AWS IAM Identity Center facilita la administración centralizada del acceso a varias aplicaciones empresariales y cuentas de AWS. Proporciona a su personal acceso de inicio de sesión único a todas las cuentas y aplicaciones asignadas desde un solo lugar. Con el Centro de identidades de IAM, puede administrar con facilidad el acceso centralizado y los permisos de usuario para todas sus cuentas de AWS Organizations. El Centro de identidades de IAM configura y conserva todos los permisos necesarios para sus cuentas de manera automática, sin necesidad de realizar ninguna configuración adicional en las cuentas individuales. Puede asignar permisos de usuario basados en funciones de trabajo comunes y personalizarlos para que cumplan sus requisitos de seguridad específicos. El IAM Identity Center también incluye integraciones incorporadas con aplicaciones de AWS, como Amazon Analytics services, Amazon SageMaker Studio, Administrador de cambios de AWS Systems Manager y muchas aplicaciones empresariales, como Salesforce, Box y Microsoft 365.

Puede crear y administrar las identidades de los usuarios en el almacén de identidades de IAM Identity Center o conectarse fácilmente a la fuente de identidades existente, incluidos Microsoft Active Directory, Okta, Ping Identity, JumpCloud y Microsoft Entra ID (anteriormente, Azure AD). IAM Identity Center permite seleccionar atributos de usuario, tales como el centro de costos, el título o el lugar, desde su fuente de identidad, y luego utilizarlos para el control de acceso basado en atributos (ABAC) en AWS.

Es fácil comenzar a utilizar el Centro de identidades de IAM. Con solo unos pocos clics en la consola de administración del Centro de identidades de IAM, puede conectarse a su fuente de identidad existente. Desde allí, puede configurar permisos que concedan a los usuarios acceso a sus cuentas asignadas en AWS Organizations y cientos de aplicaciones en la nube preconfiguradas, todo desde un único portal de usuario.

Administración de identidades centralizada

Crear y administrar usuarios en el Centro de identidades de IAM

El Centro de identidades de IAM proporciona un almacén de identidades de forma predeterminada que puede utilizar para crear usuarios y organizarlos en grupos dentro del servicio. Para crear usuarios en el Centro de identidades de IAM, solo debe configurar el nombre y la dirección de correo electrónico. Cuando crea un usuario, el Centro de identidades de IAM envía de forma predeterminada un correo electrónico al usuario para que pueda establecer su propia contraseña. En cuestión de minutos, puede conceder a sus usuarios y grupos permisos para los recursos de AWS en todas sus cuentas de AWS, así como en muchas aplicaciones empresariales. Los usuarios inician sesión en un portal de usuarios con credenciales que configuran en el Centro de identidades de IAM y acceden a todas las cuentas y aplicaciones asignadas en un solo lugar.

Conexión y aprovisionamiento automático de los usuarios desde proveedores de identidades basados en estándares

Puede conectar IAM Identity Center a Okta Universal Directory, Microsoft Entra ID u otro proveedor de identidades (IdP) compatible mediante el lenguaje de marcado de aserción de seguridad (SAML) 2.0 para que los usuarios puedan iniciar sesión con sus credenciales existentes. Además, IAM Identity Center también es compatible con el sistema para la administración de identidades entre dominios (SCIM) para la automatización del aprovisionamiento de usuarios. Puede administrar los usuarios en su IdP, incorporarlos a AWS con rapidez y administrar de forma centralizada su acceso a todas las cuentas de AWS y aplicaciones empresariales. El Centro de identidades de IAM también permite seleccionar diferentes atributos de usuario de su Okta Universal Directory, tales como el centro de costos, el título o el lugar, y luego utilizarlos para el ABAC a fin de simplificar y centralizar la administración del acceso.

Conexión con Microsoft Active Directory

Con el Centro de identidades de IAM, puede administrar el acceso de inicio de sesión único a las cuentas y aplicaciones que utilicen las identidades corporativas existentes de Microsoft Active Directory Domain Services (AD DS). El Centro de identidades de IAM se conecta a AD DS a través de AWS Directory Service y permite conceder a los usuarios el acceso a las cuentas y las aplicaciones mediante la simple incorporación de los usuarios a los grupos de AD correspondientes. Por ejemplo, puede crear un grupo para un equipo de desarrolladores que esté trabajando en una aplicación y concederle acceso a las cuentas de AWS para la aplicación. Cuando se incorporen desarrolladores nuevos al equipo, y los agregue al grupo de AD, se les concederá acceso automáticamente a todas las cuentas de AWS para la aplicación. El Centro de identidades de IAM también permite seleccionar varios atributos de usuario de su AD, tales como el centro de costos, el título o el lugar, y luego utilizarlos para el control de acceso basado en los atributos (ABAC) para simplificar y centralizar la administración del acceso.

Autenticación multifactor

El Centro de identidades de IAM permite aplicar la MFA a todos los usuarios, incluido el requisito de que los usuarios configuren dispositivos de MFA durante el inicio de sesión. Con el Centro de identidades de IAM, puede utilizar capacidades de autenticación sólidas basadas en estándares para todos sus usuarios en todas las fuentes de identidad. Si utiliza un IdP de SAML 2.0 compatible como su origen de identidad, puede habilitar las capacidades de autenticación multifactor (MFA) de su proveedor. Al utilizar IAM Identity Center o Active Directory como origen de identidad, IAM Identity Center es compatible con la especificación de autenticación weba fin de que pueda asegurar el acceso de los usuarios a cuentas de AWS y aplicaciones empresariales con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como Touch ID en MacBooks de Apple y el reconocimiento facial en equipos. También puede habilitar contraseñas de un solo uso basadas en el tiempo (TOTP) mediante el uso de aplicaciones de autenticación tales como Google Authenticator o Twilio Authy.

Asignaciones y permisos detallados

Permisos para varias cuentas

El Centro de identidades de IAM se basa en roles y políticas de AWS Identity and Access Management (IAM) para ayudarlo a administrar el acceso de manera centralizada en todas las cuentas de AWS de su organización de AWS. El Centro de identidades de IAM utiliza conjuntos de permisos, que son colecciones de una o más políticas de IAM. Luego, asigna conjuntos de permisos para definir el acceso de sus usuarios o grupos. En función de esas asignaciones, el servicio crea un rol de IAM que controla el Centro de identidades de IAM y adjunta las políticas especificadas en el conjunto de permisos a esos roles dentro de cada cuenta asignada. No es necesario realizar configuraciones adicionales en las cuentas individuales.  

Opciones de acceso elevado temporal

IAM Identity Center ofrece un acceso elevado temporal a través de una variedad de opciones de integración de socios. AWS aprobó el uso de CyberArk Secure Cloud Access, Tenable Cloud Security y Okta Access Requests para ayudarlo a abordar una serie de escenarios temporales de acceso elevado, incluidas las operaciones delicadas que exigen una capacidad de auditoría completa, entornos multinube con derechos y necesidades de auditoría complejos y organizaciones que utilizan varias fuentes de identidad e integraciones de aplicaciones. El usuario del personal que no tenga permisos activos para realizar operaciones delicadas, como cambiar la configuración de un recurso de alto valor en un entorno de producción, puede solicitar acceso, recibir la aprobación y realizar la operación durante un tiempo específico. Además, sus auditores pueden ver un registro de las acciones y aprobaciones en la solución del socio.

Asignaciones de aplicaciones

En la consola del Centro de identidades de IAM, utilice asignaciones de aplicaciones para proporcionar acceso de inicio de sesión único a varias aplicaciones empresariales de SAML 2.0, incluidas Salesforce, Box y Microsoft 365. Puede configurar con facilidad el acceso de inicio de sesión único a estas aplicaciones al seguir las instrucciones paso a paso en el Centro de identidades de IAM. El servicio lo guiará en la introducción de las URL, los certificados y los metadatos necesarios. Si desea consultar la lista completa de las aplicaciones empresariales preintegradas a IAM Identity Center, consulte aplicaciones en la nube de IAM Identity Center.

Propagación de identidad confiable

La propagación de identidades confiables se basa en OAuth 2.0 Authorization Framework, que permite a las aplicaciones acceder a los datos y otros recursos en nombre de un usuario específico, sin compartir las credenciales de ese usuario. Esta característica de IAM Identity Center simplifica la administración del acceso a los datos para los usuarios, la auditoría y mejora la experiencia de inicio de sesión para los usuarios de análisis en varias aplicaciones de análisis de AWS. Para empezar, el propietario de la aplicación, la fuente de identidad y el administrador de datos conectan la aplicación al servicio y comienzan a administrar el acceso en función de los usuarios y grupos. Luego, los administradores de recursos pueden configurar y administrar el acceso a los recursos de datos dentro de las aplicaciones utilizando las identidades existentes y la pertenencia a grupos desde su fuente de identidad. Los equipos de auditoría y seguridad pueden rastrear el acceso a los recursos de datos hasta cada usuario. Los analistas de datos pueden acceder sin problemas a los datos asignados a través de los servicios de análisis de AWS (Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR y AWS LakeFormation) mediante una experiencia familiar de inicio de sesión único. Obtenga más información sobre la propagación de identidades confiables

Control de acceso basado en los atributos

El Centro de identidades de IAM facilita la creación y el uso de permisos detallados para su personal en función de los atributos de usuario definidos en el almacén de identidades del Centro de identidades de IAM. El Centro de identidades de IAM permite seleccionar varios atributos, tales como el centro de costos, el título o el lugar, y luego utilizarlos para el control de acceso basado en los atributos (ABAC) a fin de simplificar y centralizar la administración del acceso. Puede definir permisos una vez para toda la organización de AWS y luego conceder, revocar o modificar el acceso de AWS simplemente cambiando los atributos en la fuente de identidad.

Obtenga más información acerca del ABAC »

Características administrativas y de gobernanza

Administración delegada desde una cuenta miembro

El Centro de identidades de IAM es compatible con la administración centralizada y el acceso a la API desde una cuenta de administrador delegado de AWS Organizations para todas las cuentas miembro de la organización. Esto significa que puede designar una cuenta en su organización que puede utilizarse para administrar de forma centralizada todas las cuenta miembro. Con la administración delegada, puede reducir la necesidad de utilizar su cuenta de administración para adherirse a las prácticas recomendadas.

Compatibilidad con estándares de seguridad y certificaciones de conformidad

El Centro de identidades de IAM es compatible con los estándares de seguridad y los requisitos de conformidad, incluido el soporte para el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS); la Organización Internacional de Normalización (ISO); los Controles de Sistemas y Organizaciones (SOC) 1, 2 y 3; la categoría Alta del Esquema Nacional de Seguridad (ENS); los requisitos de la Autoridad Supervisora del Mercado Financiero (FINMA) en el Informe de la Norma internacional sobre Compromisos de Garantía (ISAE) 3000 Tipo 2 y la Seguridad con múltiples capas en la nube (MTCS). El servicio sigue siendo evaluado por el Programa de evaluadores registrados de seguridad de la información (IRAP) en el nivel PROTEGIDO.

Flexibilidad de despliegue

IAM Identity Center puede desplegarse como una instancia de organización o como una instancia de cuenta. Se implementa una instancia de organización de IAM Identity Center en la cuenta de administración de AWS Organizations. Es la mejor práctica y el enfoque recomendado para autenticar y autorizar a su personal. Se trata de un punto de control de acceso único y central para las cuentas y aplicaciones de AWS en un entorno de producción con varias cuentas. Una instancia de cuenta de IAM Identity Center es un despliegue de alcance limitado que pueden realizar los usuarios empresariales con el fin de evaluar rápidamente una aplicación de AWS compatible (por ejemplo, Amazon Redshift) y ponerla a disposición de un grupo reducido de usuarios de aplicaciones. El administrador de una instancia de organización puede controlar la capacidad de los usuarios empresariales para crear instancias de cuentas mediante políticas de control de servicios (SCP), una característica de AWS Organizations. 

Asistente de configuración para aplicaciones que admiten SAML

Puede crear integraciones de inicio de sesión único en las aplicaciones que admiten SAML 2.0 con el asistente de configuración de asignaciones de aplicaciones del Centro de identidades de IAM. El asistente de configuración de asignaciones de aplicaciones permite seleccionar y dar formato a la información que se envía a aplicaciones para habilitar el acceso al inicio de sesión único. Por ejemplo, puede crear un atributo de SAML para nombre de usuario y especificar el formato del atributo con base en la dirección de correo electrónico de un usuario a partir de su perfil de AD.

Auditoría de los eventos de acceso en todas las aplicaciones y cuentas de AWS

Toda la actividad de acceso de varias cuentas y administrativa se registra en AWS CloudTrail, lo que brinda visibilidad para auditar la actividad del Centro de identidades de IAM de manera centralizada. Con CloudTrail, puede ver actividades como intentos de inicio de sesión, asignaciones de aplicaciones y modificaciones en integraciones de directorio. Por ejemplo, puede ver las aplicaciones a las que un usuario accedió durante un determinado periodo o cuándo se le otorgó acceso a una aplicación específica.

Obtenga más información sobre el Centro de identidades de AWS IAM

Visite la página de preguntas frecuentes
¿Listo para comenzar?
Regístrese
¿Tiene más preguntas?
Contáctenos