AWS IAM Identity Center 通过单一身份上下文简化对 AWS 服务的调用
AWS IAM Identity Center 现在支持使用单一身份上下文来传播请求访问 AWS 服务的用户的身份,从而简化了应用程序开发人员的体验。
以前,想要让其应用程序能够使用可信身份传播功能的应用程序开发人员必须使用两个不同的 IAM 角色会话来调用 AWS 服务:一个用于根据用户来授权访问的服务,另一个用于仅记录用户身份以供审计的服务。在此版本中,应用程序开发人员可以使用 sts:identity_context 通过单个 IAM 角色会话调用任何 AWS 服务。在可信身份传播使用案例中配置应用程序时,AWS 服务会使用身份上下文来授权用户访问。如果 AWS 服务不是可信身份传播使用案例的一部分,则资源访问权限将继续由 IAM 角色授权。所有使用 CloudTrail 事件版本 1.09 及以上的 AWS 服务都会在其服务日志和 Amazon CloudTrail 日志的 OnBehalfOf 元素中记录 IAM Identity Center 的 userId。
借助 IAM Identity Center,您只需将现有的员工身份来源连接到 AWS 一次,即可获得 Amazon Q 等 AWS 应用程序提供的个性化体验。您还可以定义和审计对 Amazon Redshift 等 AWS 服务中的数据的用户感知访问权限,并从一个中心位置管理对多个 AWS 账户的访问权限。在此处了解有关 IAM Identity Center 身份信息增强角色会话的更多信息。推出 IAM Identity Center 的所有 AWS 区域均可免费使用该功能。