Publicado en: Nov 25, 2019
Hoy temprano, AWS Identity and Access Management (IAM) permitió utilizar los atributos de identidad existentes de sus empleados, como el centro de costos y el departamento desde su directorio, para crear permisos específicos en AWS. Sus administradores pueden usar estos atributos de empleados en AWS para implementar el control de acceso basado en atributos a los recursos de AWS y simplificar la administración de permisos a escala.
Una forma de otorgar a sus empleados acceso a los recursos de AWS es a través de la identidad federada. Puede usar un proveedor de identidad (IdP) que cumpla con los estándares para administrar el acceso federado para las identidades de los empleados almacenadas en su directorio corporativo. Los clientes nos dijeron que desean utilizar los atributos de identidad de su directorio para simplificar la experiencia administrativa y del usuario final para administrar el acceso de los usuarios federados. Con este lanzamiento, sus administradores ahora pueden configurar su IdP para enviar atributos de empleados en la sesión de AWS cuando los empleados se federen en AWS. Cuando usa estos atributos como etiquetas en AWS, puede simplificar la creación de permisos específicos para que los empleados tengan acceso solo a los recursos de AWS con etiquetas coincidentes. Esto ayuda a reducir la cantidad de permisos distintos que necesita para crear y administrar en su cuenta de AWS. Por ejemplo, cuando los desarrolladores Bob del equipo rojo y Sally del equipo azul se federan en AWS y asumen el mismo rol de IAM, solo obtienen permisos distintos para los recursos del proyecto etiquetados para su equipo. Esto se debe a que el IdP envía el atributo del nombre del equipo en la sesión de AWS cuando Bob y Sally se federan en AWS y los permisos del rol otorgan acceso a los recursos del proyecto con etiquetas de nombre del equipo coincidentes. Ahora, si Bob pasa al equipo azul y usted actualiza el nombre de su equipo en su directorio, Bob automáticamente obtiene acceso a los recursos del proyecto del equipo azul sin requerir actualizaciones de permisos en IAM.
Los socios de AWS Identity Ping Identity, OneLogin, Okta, Auth0, Forgerock, IBM y RSA han certificado la experiencia de extremo a extremo para esta nueva capacidad con sus soluciones de identidad, y esperamos socios adicionales que certifiquen esta capacidad. Comuníquese con su proveedor de identidad que cumpla con los estándares para obtener orientación. Para obtener más información sobre cómo conectar sus identidades corporativas a las reglas de permisos en AWS, consulte las etiquetas de pasar de sesión en la sesión de AWS.