AWS IAM Identity Center – Features

AWS IAM Identity Center erleichtert die zentrale Verwaltung des Zugriffs auf mehrere AWS-Konten und Geschäftsanwendungen. Es bietet Ihren Mitarbeitern einen Single-Sign-On-Zugriff auf alle zugewiesenen Konten und Anwendungen von einem einzigen Ort aus. Mit IAM Identity Center können Sie den zentralisierten Zugriff und Benutzerberechtigungen für alle Ihre Konten in AWS Organizations problemlos verwalten. IAM Identity Center konfiguriert und verwaltet alle benötigten Berechtigungen für Ihre Konten automatisch, ohne dass zusätzliche Einstellungen in den einzelnen Konten erforderlich sind. Sie können Benutzern Berechtigungen auf Basis häufiger Arbeitsfunktionen zuweisen und diese an Ihre speziellen Sicherheitsanforderungen anpassen. IAM Identity Center umfasst auch integrierte Integrationen in AWS-Anwendungen wie AWS Analytics Services, Amazon SageMaker Studio, AWS Systems Manager Change Manager sowie in viele Geschäftsanwendungen wie Salesforce, Box und Microsoft 365.

Sie können Benutzer erstellen und verwalten, die im Identitätsspeicher von IAM Identity Center gespeichert werden, und Verknüpfungen zu einer vorhandenen Identitätsquelle wie Microsoft Active Directory, Okta Ping Identity, JumpCloud, und Microsoft Entra ID (ehemals Azure AD) erstellen. IAM Identity Center ermöglicht Ihnen die Auswahl von Benutzerattributen, z. B. Kostenstelle, Titel oder Gebietsschema, aus der Identitätsquelle und dann deren Verwendung zur attributbasierten Zugriffssteuerung (ABAC) in AWS.

Die ersten Schritte in das IAM Identity Center sind ganz einfach. Mit nur wenigen Klicks in der Verwaltungskonsole des IAM Identity Center können Sie eine Verbindung zu Ihrer bestehenden Identitätsquelle herstellen. Von dort aus können Sie Berechtigungen konfigurieren, die Ihren Benutzern Zugriff auf die ihnen zugewiesenen Konten in AWS Organizations und Hunderte von vorkonfigurierten Cloud-Anwendungen gewähren, und das alles von einem einzigen Benutzerportal aus.

IAM Identity Center stellt Ihnen standardmäßig einen Identitätsspeicher zur Verfügung, den Sie verwenden können, um Benutzer zu erstellen und sie in Gruppen innerhalb von IAM Identity Center zu organisieren. Sie können Benutzer in IAM Identity Center erstellen, indem Sie ihre E-Mail-Adresse und ihren Namen konfigurieren. Wenn Sie einen Benutzer erstellen, sendet IAM Identity Center standardmäßig eine E-Mail an den Benutzer, damit Ihre Benutzer ihr eigenes Kennwort festlegen können. Innerhalb von Minuten können Sie Ihren Benutzern und Gruppen Berechtigungen für AWS-Ressourcen in all Ihren AWS-Konten soviel in vielen Geschäftsanwendungen bereitstellen. Ihre Benutzer melden sich mit den in IAM Identity Center konfigurierten Anmeldeinformationen in einem Benutzerportal an, um auf alle zugeordneten Konten und Anwendungen an einem zentralen Ort zuzugreifen.

Sie können das IAM Identity Center mit Okta Universal Directory, Microsoft Entra ID oder einem anderen unterstützten Identitätsanbieter (IdP) über Security Assertion Markup Language (SAML) 2.0 verbinden, damit sich Ihre Benutzer mit ihren bestehenden Anmeldedaten anmelden können. Darüber unterstützt IAM Identity Center auch System for Cross-domain Identity Management (SCIM – System für domänenübergreifendes Identitätsmanagement) zur Automatisierung der Benutzerbereitstellung. Sie können Ihre Benutzer in Ihrem IdP verwalten, diese schnell in AWS integrieren und den Zugriff auf alle AWS-Konten und -Geschäftsanwendungen zentral steuern. IAM Identity Center ermöglicht Ihnen auch die Auswahl von mehreren Benutzerattributen, z. B. Kostenstelle, Titel oder Gebietsschema aus Ihrem Okta Universal Directory und dann deren Verwendung zur attributbasierten Zugriffssteuerung für eine einfachere und zentrale Zugriffsverwaltung.

Mit IAM Identity Center können Sie Single-Sign-On-Zugriff auf Konten und Anwendungen unter Verwendung Ihrer in Microsoft Active Directory Domain Services (AD DS) vorhandenen Firmenidentitäten verwalten. IAM Identity Center wird über den AWS Directory Service mit AD DS verbunden. Daher können Sie Benutzern den Zugriff auf Konten und Anwendungen erteilen, indem Sie die Benutzer einfach den entsprechenden AD-Gruppen hinzufügen. Ein Beispiel: Sie können eine Gruppe für ein Entwicklerteam erstellen, das an einer Anwendung arbeitet, und dieser dann Zugriff auf die AWS-Konten für diese Anwendung erteilen. Wenn neue Entwickler dem Team beitreten und der AD-Gruppe hinzugefügt werden, erhalten sie dadurch automatisch Zugriff auf sämtliche AWS-Konten für diese Anwendung. IAM Identity Center ermöglicht Ihnen auch die Auswahl von mehreren Benutzerattributen, z. B. Kostenstelle, Titel oder Gebietsschema aus Ihrem AD und dann deren Verwendung zur attributbasierten Zugriffssteuerung für eine einfachere und zentrale Zugriffsverwaltung..

IAM Identity Center ermöglicht Ihnen die Durchsetzung von MFA für alle Ihre Benutzer, einschließlich der Anforderung, dass die Benutzer MFA-Geräte während der Anmeldung einrichten. Dank IAM Identity Center können Sie auf Standards basierte starke Authentifizierungsfunktionen für alle Ihre Benutzer übergreifend über alle Identitätsquellen nutzen. Wenn Sie einen unterstützten SAML-2.0-IdP als Identitätsquelle verwenden, können sie die Multi-Faktor-Authentifizierung (MFA) Ihres Anbieters aktivieren. Wenn Sie Active Directory oder IAM Identity Center als Identitätsquelle nutzen, unterstützt IAM Identity Center die Webauthentifizierungsspezifikation, um den Benutzerzugriff auf AWS-Konten und Geschäftsanwendungen mithilfe von FIDO-aktivierten Sicherheitsschlüsseln wie YubiKey und integrierten biometrischen Authentifikatoren wie Touch ID auf Apple MacBooks sowie Gesichtserkennung auf PCs zu sichern. Sie können mithilfe von Authenticator-Anwendungen wie Google Authenticator oder Twilio Authy auch zeitgesteuerte Einmalpasswörter (TOTP) aktivieren.

Identity Center baut auf AWS-Identity-and-Access-Management-Rollen und -Richtlinien (IAM) auf, um Sie bei der zentralen Zugriffsverwaltung übergreifend über alle AWS-Konten in Ihrer AWS-Organisation zu unterstützen. IAM Identity Center verwendet Berechtigungssätze, die Sammlungen von einer oder mehreren IAM-Richtlinien sind. Sie weisen dann Berechtigungen zu, um den Zugriff für Ihre Benutzer/Gruppen zu definieren. Auf der Grundlage dieser Zuweisungen erstellt der Service eine vom IAM Identity Center kontrollierte IAM-Rolle und fügt die im Berechtigungssatz angegebenen Richtlinien an diese Rollen in jedem zugewiesenen Konto an. Dazu sind keine zusätzlichen Einrichtungsschritte in den einzelnen Konten erforderlich.  

IAM Identity Center bietet temporären erweiterten Zugriff über eine Reihe von Optionen zur Partnerintegration. AWS hat bestätigt, dass Sie CyberArk Secure Cloud Access, Tenable Cloud Security und Okta Access Requests verwenden können, um eine Reihe von temporären Szenarien mit erhöhtem Zugriff zu bewältigen, darunter sensible Operationen, die vollständige Überprüfbarkeit erfordern, Multi-Cloud-Umgebungen mit komplexen Berechtigungen und Prüfanforderungen sowie Organisationen, die mehrere Identitätsquellen und Anwendungsintegrationen verwenden. Ihr Workforce-Benutzer, der nicht über die erforderlichen Berechtigungen verfügt, um sensible Vorgänge auszuführen, wie z. B. das Ändern der Konfiguration einer hochwertigen Ressource in einer Produktionsumgebung, kann Zugriff beantragen, Genehmigungen erhalten und den Vorgang während einer bestimmten Zeit ausführen. Außerdem können Ihre Auditoren in der Partnerlösung ein Protokoll der Aktionen und Genehmigungen einsehen.

Innerhalb der IAM-Identity-Center-Konsole können Sie mithilfe von Anwendungszuweisungen einen Single-Sign-On-Zugang zu vielen SAML-2.0-Unternehmensanwendungen, darunter Salesforce, Box und Microsoft 365, bereitstellen. Sie können den Single-Sign-On-Zugriff auf diese Anwendungen einfach konfigurieren, indem Sie den Schritt-für-Schritt-Anweisungen innerhalb IAM Identity Center folgen. Se führen Sie durch die einzelnen Schritte, in denen Sie die erforderlichen URLs, Zertifikate und Metadaten eingeben. Die vollständige Liste der für IAM Identity Center vorintegrierten Geschäftsanwendungen finden Sie unter IAM-Identity-Center-Cloud-Anwendungen.

Die Weitergabe vertrauenswürdiger Identitäten basiert auf dem OAuth 2.0 Authorization Framework, das es Anwendungen ermöglicht, im Namen eines bestimmten Benutzers auf Daten und andere Ressourcen zuzugreifen, ohne die Anmeldeinformationen dieses Benutzers weiterzugeben. Diese Funktion von IAM Identity Center vereinfacht die Datenzugriffsverwaltung für Benutzer, die Prüfung und verbessert das Anmeldeerlebnis für Analytics-Benutzer in mehreren AWS-Analyseanwendungen. Zunächst verbinden der Besitzer der Anwendung, die Identitätsquelle und der Datenadministrator die App mit dem Dienst und beginnen mit der Verwaltung des Zugriffs auf der Grundlage von Benutzern und Gruppen. Ressourcenadministratoren können dann den Zugriff auf Datenressourcen innerhalb von Anwendungen mithilfe vorhandener Identitäten und Gruppenmitgliedschaften aus ihrer Identitätsquelle konfigurieren und verwalten. Prüf- und Sicherheitsteams können den Zugriff auf Datenressourcen bis zu jedem Benutzer zurückverfolgen. Datenanalysten können über AWS-Analytics-Services (Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR und AWS LakeFormation) mithilfe einer vertrauten Single-Sign-On-Erfahrung nahtlos auf ihre zugewiesenen Daten zugreifen. Erfahren Sie mehr über Trusted Identity Propagation. 

IAM Identity Center vereinfacht Ihnen das Erstellen und Nutzen differenzierter Berechtigungen für Ihr Personal auf der Grundlage von Benutzerattributen, die in Ihrer IAM-Identity-Center-Identitätsspeicher definiert sind. IAM Identity Center ermöglicht Ihnen die Auswahl von mehreren Attributen, z. B. Kostenstelle, Titel oder Gebietsschema und dann deren Verwendung zur attributbasierten Zugriffssteuerung für eine einfachere und zentrale Zugriffsverwaltung. Sie können die Berechtigungen einmal für die gesamte AWS-Organisation definieren und dann den AWS-Zugriff gewähren, widerrufen oder ändern, indem Sie einfach die Attribute in der Identitätsquelle anpassen.

Weitere Informationen zu ABAC »

IAM Identity Center unterstützt jetzt die zentrale Administration und den API-Zugriff von einem delegierten Administratorkonto von AWS Organizations über sämtliche Mitgliedskonten in Ihrer Organisation. Das bedeutet, dass Sie ein Konto in Ihrer Organisation festlegen können, das zur zentralen Verwaltung aller Mitgliedskonten verwendet werden kann. Mit der delegierten Administration können Sie die empfohlenen Methoden einhalten, da Sie Ihr Managementkonto weniger häufig verwenden müssen.

IAM Identity Center unterstützt Sicherheitsstandards und Compliance-Anforderungen, einschließlich Unterstützung für Payment Card Industry – Data Security Standard (PCI DSS), International Organization for Standardization (ISO), System and Organization Controls (SOC) 1, 2 und 3, Esquema Nacional de Seguridad (ENS) High, die Anforderungen der Finanzmarktaufsicht (FINMA) International Standard on Assurance Engagements (ISAE) 3000 Type 2 Report und Multi-Tier Cloud Security (MTCS). Der Service bleibt Information Security Registered Assessors Program (IRAP) auf der GESCHÜTZT-Ebene geprüft.

IAM Identity Center kann als Organisations-Instance oder als Konto-Instance bereitgestellt werden. Eine Organisations-Instance von IAM Identity Center wird im Verwaltungskonto von AWS Organizations bereitgestellt. Dies ist die beste und empfohlene Methode zur Authentifizierung und Autorisierung Ihrer Mitarbeiter. Es ist ein einziger, zentraler Zugriffskontrollpunkt für AWS-Konten und -Anwendungen in einer Produktionsumgebung mit mehreren Konten. Eine Konto-Instance von IAM Identity Center ist eine Bereitstellung mit begrenztem Umfang, die von Geschäftsanwendern durchgeführt werden kann, um eine unterstützte AWS-Anwendung (z. B. Amazon Redshift) schnell zu evaluieren und sie einer begrenzten Gruppe von Anwendungsbenutzern zur Verfügung zu stellen. Der Administrator einer Organisations-Instance kann die Fähigkeit von Geschäftsbenutzern, Konto-Instances zu erstellen, mithilfe von Service Control Policies (SCPs), einer Funktion von AWS Organizations, kontrollieren. 

Sie können Single-Sign-On-Integrationen zu SAML 2.0-fähigen Anwendungen mithilfe des Konfigurationsassistenten für Anwendungszuweisungen des IAM Identity Center erstellen. Der Konfigurationsassistent für Anwendungszuweisungen hilft Ihnen beim Auswählen und Formatieren der Informationen, die Anwendungen senden müssen, um Single-Sign-On-Zugriff zu ermöglichen. So können Sie zum Beispiel ein SAML-Attribut für den Benutzernamen erstellen und das Format für dieses Attribut anhand der E-Mail-Adresse eines Benutzers aus seinem AD-Profil festlegen.

Alle administrativen und Zugriffsaktivitäten mehrerer Konten werden in AWS CloudTrail aufgezeichnet. So haben Sie die nötige Transparenz, um IAM-Identity-Center-Aktivitäten zentral nachprüfen zu können. Über CloudTrail können Sie die verschiedensten Aktivitäten anzeigen, wie zum Beispiel Anmeldeversuche, Anwendungszuweisungen und Änderungen bei einer Verzeichnisintegration. So können Sie zum Beispiel erkennen, auf welche Anwendungen ein Benutzer in einem bestimmten Zeitraum zugegriffen hat oder wann einem Benutzer der Zugriff auf eine bestimmte Anwendung erteilt wurde.