AWS IAM Identity Center 常见问题

一般性问题

IAM Identity Center 建立在 AWS Identity and Access Management(IAM)的基础上,用于简化对多个 AWS 账户、AWS 应用程序和其他支持 SAML 的云应用程序的访问管理。在 IAM Identity Center 中,您可以为您的员工创建或连接用户以用于 AWS 中的各个服务。您可以选择仅管理对 AWS 账户或云应用程序的访问,或者同时管理对这两者的访问。您可以直接在 IAM Identity Center 创建用户,也可以从现有员工目录中获取用户。借助 IAM Identity Center,您可以获得统一的管理体验,从而定义、自定义和分配精细的访问权限。您的员工用户将获得一个用户门户,以访问他们分配到的 AWS 账户或云应用程序。

IAM Identity Center 让您不必为每个 AWS 账户单独联合身份验证和管理权限,从而可降低管理的复杂性。它让您可以从统一的界面设置 AWS 应用程序,并从统一的位置分配对云应用程序的访问权限。

IAM Identity Center 还通过与 AWS CloudTrail 集成并为您提供一个中心位置来审核对 AWS 账户和支持 SAML 的云应用程序(例如 Microsoft 365、Salesforce 和 Box)的单点登录访问,从而帮助提高访问权限可见性。

IAM Identity Center 是我们推荐的进入 AWS 的前门。建议您将它作为您管理员工用户的 AWS 访问权限的主要工具。它让您可以在首选身份源中管理身份,通过一次连接在 AWS 中多次使用,并让您可以定义精细的权限,并将这些权限配置一致地应用到各个账户。随着您拥有的账户数量的增加,IAM Identity Center 能够为您提供便利,让您可以在统一的位置管理用户对所有云应用程序的访问。

IAM Identity Center 适合以下管理员:他们负责管理多个 AWS 账户和业务应用程序;要集中管理用户对这些云服务的访问权限;以及要为员工提供单一位置来访问这些账户和应用程序,而且无需他们多记一个密码。

您作为 IAM Identity Center 的新客户,可以:

登录到 AWS 账户中管理账户的 AWS 管理控制台并导航到 IAM Identity Center 控制台。

从 IAM Identity Center 控制台中选择用于存储用户和组身份的目录。IAM Identity Center 默认为您提供一个目录,您可以使用该目录来管理 IAM Identity Center 中的用户和组。您还可以通过在 IAM Identity Center 自动在账户中发现的托管 Microsoft AD 和 AD Connector 实例列表中进行点击,来更改目录以连接到 Microsoft AD 目录。如果要连接到 Microsoft AD 目录,请参阅 AWS Directory Service 入门

从 IAM Identity Center 填充的列表中选择 AWS 账户,然后从目录中选择用户或组并选择要授予的权限,即可为用户授予对组织内 AWS 账户的单点登录访问权限。

通过以下方式为用户授予对业务云应用程序的访问权限:

a.从 IAM Identity Center 支持的一系列预集成应用程序中选择一个应用程序。

b.按配置说明配置该应用程序。

c.选择应能访问该应用程序的用户或组。

为您的用户提供配置目录时生成的 IAM Identity Center 登录 Web 地址,以便他们可以登录 IAM Identity Center 并访问账户和业务应用程序。

IAM Identity Center 免费提供。

请参阅 AWS 区域表,了解 IAM Identity Center 在各个区域的提供情况。

身份源和应用程序支持

不能。在任何给定的时间内,您只能将一个目录或一个 SAML 2.0 身份提供程序连接到 IAM Identity Center。但是,您可以将连接的身份源更改为另一个身份源。

可以将 IAM Identity Center 连接到大多数 SAML 2.0 IdP,例如 Okta Universal Directory 或 Microsoft Entra ID(之前称为 Azure AD)。请参阅 IAM Identity Center 用户指南了解更多信息。

不,IAM Identity Center 不会修改您 AWS 账户中的任何现有 IAM 角色、用户或策略。IAM Identity Center 创建了专门通过 IAM Identity Center 使用的新角色和策略。

启用 IAM Identity Center 后,您拥有的任何现有 IAM 角色或用户仍将继续按原样运行。这意味着您可以分阶段迁移到 IAM Identity Center,而不会中断对 AWS 的现有访问权限。

IAM Identity Center 会为您的 AWS 账户配置新角色以供使用。您可以将与现有 IAM 角色相同的策略附加到用于 IAM Identity Center 的新角色。

IAM Identity Center 不会创建 IAM 用户和群组。它有自己的专用身份存储来保存用户信息。使用外部身份提供商时,Identity Center 会保存用户属性和群组成员资格的同步副本,但不会保存密码或 MFA 设备等身份验证材料。您的外部身份提供商仍然是用户信息和属性的真实来源。

符合。如果您使用 Okta Universal Directory、Microsoft Entra ID(之前称为 Azure AD)、OneLogin 或 PingFederate,则可以使用 SCIM 自动将用户和组信息从 IdP 同步到 IAM Identity Center。请参阅 IAM Identity Center 用户指南了解更多信息。

您可以使用 AWS Directory Service,将 IAM Identity Center 连接到本地 Active Directory(AD)或 AWS Managed Microsoft AD 目录。请参阅 IAM Identity Center 用户指南了解更多信息。

您可以通过两种方式将本地托管的 Active Directory 连接到 IAM Identity Center:(1)使用 AD Connector;或者(2)使用 AWS Managed Microsoft AD 信任关系。 AD Connector 可以直接将您的现有本地 Active Directory 连接到 AWS。AD Connector 是一个目录网关,可让您将目录请求重定向到本地 Microsoft Active Directory,而无需在云中缓存任何信息。要使用 AD Connector 连接本地目录,请参阅 AWS Directory Service 管理指南。 AWS Managed Microsoft AD 可让您轻松地在 AWS 中设置和运行 Microsoft Active Directory。您可以使用它在本地目录和 AWS Managed Microsoft AD 之间设置林信任关系。要设置信任关系,请参阅 AWS Directory Service 管理指南

Amazon Cognito 是可以帮助您为面向客户的应用程序管理身份的服务,并不是 IAM Identity Center 中受支持的身份源。您可以在 IAM Identity Center 中创建和管理用户身份,也可以在外部身份源中创建和管理用户身份,包括 Microsoft Active Directory、Okta Universal Directory、Microsoft Entra ID(之前称为 Azure AD)或另一个受支持的 IdP

是的,您可以使用 IAM Identity Center 控制对 AWS 管理控制台和 CLI v2 的访问。IAM Identity Center 可让您的用户通过单点登录体验访问 CLI 和 AWS 管理控制台。AWS 移动控制台应用程序还支持 IAM Identity Center,以便您可以在浏览器、移动界面和命令行界面中获得一致的登录体验。

您可以将以下应用程序连接到 IAM Identity Center:

集成 IAM Identity Center 的应用程序:集成 IAM Identity Center 的应用程序(例如 SageMaker StudioIoT SiteWise)使用 IAM Identity Center 进行身份验证,并使用您在 IAM Identity Center 中拥有的身份。不需要通过额外配置,即可将身份同步到这些应用程序或分别设置联合身份验证。

预集成 SAML 应用程序:IAM Identity Center 已与常用的业务应用程序预集成。有关完整列表,请参阅 IAM Identity Center 控制台。

自定义 SAML 应用程序:IAM Identity Center 支持允许使用 SAML 2.0 进行身份联合验证的应用程序。您可以使用自定义应用程序向导,让 IAM Identity Center 支持这些应用程序。

单点登录访问 AWS 账户

您可以将由 AWS Organizations 管理的所有 AWS 账户连接到 IAM Identity Center。您需要在组织中启用所有功能来管理您的账户单点登录。

您可以选择组织内的账户,也可以按 OU 筛选账户。

可信身份传播的主要用途是使商业智能(BI)应用程序能够查询 AWS 分析服务,例如 Amazon Redshift 或 Amazon Quicksight,以获取企业用户通过客户现有的身份提供商进行单一用户登录所需的数据,同时保持对用户身份的意识。该功能支持不同类型的常用 BI 应用程序,并使用不同的机制在服务之间传播用户的身份。

授予用户访问权限时,您可以通过选择权限集来限制用户的权限。权限集是可在 IAM Identity Center 中创建的权限的集合,您可以根据 AWS 工作职能托管策略或其他任何 AWS 托管策略对该集合进行建模。AWS 工作职能托管策略旨在紧密贴合 IT 行业的常见工作职能。如果需要,您还可以完全定制该权限集来满足安全要求。IAM Identity Center 会自动将这些权限应用于所选的账户。更改权限集时,IAM Identity Center 可使您轻松将更改应用到相关账户。当用户通过 AWS 访问门户访问账户时,这些权限会限制他们可在这些账户中执行的操作。您还可以授予用户多个权限集。他们可以在通过用户门户访问账户时选择要为该会话提供的权限集。

IAM Identity Center 提供 APIAWS CloudFormation 支持,可以在多账户环境中自动进行权限管理,并能够以编程方式检索权限来进行审计与监管。

为了实施 ABAC,您可以从 IAM Identity Center 的身份存储中为 IAM Identity Center 用户以及从 Microsoft AD 或外部 SAML 2.0 IdP(包括 Okta Universal Directory、Microsoft Entra ID(之前称为 Azure AD)、OneLogin 或 PingFederate)同步的用户选择要使用的属性。使用 IdP 作为身份源时,您可以选择性发送属性作为 SAML 2.0 断言的一部分。

您可以获取任何 AWS 账户的 AWS CLI 凭证,以及您的 IAM Identity Center 管理员分配给您的用户权限。您可以使用这些 CLI 凭证编程式访问 AWS 账户。

通过 IAM Identity Center 获取的 AWS CLI 凭证的有效期为 60 分钟。您可以根据需要随时获取新的凭证。

单点登录访问业务应用程序

从 IAM Identity Center 控制台导航到应用程序窗格,选择配置新应用程序,然后从与 IAM Identity Center 预集成的云应用程序列表中选择一个应用程序。按屏幕上的说明配置该应用程序。您的应用程序现已配置完成,您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户,然后选择“分配访问权限”完成该流程。

符合。如果您的应用程序支持 SAML 2.0,那么您可以将应用程序配置为自定义 SAML 2.0 应用程序。从 IAM Identity Center 控制台导航到应用程序窗格,选择配置新应用程序,然后选择自定义 SAML 2.0 应用程序。按说明配置该应用程序。您的应用程序现已配置完成,您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户,然后选择“分配访问权限”完成该流程。

否。IAM Identity Center 仅支持基于 SAML 2.0 的应用程序。

不支持。IAM Identity Center 仅支持通过网页浏览器单点登录业务应用程序。

其他

IAM Identity Center 将存储有关将哪些 AWS 账户和云应用程序分配给哪些用户和组,以及已针对 AWS 账户授予哪些访问权限的数据。IAM Identity Center 还将在单个 AWS 账户中创建并管理 IAM 角色,用于您为用户授予访问权限的每个权限集。

通过 IAM Identity Center,您可以跨所有身份源对您的所有用户启用基于标准的强身份验证功能。如果您使用支持的 SAML 2.0 IdP 作为自己的身份源,您可以启用提供商的多重身份验证功能。使用 IAM Identity Center 或 Active Directory 作为身份源时,IAM Identity Center 支持 Web 身份验证规范以帮助您使用已启用 FIDO 的安全密钥(如 YubiKey)以及内置生物特征身份验证器(如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别)来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序(如 Google Authenticator 或 Twilio Authy)启用一次性密码(TOTP)。

您还可以将现有的远程身份验证拨入用户服务(RADIUS)MFA 配置用于 IAM Identity Center 和 AWS Directory Services,以作为辅助验证形式对用户进行身份验证。要了解有关通过 IAM Identity Center 配置 MFA 的更多信息,请访问 IAM Identity Center 用户指南

符合。对于 IAM Identity Center 身份存储和 Active Directory 中的用户身份,IAM Identity Center 支持 Web 身份验证(WebAuthn)规范以帮助您使用已启用 FIDO 的安全密钥(如 YubiKey)以及内置生物特征身份验证器(如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别)来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序(如 Google Authenticator 或 Twilio Authy)启用一次性密码(TOTP)。

员工可以通过访问您在 IAM Identity Center 配置身份源时生成的访问门户开始使用 IAM Identity Center。如果您在 IAM Identity Center 中管理用户,您的员工可以使用他们在 IAM Identity Center 中配置的电子邮件地址和密码登录用户门户。如果将 IAM Identity Center 连接到 Microsoft Active Directory 或 SAML 2.0 身份提供程序,您的员工可以使用现有公司凭证登录用户门户,然后查看分配给他们的账户和应用程序。要访问账户或应用程序,员工要从 IAM Identity Center 用户门户中选择相关图标。

符合。IAM Identity Center 提供账户分配 API,可以帮助您在多账户环境中自动进行权限管理,并能够以编程方式检索权限来进行审计与监管。