Características del Centro de identidades de AWS IAM (sucesor de AWS Single Sign-On)

El Centro de identidades de AWS IAM (sucesor de AWS Single Sign-On) facilita la administración centralizada del acceso a varias aplicaciones empresariales y cuentas de AWS. Proporciona a su personal acceso de inicio de sesión único a todas las cuentas y aplicaciones asignadas desde un solo lugar. Con el Centro de identidades de IAM, puede administrar con facilidad el acceso centralizado y los permisos de usuario para todas sus cuentas de AWS Organizations. El Centro de identidades de IAM configura y conserva todos los permisos necesarios para sus cuentas de manera automática, sin necesidad de realizar ninguna configuración adicional en las cuentas individuales. Puede asignar permisos de usuario basados en funciones de trabajo comunes y personalizarlos para que cumplan sus requisitos de seguridad específicos. El Centro de identidades de IAM también incluye integraciones incorporadas con aplicaciones de AWS, como Amazon SageMaker Studio, Administrador de cambios de AWS Systems Manager y AWS IoT SiteWise, y muchas aplicaciones empresariales, como Salesforce, Box y Microsoft 365.

Puede crear y administrar las identidades de los usuarios en el almacén de identidades del Centro de identidades de IAM o conectarse fácilmente a la fuente de identidades existente, incluidos Microsoft Active Directory, Okta, Ping Identity, JumpCloud y Azure Active Directory (Azure AD). El Centro de identidades de IAM permite seleccionar atributos de usuario, tales como el centro de costos, el título o el lugar, desde su fuente de identidad, y luego utilizarlos para el control de acceso basado en atributos (ABAC) en AWS.

Es fácil comenzar a utilizar el Centro de identidades de IAM. Con solo unos pocos clics en la consola de administración del Centro de identidades de IAM, puede conectarse a su fuente de identidad existente. Desde allí, puede configurar permisos que concedan a los usuarios acceso a sus cuentas asignadas en AWS Organizations y cientos de aplicaciones en la nube preconfiguradas, todo desde un único portal de usuario.

El Centro de identidades de IAM proporciona un almacén de identidades de forma predeterminada que puede utilizar para crear usuarios y organizarlos en grupos dentro del servicio. Para crear usuarios en el Centro de identidades de IAM, solo debe configurar el nombre y la dirección de correo electrónico. Cuando crea un usuario, el Centro de identidades de IAM envía de forma predeterminada un correo electrónico al usuario para que pueda establecer su propia contraseña. En cuestión de minutos, puede conceder a sus usuarios y grupos permisos para los recursos de AWS en todas sus cuentas de AWS, así como en muchas aplicaciones empresariales. Los usuarios inician sesión en un portal de usuarios con credenciales que configuran en el Centro de identidades de IAM y acceden a todas las cuentas y aplicaciones asignadas en un solo lugar.

Puede conectar el Centro de identidades de IAM a Okta Universal Directory, Azure AD u otro proveedor de identidades (IdP) compatible mediante el lenguaje de marcado de aserción de seguridad (SAML) 2.0 para que los usuarios puedan iniciar sesión con sus credenciales existentes. Además, el Centro de identidades de IAM también es compatible con el estándar Sistema para la administración de identidades entre dominios (SCIM) para la automatización del aprovisionamiento de usuarios. Puede administrar los usuarios en su IdP, incorporarlos a AWS con rapidez y administrar de forma centralizada su acceso a todas las cuentas de AWS y aplicaciones empresariales. El Centro de identidades de IAM también permite seleccionar diferentes atributos de usuario de su Okta Universal Directory, tales como el centro de costos, el título o el lugar, y luego utilizarlos para el ABAC a fin de simplificar y centralizar la administración del acceso.

Con el Centro de identidades de IAM, puede administrar el acceso de inicio de sesión único a las cuentas y aplicaciones que utilicen las identidades corporativas existentes de Microsoft Active Directory Domain Services (AD DS). El Centro de identidades de IAM se conecta a AD DS a través de AWS Directory Service y permite conceder a los usuarios el acceso a las cuentas y las aplicaciones mediante la simple incorporación de los usuarios a los grupos de AD correspondientes. Por ejemplo, puede crear un grupo para un equipo de desarrolladores que esté trabajando en una aplicación y concederle acceso a las cuentas de AWS para la aplicación. Cuando se incorporen desarrolladores nuevos al equipo, y los agregue al grupo de AD, se les concederá acceso automáticamente a todas las cuentas de AWS para la aplicación. El Centro de identidades de IAM también permite seleccionar varios atributos de usuario de su AD, tales como el centro de costos, el título o el lugar, y luego utilizarlos para el control de acceso basado en los atributos (ABAC) para simplificar y centralizar la administración del acceso.

El Centro de identidades de IAM permite aplicar la MFA a todos los usuarios, incluido el requisito de que los usuarios configuren dispositivos de MFA durante el inicio de sesión. Con el Centro de identidades de IAM, puede utilizar capacidades de autenticación sólidas basadas en estándares para todos sus usuarios en todas las fuentes de identidad. Si utiliza un IdP de SAML 2.0 compatible como su fuente de identidad, puede habilitar las capacidades de autenticación multifactor (MFA) de su proveedor. Al utilizar el Centro de identidades de IAM o Active Directory como fuente de identidad, el Centro de identidades de IAM es compatible con la especificación de autenticación web para ayudarlo a asegurar el acceso de los usuarios a cuentas de AWS y aplicaciones empresariales con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como Touch ID en MacBooks de Apple y el reconocimiento facial en computadoras. También puede habilitar contraseñas de un solo uso basadas en el tiempo (TOTP) mediante el uso de aplicaciones de autenticación tales como Google Authenticator o Twilio Authy.

El Centro de identidades de IAM se basa en roles y políticas de AWS Identity and Access Management (IAM) para ayudarlo a administrar el acceso de manera centralizada en todas las cuentas de AWS de su organización de AWS. El Centro de identidades de IAM utiliza conjuntos de permisos, que son colecciones de una o más políticas de IAM. Luego, asigna conjuntos de permisos para definir el acceso de sus usuarios o grupos. En función de esas asignaciones, el servicio crea un rol de IAM que controla el Centro de identidades de IAM y adjunta las políticas especificadas en el conjunto de permisos a esos roles dentro de cada cuenta asignada. No es necesario realizar configuraciones adicionales en las cuentas individuales.

En la consola del Centro de identidades de IAM, utilice asignaciones de aplicaciones para proporcionar acceso de inicio de sesión único a varias aplicaciones empresariales de SAML 2.0, incluidas Salesforce, Box y Microsoft 365. Puede configurar con facilidad el acceso de inicio de sesión único a estas aplicaciones al seguir las instrucciones paso a paso en el Centro de identidades de IAM. El servicio lo guiará en la introducción de las URL, los certificados y los metadatos necesarios. Si desea consultar la lista completa de las aplicaciones empresariales preintegradas al Centro de identidades de IAM, consulte la sección sobre Aplicaciones en la nube del Centro de identidades de IAM.

El Centro de identidades de IAM facilita la creación y el uso de permisos detallados para su personal en función de los atributos de usuario definidos en el almacén de identidades del Centro de identidades de IAM. El Centro de identidades de IAM permite seleccionar varios atributos, tales como el centro de costos, el título o el lugar, y luego utilizarlos para el control de acceso basado en los atributos (ABAC) a fin de simplificar y centralizar la administración del acceso. Puede definir permisos una vez para toda la organización de AWS y luego conceder, revocar o modificar el acceso de AWS simplemente cambiando los atributos en la fuente de identidad.

Obtenga más información acerca del ABAC »

El Centro de identidades de IAM es compatible con la administración centralizada y el acceso a la API desde una cuenta de administrador delegado de AWS Organizations para todas las cuentas miembro de la organización. Esto significa que puede designar una cuenta en su organización que puede utilizarse para administrar de forma centralizada todas las cuenta miembro. Con la administración delegada, puede reducir la necesidad de utilizar su cuenta de administración para adherirse a las prácticas recomendadas.

El Centro de identidades de IAM es compatible con los estándares de seguridad y los requisitos de conformidad, incluido el soporte para el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS); la Organización Internacional de Normalización (ISO); los Controles de Sistemas y Organizaciones (SOC) 1, 2 y 3; la categoría Alta del Esquema Nacional de Seguridad (ENS); los requisitos de la Autoridad Supervisora del Mercado Financiero (FINMA) en el Informe de la Norma internacional sobre Compromisos de Garantía (ISAE) 3000 Tipo 2 y la Seguridad con múltiples capas en la nube (MTCS). El servicio sigue siendo evaluado por el Programa de evaluadores registrados de seguridad de la información (IRAP) en el nivel PROTEGIDO.

El Centro de identidades de IAM requiere la integración con AWS Organizations, lo que permite seleccionar una o más cuentas de su organización y conceder a los usuarios acceso a ellas. Con tan solo unos clics, puede comenzar a utilizar el Centro de identidades de IAM y conceder acceso a su personal a todas las cuentas de AWS que se utilicen para una aplicación o por parte de un equipo.

Puede crear integraciones de inicio de sesión único en las aplicaciones que admitan SAML 2.0 con el asistente de configuración de asignaciones de aplicaciones del Centro de identidades de IAM. El asistente de configuración de asignaciones de aplicaciones permite seleccionar y dar formato a la información que se envía a aplicaciones para habilitar el acceso inicio de sesión único. Por ejemplo, puede crear un atributo de SAML para nombre de usuario y especificar el formato del atributo con base en la dirección de correo electrónico de un usuario a partir de su perfil de AD.

Toda la actividad de acceso de varias cuentas y administrativa se registra en AWS CloudTrail, lo que brinda visibilidad para auditar la actividad del Centro de identidades de IAM de manera centralizada. Con CloudTrail, puede ver actividades como intentos de inicio de sesión, asignaciones de aplicaciones y modificaciones en integraciones de directorio. Por ejemplo, puede ver las aplicaciones a las que un usuario accedió durante un determinado periodo o cuándo se le otorgó acceso a una aplicación específica.