发布于: Nov 25, 2019
今早,AWS Identity and Access Management (IAM) 使您能够使用员工现有的身份属性(例如,目录中的成本中心和部门)在 AWS 中创建精细权限。您的管理员可以在 AWS 中使用这些员工属性对 AWS 资源实施基于属性的访问控制,并大规模简化权限管理。
一种向员工授予对 AWS 资源的访问权限的方法是通过联合身份。您可以让符合标准的身份提供商 (IdP) 来管理对存储在公司目录中的员工身份的联合访问。客户告诉我们,他们希望利用其目录中的身份属性来简化管理和最终用户的体验,以管理联合用户的访问权限。通过此次发布,您的管理员现在可以将 IdP 配置为在员工联合进入 AWS 时在 AWS 会话中发送员工属性。将这些属性用作 AWS 中的标签,您可以简化精细权限的创建,使员工只能访问具有匹配标签的 AWS 资源。这有助于减少您需要在 AWS 账户中创建和管理的独特权限的数量。例如,当来自红队的开发人员 Bob 和来自蓝队的 Sally 联合进入 AWS 并担当相同的 IAM 角色时,他们只对为其团队标记的项目资源具有独特权限。这是因为,当 Bob 和 Sally 联合进入 AWS 时,IdP 会在 AWS 会话中发送团队名称属性,并且角色权限将授予对具有匹配团队名称标签的项目资源的访问权限。现在,如果 Bob 进入蓝队,而您在目录中更新了其团队名称,则 Bob 会自动获得蓝队项目资源的访问权限,而无需在 IAM 中更新权限。
AWS 身份合作伙伴 Ping Identity、OneLogin、Okta、Auth0、Forgerock、IBM 和 RSA 已通过其身份解决方案认证了此新功能的端到端体验,我们期待其他合作伙伴对此功能进行认证。请与您的符合标准的身份提供商联系以获取指导。 要了解有关如何将公司身份与 AWS 中的权限规则相关联的更多信息,请参阅在 AWS 会话中传递会话标签。