AWS IAM Identity Center 常见问题

问：什么是 AWS IAM Identity Center？

IAM Identity Center 建立在 AWS Identity and Access Management（IAM）的基础上，用于简化对多个 AWS 账户、AWS 应用程序和其他支持 SAML 的云应用程序的访问管理。在 IAM Identity Center 中，您可以为您的员工创建或连接用户以用于 AWS 中的各个服务。您可以选择仅管理对 AWS 账户或云应用程序的访问，或者同时管理对这两者的访问。您可以直接在 IAM Identity Center 创建用户，也可以从现有员工目录中获取用户。借助 IAM Identity Center，您可以获得统一的管理体验，从而定义、自定义和分配精细的访问权限。您的员工用户将获得一个用户门户，以访问他们分配到的 AWS 账户或云应用程序。

问：IAM Identity Center 能够提供什么好处？

使用 IAM Identity Center，您可以快速、轻松地分配并管理员工对多个 AWS 账户、支持 SAML 的云应用程序（如 Salesforce、Microsoft 365 和 Box），以及定制的内部应用程序的访问权限，所有这些操作均可通过一个集中位置来完成。员工可以通过使用现有凭证或您在 IAM Identity Center 中配置的凭证登录，来提高工作效率。他们可以使用统一的个性化用户门户。您可以从 AWS CloudTrail 集中监控并审核登录活动，从而更好地了解云应用程序的使用情况。

问：IAM Identity Center 可解决哪些问题？

IAM Identity Center 让您不必为每个 AWS 账户单独联合身份验证和管理权限，从而可降低管理的复杂性。它让您可以从统一的界面设置 AWS 应用程序，并从统一的位置分配对云应用程序的访问权限。
IAM Identity Center 还通过与 AWS CloudTrail 集成并为您提供一个中心位置来审核对 AWS 账户和支持 SAML 的云应用程序（例如 Microsoft 365、Salesforce 和 Box）的单点登录访问，从而帮助提高访问权限可见性。

问：为什么要使用 IAM Identity Center？

IAM Identity Center 是我们推荐的进入 AWS 的前门。建议您将它作为您管理员工用户的 AWS 访问权限的主要工具。它让您可以在首选身份源中管理身份，通过一次连接在 AWS 中多次使用，并让您可以定义精细的权限，并将这些权限配置一致地应用到各个账户。随着您拥有的账户数量的增加，IAM Identity Center 能够为您提供便利，让您可以在统一的位置管理用户对所有云应用程序的访问。

问：我可以使用 IAM Identity Center 做什么？

您可以使用 IAM Identity Center 快速、轻松地为员工分配对由 AWS Organizations 中的 AWS 账户、业务云应用程序（如 Salesforce、Microsoft 365 和 Box），以及支持安全断言标记语言（SAML）2.0 的自定义应用程序的访问权限。员工可以使用其现有的企业凭证或者他们在 IAM Identity Center 中配置的凭证登录，从单个用户门户访问业务应用程序。IAM Identity Center 还可让您使用 AWS CloudTrail 审核用户对云服务的访问权限。

问：谁应该使用 IAM Identity Center？

IAM Identity Center 适合以下管理员：他们负责管理多个 AWS 账户和业务应用程序；要集中管理用户对这些云服务的访问权限；以及要为员工提供单一位置来访问这些账户和应用程序，而且无需他们多记一个密码。

问：如何开始使用 IAM Identity Center？

您作为 IAM Identity Center 的新客户，可以：

1. 登录到 AWS 账户中管理账户的 AWS 管理控制台并导航到 IAM Identity Center 控制台。
2. 从 IAM Identity Center 控制台中选择用于存储用户和组身份的目录。IAM Identity Center 默认为您提供一个目录，您可以使用该目录来管理 IAM Identity Center 中的用户和组。您还可以通过在 IAM Identity Center 自动在账户中发现的托管 Microsoft AD 和 AD Connector 实例列表中进行点击，来更改目录以连接到 Microsoft AD 目录。如果要连接到 Microsoft AD 目录，请参阅 AWS Directory Service 入门。
3. 从 IAM Identity Center 填充的列表中选择 AWS 账户，然后从目录中选择用户或组并选择要授予的权限，即可为用户授予对组织内 AWS 账户的单点登录访问权限。
4. 通过以下方式为用户授予对业务云应用程序的访问权限：
   a.从 IAM Identity Center 支持的一系列预集成应用程序中选择一个应用程序。
   b.按配置说明配置该应用程序。
   c.选择应能访问该应用程序的用户或组。
5. 为您的用户提供配置目录时生成的 IAM Identity Center 登录 Web 地址，以便他们可以登录 IAM Identity Center 并访问账户和业务应用程序。

问：IAM Identity Center 如何收费？

IAM Identity Center 免费提供。

问：IAM Identity Center 在哪些区域可用？

请参阅 AWS 区域表，了解 IAM Identity Center 在各个区域的提供情况。

问：IAM Identity Center 可以使用哪些身份源？

利用 IAM Identity Center，您可以在 IAM Identity Center 的身份存储中创建和管理用户身份，或轻松连接至您现有的身份源，包括 Microsoft Active Directory、Okta Universal Directory、Microsoft Entra ID（之前称为 Azure AD）或另一个受支持的 IdP。请参阅 IAM Identity Center 用户指南了解更多信息。

问：我可以将多个身份源连接到 IAM Identity Center 吗？

不能。在任何给定的时间内，您只能将一个目录或一个 SAML 2.0 身份提供程序连接到 IAM Identity Center。但是，您可以将连接的身份源更改为另一个身份源。

问：IAM Identity Center 可以使用哪些 SAML 2.0 IdP？

可以将 IAM Identity Center 连接到大多数 SAML 2.0 IdP，例如 Okta Universal Directory 或 Microsoft Entra ID（之前称为 Azure AD）。请参阅 IAM Identity Center 用户指南了解更多信息。

问：启用 IAM Identity Center 是否会修改我现有的 IAM 角色、用户或策略？

不，IAM Identity Center 不会修改您 AWS 账户中的任何现有 IAM 角色、用户或策略。IAM Identity Center 创建了专门通过 IAM Identity Center 使用的新角色和策略。

问：如何将现有 IdP 中的身份预调配到 IAM Identity Center？

现有 IdP 中的身份必须在 IAM Identity Center 中进行预调配，然后您才能分配权限。您可以使用 System for Cross-domain Identity Management（SCIM）标准自动同步来自 Okta Universal Directory、Microsoft Entra ID（之前称为 Azure AD）、OneLogin 和 PingFederate 的用户和组信息。对于其他 IdP，您可以使用 IAM Identity Center 控制台预调配 IdP 中的用户。请参阅 IAM Identity Center 用户指南了解更多信息。

问：我是否必须一次性迁移到 IAM Identity Center，还是可以逐步迁移？

启用 IAM Identity Center 后，您拥有的任何现有 IAM 角色或用户仍将继续按原样运行。这意味着您可以分阶段迁移到 IAM Identity Center，而不会中断对 AWS 的现有访问权限。

问：如何将现有角色迁移到 IAM Identity Center？

IAM Identity Center 会为您的 AWS 账户配置新角色以供使用。您可以将与现有 IAM 角色相同的策略附加到用于 IAM Identity Center 的新角色。

问：IAM Identity Center 是否会在我的 AWS 账户中创建 IAM 用户和群组？

IAM Identity Center 不会创建 IAM 用户和群组。它有自己的专用身份存储来保存用户信息。使用外部身份提供商时，Identity Center 会保存用户属性和群组成员资格的同步副本，但不会保存密码或 MFA 设备等身份验证材料。您的外部身份提供商仍然是用户信息和属性的真实来源。

问：我可以自动将身份同步到 IAM Identity Center 吗？

可以。如果您使用 Okta Universal Directory、Microsoft Entra ID（之前称为 Azure AD）、OneLogin 或 PingFederate，则可以使用 SCIM 自动将用户和组信息从 IdP 同步到 IAM Identity Center。请参阅 IAM Identity Center 用户指南了解更多信息。

问：如何将 IAM Identity Center 连接到我的 Microsoft Active Directory？

您可以使用 AWS Directory Service，将 IAM Identity Center 连接到本地 Active Directory（AD）或 AWS Managed Microsoft AD 目录。请参阅 IAM Identity Center 用户指南了解更多信息。

问：我在本地管理 Active Directory 中的用户和组。我如何在 IAM Identity Center 中利用这些用户和组？

您可以通过两种方式将本地托管的 Active Directory 连接到 IAM Identity Center：（1）使用 AD Connector；或者（2）使用 AWS Managed Microsoft AD 信任关系。 AD Connector 可以直接将您的现有本地 Active Directory 连接到 AWS。AD Connector 是一个目录网关，可让您将目录请求重定向到本地 Microsoft Active Directory，而无需在云中缓存任何信息。要使用 AD Connector 连接本地目录，请参见 AWS Directory Service 管理指南。 AWS Managed Microsoft AD 可让您轻松地在 AWS 中设置和运行 Microsoft Active Directory。您可以使用它在本地目录和 AWS Managed Microsoft AD 之间设置林信任关系。要设置信任关系，请参见 AWS Directory Service 管理指南。

问：我是否可以将 Amazon Cognito 用户群体用作 IAM Identity Center 中的身份源？

Amazon Cognito 是一种可以帮助您为面向客户的应用程序管理身份的服务，并不是 IAM Identity Center 中受支持的身份源。您可以在 IAM Identity Center 或在外部身份源中创建和管理用户身份，包括 Microsoft Active Directory、Okta Universal Directory、Microsoft Entra ID（之前称为 Azure AD）或另一个受支持的 IdP。

问：IAM Identity Center 是否支持浏览器命令行和移动界面？

是的，您可以使用 IAM Identity Center 控制对 AWS 管理控制台和 CLI v2 的访问。IAM Identity Center 可让您的用户通过单点登录体验访问 CLI 和 AWS 管理控制台。AWS 移动控制台应用程序还支持 IAM Identity Center，以便您可以在浏览器、移动界面和命令行界面中获得一致的登录体验。

问：我可以将哪些云应用程序连接到 IAM Identity Center？

您可以将以下应用程序连接到 IAM Identity Center：

1. 集成 IAM Identity Center 应用程序：集成 IAM Identity Center 应用程序（例如 SageMaker Studio 和 IoT SiteWise）使用 IAM Identity Center 进行身份验证，并使用 IAM Identity Center 中拥有的身份。不需要通过额外配置，即可将身份同步到这些应用程序或分别设置联合身份验证。
2. 预集成 SAML 应用程序：IAM Identity Center 已与常用的业务应用程序预集成。有关完整列表，请参阅 IAM Identity Center 控制台。
3. 自定义 SAML 应用程序：IAM Identity Center 支持允许使用 SAML 2.0 进行身份联合验证的应用程序。您可以使用自定义应用程序向导，让 IAM Identity Center 支持这些应用程序。

问：我可以将哪些 AWS 账户连接到 IAM Identity Center？

您可以将由 AWS Organizations 管理的所有 AWS 账户连接到 IAM Identity Center。您需要在组织中启用所有功能来管理您的账户单点登录。

问：如何在组织内的组织部门（OU）中设置针对 AWS 账户的单点登录？

您可以选择组织内的账户，也可以按 OU 筛选账户。

问：什么是可信身份传播？

可信身份传播建立在 OAuth 2.0 授权框架之上，该框架允许应用程序代表特定用户访问数据和其他资源，而无需共享该用户的凭证。IAM Identity Center 的这一功能简化了用户的数据访问管理、审计，并改善了分析用户在多个 AWS 分析应用程序中的登录体验。

问：为什么要使用可信身份传播？

资源和数据库管理员可以在精细的用户和组成员级别上定义对其资产的访问权限。审计员可以在互联的商业智能和数据分析应用程序中审查用户的行为。商业智能应用程序的用户只需进行一次身份验证即可访问 AWS 数据来源。可信身份传播可帮助客户满足跨多个应用程序和 AWS 服务（例如 Amazon Redshift、Amazon S3、Amazon Quicksight、Amazon Athena 和 AWS LakeFormation）的分析工作流中对数据的最低权限访问要求。 

问：可信身份传播有哪些一般使用案例？

可信身份传播的主要用途是使商业智能（BI）应用程序能够查询 AWS 分析服务，例如 Amazon Redshift 或 Amazon Quicksight，以获取企业用户通过客户现有的身份提供商进行单一用户登录所需的数据，同时保持对用户身份的意识。该功能支持不同类型的常用 BI 应用程序，并使用不同的机制在服务之间传播用户的身份。

问：用户在使用 IAM Identity Center 访问他们的账户时，如何控制他们获得的权限？

授予用户访问权限时，您可以通过选择权限集来限制用户的权限。权限集是可在 IAM Identity Center 中创建的权限的集合，您可以根据 AWS 工作职能托管策略或其他任何 AWS 托管策略对该集合进行建模。AWS 工作职能托管策略旨在紧密贴合 IT 行业的常见工作职能。如果需要，您还可以完全定制该权限集来满足安全要求。IAM Identity Center 会自动将这些权限应用于所选的账户。更改权限集时，IAM Identity Center 可使您轻松将更改应用到相关账户。当用户通过 AWS 访问门户访问账户时，这些权限会限制他们可在这些账户中执行的操作。您还可以授予用户多个权限集。在通过用户门户访问账户时，他们可以选择要为该会话提供的权限集。

问：如何跨多个账户自动进行权限管理？

IAM Identity Center 提供 API 和 AWS CloudFormation 支持，可以在多账户环境中自动进行权限管理，并能够以编程方式检索权限来进行审计与监管。

问：我应如何选择将哪些用户属性用于 ABAC？

为了实施 ABAC，您可以从 IAM Identity Center 的身份存储中为 IAM Identity Center 用户以及从 Microsoft AD 或外部 SAML 2.0 IdP（包括 Okta Universal Directory、Microsoft Entra ID（之前称为 Azure AD）、OneLogin 或 PingFederate）同步的用户选择要使用的属性。使用 IdP 作为身份源时，您可以选择性发送属性作为 SAML 2.0 断言的一部分。

问：我可以获得哪些 AWS 账户的 AWS CLI 凭证？

您可以使用任何 AWS 账户获取 AWS CLI 凭证，以及您的 IAM Identity Center 管理员分配给您的用户权限。您可以使用这些 CLI 凭证编程式访问 AWS 账户。

问：来自 AWS 访问门户的 AWS CLI 凭证的有效期是多久？

通过 IAM Identity Center 获取的 AWS CLI 凭证的有效期为 60 分钟。您可以根据需要随时获取新的凭证。

问：如何针对 Salesforce 等业务应用程序设置 IAM Identity Center？

从 IAM Identity Center 控制台导航到应用程序窗格，选择配置新应用程序，然后从与 IAM Identity Center 预集成的云应用程序列表中选择一个应用程序。按屏幕上的说明配置该应用程序。您的应用程序现已配置完成，您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户，然后选择“分配访问权限”完成该流程。

问：我们公司使用的业务应用程序不在 IAM Identity Center 预集成的应用程序列表中。我是否还能使用 IAM Identity Center 吗？

是。如果您的应用程序支持 SAML 2.0，那么您可以将应用程序配置为自定义 SAML 2.0 应用程序。从 IAM Identity Center 控制台导航到应用程序窗格，选择配置新应用程序，然后选择自定义 SAML 2.0 应用程序。按说明配置该应用程序。您的应用程序现已配置完成，您可为其分配访问权限。选择您要为其提供应用程序访问权限的组或用户，然后选择“分配访问权限”完成该流程。

问：我的应用程序仅支持 OpenID Connect（OIDC）。我可以将它与 IAM Identity Center 一起使用吗？

不可以。IAM Identity Center 仅支持基于 SAML 2.0 的应用程序。

问：IAM Identity Center 是否支持对原生移动和桌面应用程序的单点登录？

不支持。IAM Identity Center 仅支持通过网页浏览器单点登录业务应用程序。

问：IAM Identity Center 将代表我存储哪些数据？

IAM Identity Center 将存储有关将哪些 AWS 账户和云应用程序分配给哪些用户和组，以及已针对 AWS 账户授予哪些访问权限的数据。IAM Identity Center 还将在单个 AWS 账户中创建并管理 IAM 角色，用于您为用户授予访问权限的每个权限集。

问：我可以将哪些多重身份验证（MFA）功能用于 IAM Identity Center？

通过 IAM Identity Center，您可以跨所有身份源对您的所有用户启用基于标准的强身份验证功能。如果您使用可支持的 SAML 2.0 IdP 作为自己的身份源，您可以启用提供商的多种身份验证功能。使用 IAM Identity Center 或 Active Directory 作为身份源时，IAM Identity Center 支持 Web 身份验证规范以帮助您使用已启用 FIDO 的安全密钥（如 YubiKey）以及内置生物特征身份验证器（如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别）来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序（如 Google Authenticator 或 Twilio Authy）启用一次性密码（TOTP）。

您还可以将现有的远程身份验证拨入用户服务（RADIUS）MFA 配置用于 IAM Identity Center 和 AWS Directory Services，以作为辅助验证形式对用户进行身份验证。要了解有关配置 IAM Identity Center 的 MFA 的更多信息，请访问 IAM Identity Center 用户指南。

问：IAM Identity Center 是否支持 Web 身份验证规范？

是。对于 IAM Identity Center 身份存储和 Active Directory 中的用户身份，IAM Identity Center 支持 Web 身份验证（WebAuthn）规范以帮助您使用已启用 FIDO 的安全密钥（如 YubiKey）以及内置生物特征身份验证器（如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别）来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序（如 Google Authenticator 或 Twilio Authy）启用一次性密码（TOTP）。

问：我的员工如何开始使用 IAM Identity Center？

员工可以通过访问您在 IAM Identity Center 配置身份源时生成的访问门户开始使用 IAM Identity Center。如果您在 IAM Identity Center 中管理用户，您的员工可以使用他们在 IAM Identity Center 中配置的电子邮件地址和密码登录用户门户。如果将 IAM Identity Center 连接到 Microsoft Active Directory 或 SAML 2.0 身份提供程序，您的员工可以使用现有公司凭证登录用户门户，然后查看分配给他们的账户和应用程序。要访问账户或应用程序，员工要从 IAM Identity Center 用户门户中选择相关图标。

问：IAM Identity Center 是否提供 API？

是。IAM Identity Center 提供账户分配 API，可以帮助您在多账户环境中自动进行权限管理，并能够以编程方式检索权限来进行审计与监管。