AWS IAM Identity Center 常见问题

Page Topics

身份源和应用程序支持
9
单点登录访问 AWS 账户
10
单点登录访问业务应用程序
4
其他
5

身份源和应用程序支持

启用 IAM Identity Center 后,您拥有的任何现有 IAM 角色或用户仍将继续按原样运行。这意味着您可以分阶段迁移到 IAM Identity Center,而不会中断对 AWS 的现有访问权限。

IAM Identity Center 会为您的 AWS 账户配置新角色以供使用。您可以将与现有 IAM 角色相同的策略附加到用于 IAM Identity Center 的新角色。

IAM Identity Center 不会创建 IAM 用户和群组。它有自己的专用身份存储来保存用户信息。使用外部身份提供商时,Identity Center 会保存用户属性和群组成员资格的同步副本,但不会保存密码或 MFA 设备等身份验证材料。您的外部身份提供商仍然是用户信息和属性的真实来源。

可以。如果您使用 Okta Universal Directory、Microsoft Entra ID(之前称为 Azure AD)、OneLogin 或 PingFederate,则可以使用 SCIM 自动将用户和组信息从 IdP 同步到 IAM Identity Center。请参阅 IAM Identity Center 用户指南了解更多信息。

您可以使用 AWS Directory Service,将 IAM Identity Center 连接到本地 Active Directory(AD)或 AWS Managed Microsoft AD 目录。请参阅 IAM Identity Center 用户指南了解更多信息。

您可以通过两种方式将本地托管的 Active Directory 连接到 IAM Identity Center:(1)使用 AD Connector;或者(2)使用 AWS Managed Microsoft AD 信任关系。 AD Connector 可以直接将您的现有本地 Active Directory 连接到 AWS。AD Connector 是一个目录网关,可让您将目录请求重定向到本地 Microsoft Active Directory,而无需在云中缓存任何信息。要使用 AD Connector 连接本地目录,请参阅 AWS Directory Service 管理指南。 AWS Managed Microsoft AD 可让您轻松地在 AWS 中设置和运行 Microsoft Active Directory。您可以使用它在本地目录和 AWS Managed Microsoft AD 之间设置林信任关系。要设置信任关系,请参阅 AWS Directory Service 管理指南

Amazon Cognito 是可以帮助您为面向客户的应用程序管理身份的服务,并不是 IAM Identity Center 中受支持的身份源。您可以在 IAM Identity Center 中创建和管理用户身份,也可以在外部身份源中创建和管理用户身份,包括 Microsoft Active Directory、Okta Universal Directory、Microsoft Entra ID(之前称为 Azure AD)或另一个受支持的 IdP

是的,您可以使用 IAM Identity Center 控制对 AWS 管理控制台和 CLI v2 的访问。IAM Identity Center 可让您的用户通过单点登录体验访问 CLI 和 AWS 管理控制台。AWS 移动控制台应用程序还支持 IAM Identity Center,以便您可以在浏览器、移动界面和命令行界面中获得一致的登录体验。

您可以将以下应用程序连接到 IAM Identity Center:

集成 IAM Identity Center 的应用程序:集成 IAM Identity Center 的应用程序(例如 SageMaker StudioIoT SiteWise)使用 IAM Identity Center 进行身份验证,并使用您在 IAM Identity Center 中拥有的身份。不需要通过额外配置,即可将身份同步到这些应用程序或分别设置联合身份验证。

预集成 SAML 应用程序:IAM Identity Center 已与常用的业务应用程序预集成。有关完整列表,请参阅 IAM Identity Center 控制台。

自定义 SAML 应用程序:IAM Identity Center 支持允许使用 SAML 2.0 进行身份联合验证的应用程序。您可以使用自定义应用程序向导,让 IAM Identity Center 支持这些应用程序。

单点登录访问 AWS 账户

您可以将由 AWS Organizations 管理的所有 AWS 账户连接到 IAM Identity Center。您需要在组织中启用所有功能来管理您的账户单点登录。

您可以选择组织内的账户,也可以按 OU 筛选账户。

可信身份传播基于 OAuth 2.0 授权框架构建,该框架允许应用程序代表特定用户访问数据和其他资源,而无需共享该用户的凭证。IAM Identity Center 的这一功能简化了用户的数据访问管理、审计,并改善了分析用户在多个 AWS 分析应用程序中的登录体验。

资源和数据库管理员可以在精细的用户和组成员级别上定义对其资产的访问权限。审计员可以在互联的商业智能和数据分析应用程序中审查用户的行为。商业智能应用程序的用户只需进行一次身份验证即可访问 AWS 数据来源。可信身份传播可帮助客户满足跨多个应用程序和 AWS 服务(例如 Amazon Redshift、Amazon S3、Amazon Quicksight、Amazon Athena 和 AWS LakeFormation)的分析工作流中对数据的最低权限访问要求。 

可信身份传播的主要用途是使商业智能(BI)应用程序能够查询 AWS 分析服务,例如 Amazon Redshift 或 Amazon Quicksight,以获取企业用户通过客户现有的身份提供商进行单一用户登录所需的数据,同时保持对用户身份的意识。该功能支持不同类型的常用 BI 应用程序,并使用不同的机制在服务之间传播用户的身份。

授予用户访问权限时,您可以通过选择权限集来限制用户的权限。权限集是可在 IAM Identity Center 中创建的权限的集合,您可以根据 AWS 工作职能托管策略或其他任何 AWS 托管策略对该集合进行建模。AWS 工作职能托管策略旨在紧密贴合 IT 行业的常见工作职能。如果需要,您还可以完全定制该权限集来满足安全要求。IAM Identity Center 会自动将这些权限应用于所选的账户。更改权限集时,IAM Identity Center 可使您轻松将更改应用到相关账户。当用户通过 AWS 访问门户访问账户时,这些权限会限制他们可在这些账户中执行的操作。您还可以授予用户多个权限集。他们可以在通过用户门户访问账户时选择要为该会话提供的权限集。

IAM Identity Center 提供 APIAWS CloudFormation 支持,可以在多账户环境中自动进行权限管理,并能够以编程方式检索权限来进行审计与监管。

为了实施 ABAC,您可以从 IAM Identity Center 的身份存储中为 IAM Identity Center 用户以及从 Microsoft AD 或外部 SAML 2.0 IdP(包括 Okta Universal Directory、Microsoft Entra ID(之前称为 Azure AD)、OneLogin 或 PingFederate)同步的用户选择要使用的属性。使用 IdP 作为身份源时,您可以选择性发送属性作为 SAML 2.0 断言的一部分。

您可以获取任何 AWS 账户的 AWS CLI 凭证,以及您的 IAM Identity Center 管理员分配给您的用户权限。您可以使用这些 CLI 凭证编程式访问 AWS 账户。

通过 IAM Identity Center 获取的 AWS CLI 凭证的有效期为 60 分钟。您可以根据需要随时获取新的凭证。

单点登录访问业务应用程序

从 IAM Identity Center 控制台导航到应用程序窗格,选择配置新应用程序,然后从与 IAM Identity Center 预集成的云应用程序列表中选择一个应用程序。按屏幕上的说明配置该应用程序。您的应用程序现已配置完成,您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户,然后选择“分配访问权限”完成该流程。

可以。如果您的应用程序支持 SAML 2.0,那么您可以将应用程序配置为自定义 SAML 2.0 应用程序。从 IAM Identity Center 控制台导航到应用程序窗格,选择配置新应用程序,然后选择自定义 SAML 2.0 应用程序。按说明配置该应用程序。您的应用程序现已配置完成,您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户,然后选择“分配访问权限”完成该流程。

否。IAM Identity Center 仅支持基于 SAML 2.0 的应用程序。

不支持。IAM Identity Center 仅支持通过网页浏览器单点登录业务应用程序。

其他

IAM Identity Center 将存储有关将哪些 AWS 账户和云应用程序分配给哪些用户和组,以及已针对 AWS 账户授予哪些访问权限的数据。IAM Identity Center 还将在单个 AWS 账户中创建并管理 IAM 角色,用于您为用户授予访问权限的每个权限集。

通过 IAM Identity Center,您可以跨所有身份源对您的所有用户启用基于标准的强身份验证功能。如果您使用支持的 SAML 2.0 IdP 作为自己的身份源,您可以启用提供商的多重身份验证功能。使用 IAM Identity Center 或 Active Directory 作为身份源时,IAM Identity Center 支持 Web 身份验证规范以帮助您使用已启用 FIDO 的安全密钥(如 YubiKey)以及内置生物特征身份验证器(如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别)来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序(如 Google Authenticator 或 Twilio Authy)启用一次性密码(TOTP)。

您还可以将现有的远程身份验证拨入用户服务(RADIUS)MFA 配置用于 IAM Identity Center 和 AWS Directory Services,以作为辅助验证形式对用户进行身份验证。要了解有关通过 IAM Identity Center 配置 MFA 的更多信息,请访问 IAM Identity Center 用户指南

可以。对于 IAM Identity Center 身份存储和 Active Directory 中的用户身份,IAM Identity Center 支持 Web 身份验证(WebAuthn)规范以帮助您使用已启用 FIDO 的安全密钥(如 YubiKey)以及内置生物特征身份验证器(如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别)来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序(如 Google Authenticator 或 Twilio Authy)启用一次性密码(TOTP)。

员工可以通过访问您在 IAM Identity Center 配置身份源时生成的访问门户开始使用 IAM Identity Center。如果您在 IAM Identity Center 中管理用户,您的员工可以使用他们在 IAM Identity Center 中配置的电子邮件地址和密码登录用户门户。如果将 IAM Identity Center 连接到 Microsoft Active Directory 或 SAML 2.0 身份提供程序,您的员工可以使用现有公司凭证登录用户门户,然后查看分配给他们的账户和应用程序。要访问账户或应用程序,员工要从 IAM Identity Center 用户门户中选择相关图标。

可以。IAM Identity Center 提供账户分配 API,可以帮助您在多账户环境中自动进行权限管理,并能够以编程方式检索权限来进行审计与监管。