AWS Identity

安全管理针对工作负载和应用程序的访问权限

您可以使用 AWS Identity 服务安全地批量管理身份、资源和权限。对于在 AWS 上运行的应用程序,您可以在轻松部署的控制防护机制中使用精细访问控制为员工、应用程序和设备授予他们需要的 AWS 服务和资源访问权限。AWS Identity 服务可以让您灵活地选择在何处以及以何种方式管理员工、合作伙伴和客户身份,从而让您能自信地将现有工作负载迁移到 AWS。对于混合工作负载部署,AWS Identity 服务允许您跨本地环境和 AWS 建立单一身份和访问策略。对于面向客户的 Web 和移动应用程序,您可以使用 AWS Identity 服务快速为应用程序用户添加由可扩展云目录提供支持的注册和登录功能。

对于您的员工,AWS Identity 服务可以让您选择在何处管理员工的身份和凭据,并为您提供精细权限,以便您将正确的访问权限适时授予正确的人员。对于面向客户的应用程序,AWS Identity 服务可以让您的开发人员快速、轻松地为 Web 和移动应用程序添加用户注册、登录和访问控制,让开发人员有更多时间为客户构建出色的应用程序。借助 AWS,您可以获得所需的身份管理服务,以快速开始使用需要的功能,从而随着您的扩展安全地管理对工作负载和应用程序的访问。

在 AWS 中管理身份和权限 (1:32)

AWS Identity 服务在员工方面的运用

AWS 可以让您自由选择在何处管理员工的身份和凭据,并为您提供精细权限,以便您将正确的访问权限适时授予正确的人员。借助 AWS,您可以拥有针对多账户环境的灵活管理功能和易于使用的控制体系。AWS 会帮助您实施和履行最小权限访问原则以及分析工具,帮助识别所有 AWS 账户的未使用权限,以便您可以快速、安心地移除不必要的访问权限。

优势

自由选择身份源

AWS Identity 服务允许您的身份管理员直接在 AWS 中创建用户或连接到现有身份源。您的员工可以使用他们现有的凭据登录并在一个位置查看他们用于 AWS 账户和业务应用程序的所有指定角色。借助 AWS,您可以使用 AD 林信任或 AD Connector 将本地 Microsoft Active Directory (AD) 扩展到 AWS。  然后,您可以使用现有的 AD 用户和群组来管理对 AWS 账户和 AD 感知型工作负载的访问,比如 Amazon RDS for SQL Server、Amazon EC2 for Windows Server 和 Amazon WorkSpaces。

精细访问控制与分析

借助 AWS Identity 服务,您可以从 AWS 托管策略库(您可以借助它们创建自己的自定义托管策略)中选择权限,从而快速将正确的访问权限适时授予正确的人员。AWS 还支持使用基于属性的访问控制来定义和管理高度可自定义的精细用户权限。最后,AWS 可以帮助分析访问模式和识别所有 AWS 账户的未使用权限,让您可以快速、安心地移除不必要的访问权限,帮助您持续改善安全状况。

灵活管理和控制

AWS Identity 让您能够委派管理任务和自动化功能,例如账户创建,以轻松管理多账户的大型 AWS 环境。借助 AWS,您还可以一致地执行谁可以在何处创建何种资源类型的规则,从而能提升安全性并保持合规性。为了快速开始运行安全且可扩展的工作负载,您只需通过几次单击操作就能基于 AWS 最佳实践构建全新的多账户环境。 

员工身份服务

跨 AWS 账户和应用程序管理员工访问
AWS IAM Identity Center(AWS SSO 的后继者)

托管的 Microsoft Active Directory 

AWS Directory Service

安全地管理对 AWS 服务和资源的访问 

AWS Identity and Access Management (IAM)

用于分享 AWS 资源的简单而安全的服务 

AWS Resource Access Manager

集中控制与管理 AWS 账户 

AWS Organizations

控制新的安全多账户 AWS 环境

AWS Control Tower

AWS Identity 服务在面向客户的应用程序方面的运用

Amazon Cognito 可以帮助您为应用程序创建简单、安全、可扩展且基于标准的注册和登录客户体验。Amazon Cognito 可以让您的客户灵活地使用他们现有的身份提供商(社交或企业身份提供商)。您可以借助联合身份提供商的简单配置节省时间。借助 Amazon Cognito,您可以快速轻松地为 Web 和移动应用程序添加用户注册、登录和访问控制功能。您的应用程序将能够获得用户的唯一身份,并获得权限受限的临时 AWS 凭证来访问 AWS 服务。

Amazon Verified Permissions 是一项可扩展的精细权限管理和授权服务,用于自定义应用程序。该服务集中了自定义应用程序的精细权限,并允许开发人员在应用程序中授权用户操作。

优势

可扩展且易于使用

Amazon Cognito 提供一个可将用户规模扩展到数亿的安全用户目录。作为一项完全托管服务,它很容易设置,无需构建服务器基础设施。

借助内置用户界面以及联合身份提供商的简单配置,Amazon Cognito 可以帮助您在几分钟内为应用程序添加用户注册、登录和访问控制功能。您可以自定义用户界面,从在所有用户交互中凸显您的公司品牌。

请参阅如何快速将 Amazon Cognito 与您的应用程序集成

基于标准的社交和企业联合身份验证

借助 Amazon Cognito,您的应用程序用户可以通过 SAML 使用社交身份提供商(如 Google、Facebook 和 Amazon)以及企业身份提供商进行登录,无需创建和记忆其他密码。

Amazon Cognito 是基于标准的身份提供商,支持身份和访问管理标准,如 OAuth 2.0、SAML 2.0 和 OpenID Connect。

阅读有关联合的更多信息。

用于应用程序的安全且合规的身份验证

Amazon Cognito 支持多重验证功能以及静态和动态数据加密。Amazon Cognito 可以帮助您满足多种安全性与合规性要求,包括医疗保健公司和企业等受高度管制的组织的相关要求。

Amazon Cognito 符合 HIPAA 要求,并满足 PCI DSSSOCISO/IEC 27001ISO/IEC 27017ISO/IEC 27018ISO 9001 标准。

阅读更多有关安全性与合规性的信息。

Amazon Cognito 在面向客户的应用程序身份方面的运用

应用程序身份管理 

Amazon Cognito

用于自定义应用程序访问管理的 Amazon Verified Permissions

自定义应用程序的精细权限和授权

Amazon Verified Permissions
简化身份和访问管理以实现创新(43:04)
AWS IAM 的安全最佳实践(45:37)
采用 Vanguard 在 AWS 上建立数据边界(55:59)
从在 AWS 之外运行的工作负载访问 AWS 服务(43:41)
设计架构完善的身份和访问管理解决方案(36:59)
使用 AWS Managed Microsoft AD 部署和保护 Active Directory(44:31)

通过 AWS 在线技术讲座随时了解最新信息。

GE

“GE 使用 AWS Identity 服务支持其全球企业,使它们的业务能够在云中安全地运营。AWS Organizations 和服务控制策略 (SCP) 实施自上而下的治理,允许向每个业务部门委托基于身份和基于资源的策略管理。通过此模型,业务可以独立地移动并大规模运行,以应对今天的行业挑战。”

Matthew Green,GE 云架构高级总监

了解更多客户参考案例 »

AWS Identity 新增了哪些功能?
查看全部 >>
探索 AWS Identity 中的任务
了解更多 
想了解 AWS Identity 最新信息?
在 Twitter 上关注我们