l'utilisateur.
20. Cliquez sur le bouton Suivant.
21. Dans les options d'autorisations, sélectionnez « Appliquer directement les règles ».
22. Sélectionnez la stratégie que vous avez créée.
23. Cliquez sur le bouton Suivant.
24. Cliquez sur le bouton « Créer un utilisateur », puis sélectionnez l'utilisateur que vous venez de créer.
25. Dans la section « Clés d'accès », cliquez sur « Créer une clé d'accès ».
26. Sélectionnez « Application exécutée en dehors d' AWS » ou un autre cas d'utilisation pertinent.
27. Cliquez sur le bouton Suivant.
28. Cliquez sur le bouton « Créer une clé d'accès ».
29. Pour afficher la valeur de la clé d'accès secrète, cliquez sur Afficher.
30. Copiez les valeurs de la clé d'accès (ID de clé d'accès) et de la clé d'accès secrète, puis conservez-les en lieu sûr. Vous ne pouvez récupérer la clé d'accès secrète que lorsque vous créez la paire de clés pour la première fois.
  Pour plus d'informations, consultez la page de documentation « Gérer les clés d'accès pour les utilisateurs IAM » sur AWS.
Pour obtenir l'identifiant et le secret du client ( OIDC BASIC et OIDC WEB ), procédez comme suit :
1. Connectez-vous au portail Microsoft Azure, puis cliquez sur « Enregistrements d'applications ».
2. Dans la page Enregistrements d'applications, cliquez sur Nouvel enregistrement.
3. Dans la page Enregistrer une application, indiquez un nom unique pour votre application.
4. Sélectionnez une option dans la section Types de comptes pris en charge en fonction de vos besoins.
5. Cliquez sur Enregistrer.
  La page de présentation de l'application s'affiche.
6. Notez la valeur de l' ID de l'application (client) car vous devez la spécifier en tant que valeur de connexion lors de la création du compte dans App Connect.
7. En regard de Informations d'identification du client sur la page Présentation, cliquez sur Ajouter un certificat ou un secret. La page Certificats et secrets s'affiche.
8. Cliquez sur + Nouveau secret client.
9. Dans le panneau Ajouter un secret client, indiquez une description pour le secret (par exemple, App Connect secret), puis sélectionnez une période d'expiration.
10. Cliquez sur Ajouter.
  Le secret client généré est affiché sur la page Certificats et secrets.
11. Copiez et stockez la valeur secrète du client car vous devez la spécifier en tant que valeur de connexion lors de la création du compte dans App Connect.
  Note : La valeur secrète du client ne sera plus affichée dans son intégralité une fois que vous aurez quitté cette page.
Pour trouver l'identifiant du locataire, procédez comme suit :
1. Accédez à la page de connexion du portail Microsoft Azure, puis sélectionnez Microsoft Entra ID > Propriétés.
2. Copiez la valeur de l' ID du locataire et enregistrez-la dans un endroit sûr.
  
  Pour plus d'informations sur l'obtention de l'identifiant de locataire, consultez la section « Comment trouver votre identifiant de locataire Microsoft Entra » sur la page de la documentation Microsoft Entra.
Pour obtenir l'ARN de rôle ( OIDC BASIC et OIDC WEB ), suivez les étapes suivantes :
1. Connectez-vous à votre compte IAM via la console de gestion d' AWS.
2. Cliquez sur Fournisseurs d'identité dans la barre latérale.
3. Cliquez sur Ajouter un fournisseur.
  La page Ajouter un fournisseur d'identité s'affiche.
4. Sélectionnez OpenID Connect comme type de fournisseur.
5. Dans le champ Provider URL, entrez https://login.microsoftonline.com/<tenant ID>/v2.0
  Note : Remplacez <tenant ID> par votre valeur d'identification du locataire Microsoft Azure. Pour obtenir l 'identifiant du locataire, reportez-vous à l'étape 4.
6. Dans le champ Audience, saisissez la valeur de l'ID du client sur Microsoft Azure.
7. Cliquez sur Ajouter un fournisseur.
8. Sur la page du nouveau fournisseur d'identité, cliquez sur le bouton Attribuer un rôle.
9. Sélectionnez Créer un nouveau rôle, puis cliquez sur Suivant.
  La page Sélectionner une entité de confiance s'affiche.
10. Sélectionnez l' identité Web comme type d'entité de confiance.
11. Dans le champ Fournisseur d'identité, sélectionnez le fournisseur requis URL dans le menu déroulant.
12. Dans le champ Audience, sélectionnez l'identifiant du client dans le menu déroulant.
13. Cliquez sur le bouton Suivant.
  La page Ajouter des autorisations s'affiche.
14. Sélectionnez les politiques de permissions appropriées à attacher à votre nouveau rôle.
15. Cliquez sur le bouton Suivant.
  La page Nommer, réviser et créer s'affiche.
16. Dans le champ Nom du rôle, saisissez un nom pour le rôle.
17. Dans le champ Description, saisissez une description du rôle.
18. Cliquez sur le bouton Créer un rôle.
19. Sur la page Rôles, sélectionnez le rôle que vous avez créé.
20. Copiez la valeur ARN (il s'agit de la valeur ARN de votre rôle ) et enregistrez-la dans un endroit sûr.
Pour générer un jeton d'identification ( BASIC OIDC ), consultez la section « Demander un jeton d'accès avec un client_secret » sur la page de documentation Microsoft Entra.
Pour générer un jeton de rafraîchissement ( BASIC OIDC ), consultez la section « Rafraîchir le jeton d'accès » sur la page de la documentation Microsoft Entra.