通过 AWS IAM Identity Center(AWS Single Sign-On 的后继者)可以轻松地集中管理对多个 AWS 账户和业务应用程序的访问。它可向您的工作人员提供从一个位置对所有指定帐户和应用程序进行单点登录的访问权限。利用 IAM Identity Center,您可以在 AWS Organizations 中轻松地管理对您的所有账户的集中访问和用户权限。IAM Identity Center 会自动配置和维护您账户中的所有必要权限,因此无需在单个账户中进行任何额外设置。您可以根据常见工作职责分配用户权限,并自定义这些权限以满足特定的安全要求。IAM Identity Center 还包括与 AWS 应用程序(例如,Amazon SageMaker Studio、AWS Systems Manager Change Manager 和 AWS IoT SiteWise)以及多种业务应用程序(例如,Salesforce、Box 和 Microsoft 365)的内置集成。

您可以在 IAM Identity Center 的身份存储中创建和管理用户身份,或轻松连接至您现有的身份源,包括 Microsoft Active Directory、Okta、Ping Identity、JumpCloud 和 Azure Active Directory (Azure AD)。IAM Identity Center 允许您从身份源选择用户属性,例如成本中心、职位或区域,然后利用它们在 AWS 中进行基于属性的访问控制 (ABAC)。

IAM Identity Center 非常容易上手。只需在 IAM Identity Center 管理控制台中单击几次,就可以连接到现有的身份源。从这里,您可以配置权限以授权用户访问其在 AWS Organizations 中的指定账户以及数百种预配置的云应用程序,全都从单个用户端口进行。

集中身份管理

在 IAM Identity Center 中创建和管理用户

默认情况下 IAM Identity Center 可为您提供身份源,供您用来创建用户并在 IAM Identity Center 内对其进行分组。您可以通过配置用户电子邮件地址和名称在 IAM Identity Center 中创建用户。创建用户时,默认情况下 IAM Identity Center 会向用户发送电子邮件,以便用户可以设置自己的密码。在数分钟内,您即可向用户和组授予所有 AWS 账户以及许多业务应用程序中 AWS 资源的访问权限。您的用户使用在 IAM Identity Center 中配置的凭证登录用户门户,以在一个位置即可访问其分配的所有账户和应用程序。

从基于标准的身份提供商连接和自动预置用户

您可以通过安全性声明标记语言 (SAML) 2.0 将 IAM Identity Center 连接到 Okta Universal Directory、Azure AD 或其他受支持的身份提供者(IdP),以便您的用户可以使用其现有凭证登录。此外,IAM Identity Center 还支持跨域身份管理系统 (SCIM) 对用户预置进行自动化。您可以在 IdP 中管理用户,让他们快速进入 AWS 中,并集中管理他们对所有 AWS 账户和业务应用程序的访问权。IAM Identity Center 还允许您从自己的 Okta Universal Directory 选择多种用户属性,例如成本中心、职位或区域,然后将它们用于 ABAC 以简化和集中处理访问管理工作。

连接 Microsoft Active Directory

借助 IAM Identity Center,您可以使用 Microsoft Active Directory 域服务 (AD DS) 中的现有企业身份管理对账户和应用程序的单点登录访问权限。IAM Identity Center 可通过 AWS Directory Service 与 AD DS 连接,而且只需将用户添加到相应的 AD 组即可授予用户对账户和应用程序的访问权限。例如,您可以为使用某个应用程序的一组开发人员创建组,并授予该组对该应用程序的 AWS 账户的访问权限。新开发人员加入该团队时,如果您将他们添加到 AD 组,他们将被自动授予对该应用程序内所有 AWS 账户的访问权限。IAM Identity Center 还允许您从自己的 AD 选择多种用户属性,例如成本中心、职位或区域,然后将它们用于 ABAC 以简化和集中处理访问管理工作。

多重验证

IAM Identity Center 允许您对自己的所有用户实施 MFA,包括对用户在登录期间设置 MFA 设备的要求。通过 IAM Identity Center,您可以跨所有身份源对您的所有用户使用基于标准的强身份验证功能。如果您使用可支持的 SAML 2.0 IdP 作为自己的身份源,您可以启用提供商的多重身份验证(MFA)功能。使用 Active Directory 或 IAM Identity Center 作为身份源时,IAM Identity Center 支持 Web 身份验证规范以帮助您使用已启用 FIDO 的安全密钥(如 YubiKey)以及内置生物特征身份验证器(如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别)来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序(如 Google Authenticator 或 Twilio Authy)启用基于时间的一次性密码(TOTP)。

精细权限和分配

多账户权限

IAM Identity Center 在 AWS Identity and Access Management (IAM) 角色和策略基础上构建,用于帮助您在 AWS 组织中的所有 AWS 账户之间集中管理访问权限。IAM Identity Center 使用权限集,它是一种或多种 IAM 策略的集合。然后,您可以分配权限集以定义用户/组的访问权限。根据这些分配方案,服务创建由 IAM Identity Center 控制的 IAM 角色,并将在权限集中指定的策略附加到每个指定账户内的这些角色。无需在单个账户中进行额外的配置。

应用程序分配

在 IAM Identity Center 控制台内,通过应用程序分配来提供对多种 SAML 2.0 业务应用程序的单点登录访问权限,包括 Salesforce、Box 和 Microsoft 365。您可以按 IAM Identity Center 内的分步说明轻松配置对这些应用程序的单点登录访问权限。它将指导您完成输入必要 URL、证书和元数据的过程。有关预先集成 IAM Identity Center 的业务应用程序的完整列表,请参阅“IAM Identity Center 云应用程序”。

基于属性的访问控制

IAM Identity Center 让您能够根据 IAM Identity Center 身份存储中定义的用户属性轻松地创建和使用精细的工作人员权限。IAM Identity Center 允许您选择多种属性,例如成本中心、职位或区域,然后将它们用于基于属性的访问控制 (ABAC) 以简化和集中处理访问管理工作。您可以一次性为整个 AWS 组织定义权限,然后您只需更改身份源中的属性即可授予、撤消或修改 AWS 访问权限。

了解与 ABAC 有关的更多信息 »

管理和治理功能

来自成员账户的委派管理

IAM Identity Center 支持从 AWS Organizations 委派管理员账户对您企业中的所有成员账户进行集中管理和 API 访问。这意味着您可以在您的组织中指定一个账户,用于集中管理所有成员账户。通过委派管理,您可以减少使用管理账户的需要,从而遵循推荐的实践

支持安全标准和合规性认证

IAM Identity Center 支持多种安全标准和合规性要求,包括对支付卡行业 - 数据安全标准 (PCI DSS)、国际标准化组织 (ISO)、系统和组织控制 (SOC) 1、2 和 3、Esquema Nacional de Seguridad (ENS) High、金融市场监管局 (FINMA) 鉴证业务 (ISAE) 3000 第 2 类报告国际准则要求和多层云安全 (MTCS) 的支持。该服务通过了信息安全注册评估师计划 (IRAP) 评估并被接受为受保护级别。

与 AWS Organizations 集成

IAM Identity Center 需要与 AWS Organizations 集成,以使您能够从组织中选择一个或多个账户,并授予用户对这些账户的访问权限。只需单击几次,就可以开始使用 IAM Identity Center 并授予工作人员对应用程序或团队使用的所有 AWS 账户的访问权限。

支持 SAML 的应用程序配置向导

使用 IAM Identity Center 应用程序分配配置向导,您可以创建与支持 SAML 2.0 的应用程序的单点登录集成。该应用程序分配配置向导可以帮助您选择并格式化要发送到应用程序的信息,以启用单点登录访问。例如,您可以为用户名创建 SAML 属性并根据 AD 配置文件中的用户电子邮件地址指定该属性的格式。

跨应用程序和 AWS 账户审计访问事件

所有管理和多账户访问活动均记录在 AWS CloudTrail 中,使您可以集中审核 IAM Identity Center 活动。通过 CloudTrail,您可以查看登录尝试、应用程序分配和目录集成更改等活动。例如,您可以查看用户在给定时期内访问的应用程序,或者用户被授予对特定应用程序的访问权限的具体时间。

了解关于 AWS IAM Identity Center 的更多信息

访问常见问题页面
准备好开始使用了吗?
注册
还有更多问题?
联系我们