Inserito il: Nov 25, 2019
Fino a oggi AWS Identity and Access Management (IAM) ti permetteva di utilizzare gli attributi di identità dei tuoi dipendenti esistenti come i centri di costo e i dipartimenti dalla directory per creare autorizzazione a grana fine in AWS. Gli amministratori possono utilizzare questi attributi in AWS per implementare il controllo accessi basati sugli attributi alle risorse AWS e semplificare la gestione delle autorizzazioni su vasta scala.
Un modo per concedere l'accesso ai dipendenti alle risorse AWS è utilizzare la federazione di identità. Puoi utilizzare un provider di identità conforme agli standard (IdP) per gestire gli accessi federati per le identità dei dipendenti archiviate nella directory aziendale. I clienti ci hanno informato di avere bisogno di utilizzare attributi di identità dalle loro directory per semplificare l'esperienza dell'utente finale nel gestire l'accesso degli utenti federati. Con questo lancio, gli amministratori possono ora configurare l'IdP per inviare gli attributi dei dipendenti nella sessione AWS quando eseguono l'accesso federato ad AWS. Utilizzando questi attributi come tag in AWS puoi semplificare la creazione di autorizzazioni a grana fine in modo che i dipendenti accedano solo alle risorse AWS corrispondenti ai tag. Questo aiuta a ridurre il numero di autorizzazioni distinte necessarie da creare e gestire nell'account AWS. Per esempio, quando gli sviluppatori Bob del team rosso e Sally del team blu eseguono l'accesso federato ad AWS e assumono lo stesso ruolo IAM, ottengono autorizzazioni distinte alle risorse di progetto con i soli tag assegnati al proprio team. Questo funziona perché l'IdP invia l'attributo del nome del team nella sessione AWS quando Bob e Sally eseguono l'accesso federato ad AWS e le autorizzazioni del ruolo concedono loro l'accesso alle risorse di progetto con il tag corrispondente al nome del team. Se Bob si sposta al team blu e il nome del team viene aggiornato nella directory, Bob ottiene automaticamente l'accesso alle risorse di progetto del team blu senza il bisogno di aggiornare le autorizzazioni in IAM.
I partner di AWS identity Ping Identity, OneLogin, Okta, Auth0, Forgerock, IBM e RSA hanno certificato l'esperienza end-to-end per questa nuova caratteristica con le proprie soluzioni di identità e non vediamo l'ora di aggiungere nuovi partner che certificano questa funzionalità. Contatta il nostro provider di identità conforme agli standard per una guida. Per ulteriori informazioni su come connettere le identità aziendali alle regole di autorizzazione di AWS consulta la sessione di passaggio tag in sessione AWS.