- AWS Identity and Access Management (IAM)›
- IAM Identity Center›
- Domande frequenti
Domande frequenti sul Centro identità AWS IAM
Origini identità e supporto applicazioni
Devo migrare al centro identità IAM tutto in una volta o posso farlo gradualmente?
Dopo aver abilitato il Centro identità IAM, tutti i ruoli o gli utenti IAM esistenti continueranno a funzionare come previsto. Ciò significa che puoi completare la migrazione al Centro identità IAM con un approccio graduale senza interrompere l'accesso esistente ad AWS.
Come faccio a migrare i ruoli esistenti al centro identità IAM?
Il Centro identità IAM fornisce nuovi ruoli da utilizzare all'interno dei tuoi account AWS. Puoi collegare le stesse policy utilizzate con i ruoli IAM esistenti ai nuovi ruoli utilizzati con il Centro identità IAM.
Il centro identità IAM crea utenti e gruppi IAM nei miei account AWS?
Il Centro identità IAM non crea utenti e gruppi IAM. Dispone di un proprio archivio di identità creato appositamente per contenere le informazioni degli utenti. Quando si utilizza un provider di identità esterno, il Centro identità conserva una copia sincronizzata degli attributi utente e dell'appartenenza ai gruppi, ma nessun materiale di autenticazione come password o dispositivi MFA. Il tuo provider di identità esterno rimane la fonte di verità per le informazioni e gli attributi degli utenti.
È possibile automatizzare la sincronizzazione dell'identità nel centro identità IAM?
Sì. Se si utilizzano Okta Universal Directory, Microsoft Entra ID ( in precedenza Azure AD), OneLogin o PingFederate, è possibile avvalersi di SCIM per sincronizzare automaticamente le informazioni su utenti e gruppi dal proprio gestore dell'identità digitale al Centro identità IAM. Per saperne di più, consulta la Guida degli utenti del centro identità IAM.
Come si connette il centro identità IAM a Microsoft Active Directory?
È possibile connettere IAM Identity Center ad Active Directory (AD) on-premise o a un AWS Managed Microsoft AD Directory utilizzando il servizio di directory AWS. Per saperne di più, consulta la Guida per gli utenti del centro identità IAM.
Gestisco utenti e gruppi su Active Directory on-premise. Come posso usufruire di questi gruppi e utenti nel centro identità IAM?
Per collegare Active Directory in hosting on-premise a IAM Identity Center sono disponibili due opzioni: (1) utilizzare AD Connector oppure (2) utilizzare una relazione di trust di AWS Managed Microsoft AD. AD Connector connette semplicemente l'Active Directory in locale esistente a AWS. AD Connector è un gateway di directory in grado di reindirizzare le richieste di directory a una Microsoft Active Directory in locale senza memorizzare informazioni nella cache del cloud. Per connettere una directory on-premise utilizzando AD Connector, consulta la Guida all'amministrazione del servizio di directory AWS. AWS Managed Microsoft AD semplifica la configurazione e l’esecuzione di Microsoft Active Directory in AWS. Può essere utilizzato per configurare una relazione di trust di insieme di strutture tra la directory on-premise e AWS Managed Microsoft AD. Per configurare una relazione di trust, consulta la Guida all'amministrazione del servizio di directory AWS.
È possibile utilizzare i pool di utenti di Amazon Cognito come origine identità nel centro identità IAM?
Amazon Cognito è un servizio che aiuta a gestire le identità per le applicazioni orientate al cliente, e non un'origine identità supportata nel centro identità IAM. È possibile creare e gestire le identità della forza lavoro nel centro identità IAM o nell'origine identità esterna, tra cui Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (in precedenza Azure AD) o un altro gestore dell'identità digitale supportato.
Il centro identità IAM supporta la riga di comando del browser e le interfacce dei dispositivi mobili?
Sì, è possibile utilizzare IAM Identity Center per controllare l’accesso alla console di gestione AWS e CLI v2. IAM Identity Center consente agli utenti di accedere alla CLI e alla console di gestione AWS con autenticazione Single Sign-On. L'app della console mobile di AWS supporta anche IAM Identity Center. In questo modo potrai ottenere un'esperienza di accesso uniforme tra browser, dispositivi mobili e interfacce della linea di comando.
Quali applicazioni cloud è possibile connettere al centro identità IAM?
A IAM Identity Center è possibile connettere le seguenti applicazioni:
Applicazioni integrate nel centro identità IAM: le applicazioni integrate nel centro identità IAM come SageMaker Studio e IoT SiteWise utilizzano il centro per l'autenticazione e operano con le identità in esso presenti. Non è necessaria un'ulteriore configurazione per sincronizzare le identità in queste applicazioni o per configurare la federazione separatamente.
Applicazioni SAML preintegrate: IAM Identity Center è disponibile con applicazioni aziendali preintegrate di utilizzo comune. Un elenco completo è disponibile nella console IAM Identity Center.
Applicazioni SAML personalizzate: IAM Identity Center supporta le applicazioni che permettono la federazione delle identità utilizzando SAML 2.0. È possibile abilitare IAM Identity Center per supportare queste applicazioni utilizzando la procedura guidata personalizzata.
Accesso Single Sign-On agli account AWS
Quali account AWS è possibile collegare al centro identità IAM?
È possibile aggiungere al centro identità IAM qualsiasi account AWS gestito tramite AWS Organizations. Per gestire gli account Single Sign-On è necessario attivare tutte le funzionalità nell'organizzazione.
Come posso configurare Single Sign-On sugli account AWS in un'unità organizzativa all'interno della mia organizzazione?
Puoi scegliere gli account all'interno dell'organizzazione oppure filtrarli per unità organizzativa.
Cos'è la propagazione affidabile delle identità?
La propagazione affidabile delle identità si basa sull'OAuth 2.0 Authorization Framework, che consente alle applicazioni di accedere ai dati e ad altre risorse per conto di un utente specifico, senza condividerne le credenziali. Questa funzionalità del Centro identità IAM semplifica la gestione dell'accesso ai dati per gli utenti, il controllo e migliora l'esperienza di accesso per gli utenti di analisi su più applicazioni di analisi AWS.
Perché è consigliabile utilizzare la propagazione affidabile delle identità?
Gli amministratori delle risorse e dei database possono definire l'accesso alle proprie risorse a un livello granulare di appartenenza a utenti e gruppi. I revisori possono esaminare le azioni degli utenti su applicazioni di business intelligence e analisi dei dati interconnesse. Gli utenti delle applicazioni di business intelligence possono autenticarsi una sola volta per accedere alle origini dati AWS. La propagazione affidabile delle identità aiuta i clienti a soddisfare i requisiti per l'accesso con privilegi minimi ai dati nei flussi di lavoro di analisi che si estendono su più applicazioni e servizi AWS, come Amazon Redshift, Amazon S3, Amazon QuickSight, Amazon Athena e AWS LakeFormation.
Quali sono i casi d'uso generali per la propagazione affidabile delle identità?
L'uso principale della propagazione affidabile delle identità consiste nel consentire alle applicazioni di business intelligence (BI) di interrogare i servizi di analisi AWS, come Amazon Redshift o Amazon QuickSight, per i dati richiesti dagli utenti aziendali con un unico accesso utente tramite il provider di identità esistente del cliente, mantenendo al contempo la consapevolezza dell'identità dell'utente. La funzionalità supporta diversi tipi di applicazioni di BI di uso comune e utilizza diversi meccanismi per propagare l'identità dell'utente tra i servizi.
Come è possibile controllare le autorizzazioni degli utenti quando utilizzano il centro identità IAM per accedere al loro account?
Quando concedi l'accesso ai tuoi utenti, puoi limitare le loro autorizzazioni scegliendo un set di autorizzazioni. I set di autorizzazioni sono una serie di autorizzazioni che è possibile creare in IAM Identity Center, personalizzandole in base alle policy gestite da AWS per le funzioni lavorative o qualsiasi policy gestita da AWS. Le policy gestite da AWS per le funzioni lavorative sono progettate per allinearsi il più possibile alle funzioni lavorative comuni nel settore IT. Se necessario, puoi anche personalizzare completamente il set di autorizzazioni in modo da soddisfare i tuoi requisiti di sicurezza. IAM Identity Center applica automaticamente tali autorizzazioni agli account selezionati. Se modifichi i set di autorizzazioni, IAM Identity Center ti consente di applicare facilmente le modifiche ai relativi account. Quando gli utenti accedono agli account tramite il portale di accesso AWS, queste autorizzazioni limitano ciò che possono fare all'interno degli account. Puoi anche concedere più set di autorizzazioni ai tuoi utenti. Quando accedono all'account tramite il portale utente, possono scegliere il set di autorizzazioni di cui hanno bisogno per tale sessione.
Come posso automatizzare la gestione delle autorizzazioni su più account?
Il centro identità IAM fornisce il supporto per le API e AWS CloudFormation per automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recuperare programmaticamente le autorizzazioni per fini di verifica e governance.
Come si selezionano gli attributi utente da utilizzare per ABAC?
Per implementare ABAC, è possibile selezionare gli attributi dall'archiviazione delle identità del Centro identità IAM per gli utenti del Centro identità IAM e gli utenti sincronizzati da Microsoft AD o da gestori dell'identità digitale SAML 2.0 esterni, tra cui Okta Universal Directory, Microsoft Entra ID (in precedenza Azure AD), OneLogin o PingFederate. Quando si utilizza un gestore dell'identità digitale come origine identità, è possibile inviare gli attributi come parte di un'asserzione SAML 2.0.
Per quali account AWS è possibile ricevere le credenziali per l'AWS CLI?
È possibile ricevere le credenziali per l'AWS CLI per qualsiasi account AWS e autorizzazioni utente assegnate dall'amministratore del centro identità IAM. Le credenziali CLI possono essere utlizzate per l'accesso programmatico all’account AWS.
Per quanto tempo sono valide le credenziali per l'AWS CLI ricevute dal portale di accesso AWS?
Le credenziali per l'AWS CLI ricevute tramite il centro identità IAM sono valide per 60 minuti. Puoi ottenere una nuova serie di credenziali ogni qualvolta sia necessario.
Accesso Single Sign-On alle applicazioni aziendali
Come si configura il centro identità IAM sulle applicazioni aziendali, ad esempio Salesforce?
Dalla console del Centro identità IAM, accedi al riquadro delle applicazioni, scegli "Configura nuova applicazione", quindi scegli un'applicazione dall'elenco di applicazioni cloud che hanno il Centro identità IAM integrato. Segui le istruzioni visualizzate sullo schermo per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona Assign Access per completare la procedura.
La mia azienda utilizza applicazioni che non sono presenti nell'elenco delle applicazioni preintegrate con il centro identità IAM. Posso utilizzare comunque il Centro identità IAM?
Sì. Se l'applicazione supporta SAML 2.0, puoi configurarla come applicazione SAML 2.0 personalizzata. Dalla console IAM Identity Center, accedi al riquadro delle applicazioni, scegli "Configure new application" ("Configura nuova applicazione"), quindi scegli Custom SAML 2.0 application. Segui le istruzioni per configurare l'applicazione. L'applicazione è ora configurata e puoi assegnare l'accesso. Scegli i gruppi e utenti ai quali vuoi concedere l'accesso all'applicazione, quindi seleziona Assign Access per completare la procedura.
La mia applicazione supporta esclusivamente OpenID Connect (OIDC). Posso utilizzarla con IAM Identity Center?
Il centro identità IAM supporta solo applicazioni basate su SAML 2.0.
Il centro identità IAM supporta il Single Sign-On sulle applicazioni native per dispositivi mobili e desktop?
No. IAM Identity Center supporta il Single Sign-On sulle applicazioni aziendali solamente tramite browser web.
Varie
Quali dati vengono archiviati dal centro identità IAM per mio conto?
IAM Identity Center archivierà dati relativi agli account e alle applicazioni cloud di AWS che sono assegnati a determinati utenti e gruppi, oltre alle autorizzazioni che sono state concesse per accedere agli account AWS. IAM Identity Center creerà e gestirà inoltre i ruoli IAM nei singoli account AWS per ciascun set di autorizzazioni concesso per gli utenti.
Quali funzionalità di autenticazione a più fattori (MFA) si possono utilizzare con il centro identità IAM?
Con IAM Identity Center, è possibile abilitare le funzionalità di autenticazione avanzata basate su standard per tutti gli utenti in tutte le origini identità. Se si utilizza un gestore dell'identità digitale (IdP) SAML 2.0 supportato come origine identità, è possibile abilitare le funzionalità di autenticazione a più fattori del provider. Quando si utilizza IAM Identity Center o Active Directory come origine identità, IAM Identity Center supporta la specifica di autenticazione Web per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza che utilizzano FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare password valide per un solo accesso (TOTP) utilizzando app di autenticazione come Google Authenticator o Twilio Authy.
È inoltre possibile utilizzare la configurazione MFA Remote Authentication Dial-In User Service (RADIUS) esistente con IAM Identity Center e servizio di directory AWS per autenticare gli utenti come forma di verifica secondaria. Per ulteriori informazioni sulla configurazione dell'MFA con il centro identità IAM, consulta la Guida per gli utenti del centro identità IAM.
Il centro identità IAM supporta la specifica di autenticazione Web?
Sì. Per le identità utente nell'archiviazione delle identità di IAM Identity Center e Active Directory, IAM Identity Center supporta la specifica di autenticazione Web (WebAuthn) per contribuire a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza con FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. È inoltre possibile abilitare password valide per un solo accesso (TOTP) utilizzando app di autenticazione come Google Authenticator o Twilio Authy.
In che modo i miei dipendenti possono iniziare a utilizzare il centro identità IAM?
I dipendenti possono iniziare a utilizzare IAM Identity Center visitando il portale di accesso generato durante la configurazione della tua origine identità su IAM Identity Center. Se gestisci gli utenti su IAM Identity Center, i dipendenti possono utilizzare l'indirizzo e-mail e la password che hanno configurato con IAM Identity Center per effettuare l'accesso ad altri portali utenti. Connettendo il centro identità IAM a Microsoft Active Directory o ad un gestore dell'identità digitale SAML 2.0, i dipendenti possono accedere al portale utente con le credenziali aziendali esistenti e visualizzare quindi gli account e le applicazioni a loro assegnati. Per accedere a un account o a un'applicazione, i dipendenti devono scegliere l'icona associata dal portale di accesso.
Sono disponibili API per il centro identità IAM?
Sì. Il centro identità IAM fornisce API di assegnazione degli account per consentire di automatizzare la gestione delle autorizzazioni negli ambienti multi-account e recuperarle programmaticamente per fini di verifica e governance.