AWS IAM Identity Center 功能

通过 AWS IAM Identity Center 可以轻松地集中管理对多个 AWS 账户和业务应用程序的访问。它可向您的工作人员提供从一个位置对所有指定帐户和应用程序进行单点登录的访问权限。利用 IAM Identity Center，您可以在 AWS Organizations 中轻松地管理对您的所有账户的集中访问和用户权限。IAM Identity Center 会自动配置和维护您账户中的所有必要权限，因此无需在单个账户中进行任何额外设置。您可以根据常见工作职责分配用户权限，并自定义这些权限以满足特定的安全要求。IAM Identity Center 还包括与 AWS 应用程序（例如 AWS 分析服务、Amazon SageMaker Studio、AWS Systems Manager Change Manager）和许多业务应用程序（如 Salesforce、Box 和 Microsoft 365）的内置集成。

您可以在 IAM Identity Center 的身份存储中创建和管理用户身份，或轻松连接至您现有的身份源，包括 Microsoft Active Directory、Okta、Ping Identity、JumpCloud 和 Microsoft Entra ID（以前称为 Azure AD）。IAM Identity Center 允许您从身份源选择用户属性，例如成本中心、职位或区域，然后利用它们在 AWS 中进行基于属性的访问控制（ABAC）。

IAM Identity Center 非常容易上手。只需在 IAM Identity Center 管理控制台中单击几次，就可以连接到现有的身份源。从这里，您可以配置权限以授权用户访问其在 AWS Organizations 中的指定账户以及数百种预配置的云应用程序，全都从单个用户端口进行。

集中身份管理

在 IAM Identity Center 中创建和管理用户

默认情况下 IAM Identity Center 可为您提供身份源，供您用来创建用户并在 IAM Identity Center 内对其进行分组。您可以通过配置用户电子邮件地址和名称在 IAM Identity Center 中创建用户。创建用户时，默认情况下 IAM Identity Center 会向用户发送电子邮件，以便用户可以设置自己的密码。在数分钟内，您即可向用户和组授予所有 AWS 账户以及许多业务应用程序中 AWS 资源的访问权限。您的用户使用在 IAM Identity Center 中配置的凭证登录用户门户，以在一个位置即可访问其分配的所有账户和应用程序。

从基于标准的身份提供程序连接和自动预置用户

您可以通过安全断言标记语言（SAML）2.0 将 IAM Identity Center 连接到 Okta Universal Directory、Microsoft Entra ID 或其他受支持的身份提供者（IdP），以便您的用户可以使用其现有凭证登录。此外，IAM Identity Center 还支持跨域身份管理系统（SCIM）对用户预置进行自动化。您可以在 IdP 中管理用户，让他们快速进入 AWS 中，并集中管理他们对所有 AWS 账户和业务应用程序的访问权。IAM Identity Center 还允许您从自己的 Okta Universal Directory 选择多种用户属性，例如成本中心、职位或区域，然后将它们用于 ABAC 以简化和集中处理访问管理工作。

连接 Microsoft Active Directory

借助 IAM Identity Center，您可以使用 Microsoft Active Directory 域服务（AD DS）中的现有企业身份管理对账户和应用程序的单点登录访问权限。IAM Identity Center 可通过 AWS Directory Service 与 AD DS 连接，而且只需将用户添加到相应的 AD 组即可授予用户对账户和应用程序的访问权限。例如，您可以为使用某个应用程序的一组开发人员创建组，并授予该组对该应用程序的 AWS 账户的访问权限。新开发人员加入该团队时，如果您将他们添加到 AD 组，他们将被自动授予对该应用程序内所有 AWS 账户的访问权限。IAM Identity Center 还允许您从自己的 AD 选择多种用户属性，例如成本中心、职位或区域，然后将它们用于 ABAC 以简化和集中处理访问管理工作。

多重验证

IAM Identity Center 允许您对自己的所有用户实施 MFA，包括对用户在登录期间设置 MFA 设备的要求。通过 IAM Identity Center，您可以跨所有身份源对您的所有用户使用基于标准的强身份验证功能。如果您使用可支持的 SAML 2.0 IdP 作为自己的身份源，您可以启用提供商的多重身份验证（MFA）功能。使用 Active Directory 或 IAM Identity Center 作为身份源时，IAM Identity Center 支持 Web 身份验证规范以帮助您使用已启用 FIDO 的安全密钥（如 YubiKey）以及内置生物特征身份验证器（如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别）来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序（如 Google Authenticator 或 Twilio Authy）启用基于时间的一次性密码（TOTP）。

精细权限和分配

多账户权限

IAM Identity Center 在 AWS Identity and Access Management (IAM) 角色和策略基础上构建，用于帮助您在 AWS 组织中的所有 AWS 账户之间集中管理访问权限。IAM Identity Center 使用权限集，它是一种或多种 IAM 策略的集合。然后，您可以分配权限集以定义用户/组的访问权限。根据这些分配方案，服务创建由 IAM Identity Center 控制的 IAM 角色，并将在权限集中指定的策略附加到每个指定账户内的这些角色。无需在单个账户中进行额外的配置。

临时提升访问权限选项

IAM Identity Center 通过一系列合作伙伴集成选项提供临时提升访问权限。AWS 已证实，您可以使用 CyberArk Secure Cloud Access、Tenable Cloud Security 和 Okta Access Requests 来帮助处理一系列临时提升访问权限场景，包括需要完全可审计性的敏感操作、具有复杂授权和审计需求的多云环境，以及使用多个身份源和应用程序集成的组织。没有执行敏感操作（例如在生产环境中更改高价值资源的配置）的长期权限的员工用户可以申请访问权限、获得批准并在指定时间内执行操作。而且，您的审计员可以查看合作伙伴解决方案中的操作和批准日志。

应用程序分配

在 IAM Identity Center 控制台内，通过应用程序分配来提供对多种 SAML 2.0 业务应用程序的单点登录访问权限，包括 Salesforce、Box 和 Microsoft 365。您可以按 IAM Identity Center 内的分步说明轻松配置对这些应用程序的单点登录访问权限。它将指导您完成输入必要 URL、证书和元数据的过程。有关预先集成 IAM Identity Center 的业务应用程序的完整列表，请参阅 IAM Identity Center 云应用程序。

可信身份传播

可信身份传播建立在 OAuth 2.0 授权框架之上，该框架允许应用程序代表特定用户访问数据和其他资源，而无需共享该用户的凭证。IAM Identity Center 的这一功能简化了用户的数据访问管理、审计，并改善了分析用户在多个 AWS 分析应用程序中的登录体验。首先，应用程序的所有者、身份源和数据管理员将应用程序连接到服务，并开始管理基于用户和群组的访问权限。然后，资源管理员可以使用其身份源中的现有身份和群组成员资格，配置和管理应用程序内的数据资源访问权限。审计和安全团队可以跟踪每个用户对数据资源的访问权限。数据分析师可以利用熟悉的单点登录经验，在 AWS 分析服务（Amazon Redshift、Amazon Quicksight、Amazon S3、Amazon EMR 和 AWS LakeFormation）上无缝访问分配的数据。了解有关可信身份传播的更多信息。

基于属性的访问控制

IAM Identity Center 让您能够根据 IAM Identity Center 身份存储中定义的用户属性轻松地创建和使用精细的工作人员权限。IAM Identity Center 允许您选择多种属性，例如成本中心、职位或区域，然后将它们用于基于属性的访问控制 (ABAC) 以简化和集中处理访问管理工作。您可以一次性为整个 AWS 组织定义权限，然后您只需更改身份源中的属性即可授予、撤消或修改 AWS 访问权限。

了解与 ABAC 有关的更多信息 »

管理和治理功能

来自成员账户的委派管理

IAM Identity Center 支持从 AWS Organizations 委派管理员账户对您企业中的所有成员账户进行集中管理和 API 访问。这意味着您可以在您的组织中指定一个账户，用于集中管理所有成员账户。通过委派管理，您可以减少使用管理账户的需要，从而遵循推荐的实践。

支持安全标准和合规性认证

IAM Identity Center 支持多种安全标准和合规性要求，包括对支付卡行业 - 数据安全标准 (PCI DSS)、国际标准化组织 (ISO)、系统和组织控制 (SOC) 1、2 和 3、Esquema Nacional de Seguridad (ENS) High、金融市场监管局 (FINMA) 鉴证业务 (ISAE) 3000 第 2 类报告国际准则要求和多层云安全 (MTCS) 的支持。该服务仍接受信息安全注册评估师计划（IRAP）受保护级别评测。

部署的灵活性

IAM Identity Center 可以作为组织实例或账户实例进行部署。IAM Identity Center 的组织实例部署在 AWS Organizations 的管理账户中。这是对员工进行身份验证和授权的最佳做法和推荐方法。它是多账户生产环境中 AWS 账户和应用程序的单一中央访问控制点。IAM Identity Center 的账户实例是一种限定范围的部署，可由业务用户完成，目的是快速评估受支持的 AWS 应用程序（例如 Amazon Redshift）并将其提供给一小部分应用程序用户。组织实例的管理员可以通过服务控制策略（SCP，AWS Organizations 的一项功能）来控制企业用户创建账户实例的能力。

支持 SAML 的应用程序配置向导

使用 IAM Identity Center 应用程序分配配置向导，您可以创建与支持 SAML 2.0 的应用程序的单点登录集成。该应用程序分配配置向导可以帮助您选择并格式化要发送到应用程序的信息，以启用单点登录访问。例如，您可以为用户名创建 SAML 属性并根据 AD 配置文件中的用户电子邮件地址指定该属性的格式。

跨应用程序和 AWS 账户审计访问事件

所有管理和多账户访问活动均记录在 AWS CloudTrail 中，使您可以集中审核 IAM Identity Center 活动。通过 CloudTrail，您可以查看登录尝试、应用程序分配和目录集成更改等活动。例如，您可以查看用户在给定时期内访问的应用程序，或者用户被授予对特定应用程序的访问权限的具体时间。

后续步骤

Getting Started

了解如何开始使用 IAM

查看“入门”页面

Console

准备好开始构建？

开始使用 IAM

还有更多问题？

联系我们