Veröffentlicht am: Nov 25, 2019
Mit AWS Identity and Access Management (IAM) konnten Sie bereits vorhandene Identitätsattribute Ihrer Mitarbeiter wie Kostenstelle und Abteilung aus Ihrem Verzeichnis verwenden, um differenzierte Berechtigungen in AWS zu erstellen. Ihre Administratoren können diese Mitarbeiterattribute in AWS verwenden, um eine attributbasierte Zugriffssteuerung für AWS-Ressourcen zu implementieren und die Berechtigungsverwaltung in größerem Maßstab zu vereinfachen.
Eine Möglichkeit, Ihren Mitarbeitern Zugriff auf AWS-Ressourcen zu gewähren, besteht im Identitätsverbund. Sie können einen standardkonformen Identitätsanbieter (IdP) verwenden, um den Verbundzugriff für die in Ihrem Unternehmensverzeichnis gespeicherten Mitarbeiteridentitäten zu verwalten. Kunden haben uns mitgeteilt, dass sie Identitätsattribute aus ihrem Verzeichnis verwenden möchten, um die Verwaltungs- und Endbenutzererfahrung für die Verwaltung des Zugriffs für Verbundbenutzer zu vereinfachen. Mit diesem Start können Ihre Administratoren Ihren IDP jetzt so konfigurieren, dass Mitarbeiterattribute in der AWS-Sitzung gesendet werden, wenn sich Mitarbeiter in AWS zusammenschließen. Wenn Sie diese Attribute in AWS als Tags verwenden, können Sie die Erstellung detaillierter Berechtigungen vereinfachen, sodass die Mitarbeiter nur mit passenden Tags auf die AWS-Ressourcen zugreifen können. Auf diese Weise können Sie die Anzahl der Berechtigungen reduzieren, die Sie zum Erstellen und Verwalten in Ihrem AWS-Konto benötigen. Wenn sich beispielsweise die Entwickler Bob von Team Red und Sally von Team Blue zu AWS zusammenschließen und dieselbe IAM-Rolle übernehmen, erhalten sie unterschiedliche Berechtigungen für Projektressourcen, die nur für ihr Team markiert sind. Dies liegt daran, dass der IdP das Teamnamenattribut in der AWS-Sitzung sendet, wenn sich Bob und Sally zu AWS zusammenschließen und die Berechtigungen der Rolle Zugriff auf Projektressourcen mit übereinstimmenden Teamnamen-Tags gewähren. Wenn Bob zu Team Blue wechselt und Sie seinen Teamnamen in Ihrem Verzeichnis aktualisieren, erhält Bob automatisch Zugriff auf die Projektressourcen von Team Blue, ohne dass Berechtigungsaktualisierungen in IAM erforderlich sind.
Die Partner von AWS Identity namens Ping Identity, OneLogin, Okta, Auth0, Forgerock, IBM und RSA haben die End-to-End-Erfahrung für diese neue Funktion mit ihren Identitätslösungen zertifiziert, und wir freuen uns auf weitere Partner, die diese Funktion zertifizieren. Bitte wenden Sie sich an Ihren standardkonformen Identitätsanbieter. Weitere Informationen zum Verbinden Ihrer Unternehmensidentitäten mit Berechtigungsregeln in AWS finden Sie unter Übergeben von Sitzungs-Tags in einer AWS-Sitzung.