AWS Identity, Directory, and Access Services

管理 AWS 云中的身份验证、授权和管理操作。

AWS Identity, Directory, and Access Services 可帮助您管理 AWS 云中的身份验证、授权和管理操作。借助这些服务,您可以在 AWS 云旅程中随时随地安全地管理和审核对您的 AWS 账户和基础设施的访问。借助 AWS,您可以使用专门构建的 Identity, Directory, and Access Services 来帮助您轻松安全地将现有工作负载迁移到 AWS 云,并构建新的原生云应用程序。此外,您还可以灵活地使用现有的身份和目录,或者利用 AWS 托管服务。

为了帮助用户轻松安全地进行身份验证,AWS Identity, Directory, and Access Services 支持用户在 AWS 云中使用自带身份。例如,您可以利用社交身份提供商 (比如 Facebook 和 Amazon) 针对您自己的应用程序验证用户身份。您还可以让开发人员和 AWS 管理员能够使用其现有的企业凭证访问其 AWS 账户。AWS 使用精细访问策略和短期凭证来管理对 AWS 资源的权限,从而帮助您管理 AWS 账户中的授权。随着您扩展和添加更多 AWS 账户和资源,AWS 将使用各种服务来跨多个 AWS 账户管理 Single Sign-On (SSO) 访问、策略和管理,从而帮助您满足审核与合规性要求。借助 AWS,您可以快速安全地开始使用服务,并且随着时间的推移,当您在 AWS 云上进行扩展时,可以利用更丰富的功能。

 

re:Invent 2017: SID303:如何在 AWS 云之旅中使用 AWS Identity Services 取得成功。

优势

快速安全地开始

AWS Identity, Directory, and Access Services 可帮助您遵循最佳安全实践,以便您可以快速安全地开始使用 AWS 云。借助 AWS Identity and Access Management (IAM) 托管策略和点击式可视化编辑器,您可以基于数据库管理员、数据科学家和审核员等常见工作职能轻松创建 IAM 策略。您还可以扩展这些内置策略以满足特定的安全要求。例如,您可以复制内置的数据库管理员策略并将权限范围缩小为仅允许访问 Amazon DynamoDB

随着时间的推移利用丰富的功能

借助 AWS,随着时间的推移,当您的需求变得更加高级时,您可以利用更加丰富的功能。您可以创建精细访问策略,以满足严格的法规与合规性要求。您可以将对 AWS 服务和资源的权限缩小到 API 级别,并设置关于何时可以使用这些权限以及如何使用的条件。此外,通过与 AWS CloudTrailAWS CloudWatch 等 AWS 日志记录和监控服务集成,您还可以了解谁一直在访问您的哪些 AWS 资源。

在 AWS 云中安全地扩展

为了帮助您在添加更多 AWS 账户的同时安全地进行扩展,AWS Identity, Directory, and Access Services 支持您跨 AWS 账户管理访问和管理操作。借助 AWS Single Sign-On (SSO),您可以集中管理对多个 AWS 账户的访问。此外,借助 AWS Organizations,您可以创建账户组,然后应用服务控制策略来管理 AWS 账户中允许使用的 AWS 服务 API。例如,您可以创建用于开发和生产资源的不同账户组,然后将不同的服务控制策略应用到各个组。

使用案例

100x100_benefit_team-access

管理和保护用户对您的 AWS 资源和业务应用程序的访问。

管理和保护用户对您的 AWS 资源和业务应用程序的访问是安全与合规性策略的重要组成部分。借助 AWS Identity, Directory, and Access Services,您可以使用现有的企业身份来管理用户对您的 AWS 账户和业务应用程序的访问,并定义精细访问策略来管理对您的 AWS 资源的权限。您还可以对跨 AWS 账户使用 AWS 服务 API 进行控制,以满足安全与合规性策略。AWS Identity, Directory, and Access Services 还使您能够将权限扩展到用户在其 AWS 账户中运行的资源。例如,您可以确保授予由安全工程师触发的 AWS Lambda 函数的权限不超过授予该工程师的权限。

100x100_benefit_workflow2

管理和保护应用程序对您的 AWS 资源的访问。

要构建跨不同 AWS 服务和账户运行的分布式应用程序,您需要能够验证应用程序资源的身份和权限。借助 AWS Identity, Directory, and Access Services,您可以使用被称为角色的短期凭证安全地验证身份和管理资源权限。使用角色可帮助您采用最佳安全实践来授予最低访问权限,并使您能够管理针对在 Amazon EC2 实例和容器上运行的 AWS 服务和应用程序的精细权限。角色使您无需分配密码和 API 密钥或在源代码中硬编码凭证即可授予这些资源访问数据的权限。

100x100_benefit_credential

管理和保护对您自己应用程序的访问。

构建自定义解决方案来管理应用程序中的身份和身份验证非常复杂。借助 AWS Identity, Directory, and Access Services,您可以轻松地为应用程序添加注册和登录功能,并为您的应用程序用户创建可扩展的原生云目录。您还可以通过 SAML,使用户能够使用 Facebook 和 Amazon 等社交身份提供商提供的自带身份或使用其现有企业身份。为了帮助保护对应用程序用户账户的访问,AWS Identity, Directory, and Access Services 使您能够向应用程序添加 Multi-Factor Authentication (MFA)。启用 MFA 之后,用户必须先提供额外的验证因素,然后才能访问您的应用程序,比如通过 SMS 提供的六位数代码。

Identity, Directory, and Access Services


AWS Identity and Access Management (IAM) 使您能够管理对 AWS 服务和资源的访问。您可以创建 IAM 策略来管理 IAM 用户和组的、允许或拒绝访问 AWS 资源的权限。


AWS Organizations 可以实现针对多个 AWS 账户的基于策略的管理。借助 AWS Organizations,您可以创建账户组,然后将策略应用于这些组。


适用于 Microsoft Active Directory 的 AWS Directory Service 支持目录感知型工作负载和 AWS 资源在 AWS 云中使用托管的 Active Directory。


AWS Single Sign-On (SSO) 使您可以轻松地集中管理对多个 AWS 账户和业务应用程序的 SSO 访问。用户可以使用其企业凭证登录用户门户,并从一个地方访问其账户和应用程序。


借助 Amazon Cognito,您可以轻松为移动和 Web 应用程序添加用户注册和登录功能。您还可以通过 SAML,使用 Facebook 和 Amazon 等社交身份提供商或企业身份提供商对用户进行身份验证。


Amazon Cloud Directory 使您能够构建灵活的原生云目录,以便沿多个维度组织数据层次结构。您可以为各种使用案例 (比如组织结构图、课程目录和设备注册表等) 创建目录。

网络研讨会

使用 AWS Identity and Access Management (IAM) 角色的最佳实践
AWS SAML 联合
使用 AWS IAM 和 AWS Organizations 成为 AWS 策略忍者
AWS Organizations – 企业级账户管理
如何集成 AWS Directory Service 与 Office 365
深入了解 Amazon Cognito 的用户注册和登录功能

通过 AWS 网络研讨会随时了解最新信息。

主要功能

使用现有的企业凭证。

借助 AWS,您可以使用现有的企业凭证来管理用户对 AWS 资源和业务应用程序的访问。AWS Identity and Access Management (IAM) 使用SAML 2.0 (安全断言标记语言 2.0) 与您的本地 Microsoft Active Directory (AD) 集成,使您能够通过 Single Sign-On (SSO),使用您的 AD 凭证来访问您的 AWS 账户。为了帮助您在采用更多 AWS 账户的同时在 AWS 云中进行扩展,您可以使用 AWS Single Sign-On (SSO) 来集中管理对多个 AWS 账户和业务应用程序的 SSO 访问。借助 AWS Directory Service,您可以使用 AD 林信任 或 AD Connector 将本地 AD 扩展到 AWS 云。然后,您可以使用现有的 AD 用户和群组来管理对 AWS 账户和 AD 感知型工作负载的访问,比如 Amazon RDS for SQL ServerAmazon EC2 for Windows ServerAmazon WorkSpaces

安全地管理自己应用程序中的身份和访问。

借助 Amazon Cognito,您可以使用多个外部身份选项来管理对自己应用程序的访问。您可以通过 SAML,使用户能够使用 Facebook 和 Amazon 等社交身份提供商企业身份提供商来注册和登录您的应用程序。您还可以使用 Amazon Cognito 用户池在可扩展的原生云目录中管理您的应用程序用户。

借助 Multi-factor Authentication 实现安全访问。

借助 Multi-factor Authentication (MFA) 实现对 AWS 资源和应用程序的安全访问。借助 AWS Identity and Access Management (IAM),您可以针对访问您 AWS 账户的操作启用 MFA。您还可以使用适用于 Microsoft Active Directory 的 AWS Directory Service 来针对 AD 感知型应用程序启用基于 RADIUS (远程认证拨号用户服务) 的 MFA。此外,您还可以借助 Amazon Cognito 为自己的应用程序添加 MFA

创建精细访问策略。

AWS Identity, Directory, and Access Services 可帮助您在 AWS 云中安全地管理访问。通过使用 AWS Identity and Access Management (IAM),您可以为您的 AWS 资源设置精细访问策略。例如,您可以创建一项策略来定义一组 IAM 用户在什么条件下有权使用哪些特定的 AWS 服务 API。

使用短期凭证管理访问。

借助 AWS IAM 角色,您可以使用短期凭证来管理对 AWS 资源的访问。IAM 角色使您无需分配密码或 API 密钥即可授予对 AWS 账户资源的访问权限。例如,您可以向 AWS Lambda 函数分配 IAM 角色,以授予其代表您将日志写入 AWS CloudWatch 的权限。或者,您可以使用适用于 Amazon EC2 的 IAM 角色来授予您的应用程序在 EC2 上运行的权限,以访问 Amazon RDS 数据库。

托管目录服务。

AWS 提供了多种目录服务选项来支持不同类型的应用程序。对于需要 Microsoft AD 的应用程序,您可以使用适用于 Microsoft Active Directory 的 AWS Directory Service (也称为 AWS 托管 Microsoft AD) 并利用托管 AD 服务。如果 AWS 托管 Microsoft AD 无法满足您的要求,您可以在 Amazon EC2 上部署自己的 AD。您还可以使用 Amazon Cognito 用户池为自己的应用程序构建原生云用户目录。或者,您可以借助 Amazon Cloud Directory 创建可扩展目录来管理复杂的数据层次结构,比如组织结构图、课程目录和设备注册表。

开始使用 AWS

icon1

注册 AWS 账户

立即享受 AWS 免费套餐
icon2

通过 10 分钟教程来进行学习

通过 简单教程来进行探讨和学习。
icon3

开始使用 AWS 进行构建

开始使用分步指南进行构建来帮助您启动 AWS 项目

开始使用 AWS

注册
还有更多问题?
联系我们