Funzionalità del Centro identità AWS IAM

Il Centro identità AWS IAM semplifica la gestione centralizzata degli accessi a più applicazioni business e account di AWS. Fornisce accessi single sign-on ai tuoi dipendenti per tutti gli account e le applicazioni assegnate da un unico posto. Con IAM Identity Center puoi gestire facilmente e centralmente gli accessi e le autorizzazioni utente di tutti gli account in AWS Organizations. IAM Identity Center consente di configurare e mantenere automaticamente tutte le autorizzazioni necessarie agli account, senza il bisogno di configurazioni aggiuntive per i singoli account. È possibile assegnare le autorizzazioni utente in base alle funzioni lavorative comuni e personalizzarle per soddisfare i requisiti di sicurezza specifici. Inoltre, IAM Identity Center include integrazioni per le applicazioni AWS, come Amazon SageMaker Studio, AWS Systems Manager Change Manager e AWS IoT SiteWise, oltre ad altre applicazioni business, come Salesforce, Box e Microsoft 365.

Puoi creare e gestire identità utenti nell'archivio delle identità di IAM Identity Center. In alternativa, puoi connettere facilmente l'origine identità esistente, tra cui Microsoft Active Directory, Okta, Ping Identity, JumpCloud e Azure Active Directory (Azure AD). IAM Identity Center consente di selezionare gli attributi dell'utente, come centri di costo, titoli o impostazioni locali, dall'origine identità, per poi utilizzarli per il controllo di accessi basato sugli attributi (ABAC) in AWS.

È facile iniziare a utilizzare IAM Identity Center. In pochi clic sulla console di gestione di IAM Identity Center potrai collegarti all'origine identità esistente. Da qui, potrai configurare le autorizzazioni per concedere agli utenti l'accesso ai relativi account in AWS Organizations e a centinaia di applicazioni cloud preconfigurate da un unico portale utente.

IAM Identity Center fornisce un archivio delle identità predefinito che puoi utilizzare per creare utenti e organizzarli in gruppi in IAM Identity Center. Puoi creare gli utenti in IAM Identity Center configurando i loro nomi e indirizzi e-mail. Quando viene creato un utente, IAM Identity Center invia in modo predefinito un'e-mail all'utente che può impostare una password a sua scelta. In pochi minuti, è possibile fornire a utenti e gruppi le autorizzazioni per accedere alle risorse AWS nell'intero account e a diverse applicazioni aziendali. Gli utenti accederanno a un portale con le credenziali configurate in IAM Identity Center, quindi potranno accedere a tutti gli account e le applicazioni loro assegnate da un unico posto.

Puoi connettere IAM Identity Center a Okta Universal Directory, Azure AD o a un altro gestore dell'identità digitale (IdP) supportato tramite Security Assertion Markup Language (SAML) 2.0 per garantire agli utenti la possibilità di accedere con le loro credenziali esistenti. Inoltre, IAM Identity Center è in grado di supportare System for Cross-domain Identity Management (SCIM) per il provisioning automatico degli utenti. È possibile gestire gli utenti nell'IdP, trasferirli rapidamente in AWS e gestire gli accessi ai loro account AWS e applicazioni aziendali a livello centralizzato. IAM Identity Center consente anche di selezionare più attributi degli utenti, come centri di costo, titoli o impostazioni locali da Okta Universal Directory e di utilizzarli per ABAC per semplificare e centralizzare l'amministrazione degli accessi.

Con IAM Identity Center puoi gestire l'accesso single sign-on agli account e alle applicazioni utilizzando le credenziali aziendali esistenti di Microsoft Active Directory Domain Services (AD DS). IAM Identity Center si connette ad AD DS tramite il Servizio di directory AWS e ti permette di concedere agli utenti l'accesso ad account e applicazioni semplicemente aggiungendo gli utenti ai gruppi AD appropriati. Ad esempio, puoi creare un gruppo per un team di sviluppatori che lavora su un'applicazione e concedere a tale gruppo l'accesso agli account AWS per l'applicazione. Se nuovi sviluppatori entrano a far parte del team, è possibile aggiungerli al gruppo AD in modo da concedere loro automaticamente l'accesso a tutti gli account AWS per l'applicazione. IAM Identity Center consente anche di selezionare più attributi degli utenti, come centri di costo, titoli o impostazioni locali da AD e di utilizzarli per ABAC per semplificare e centralizzare l'amministrazione degli accessi.

IAM Identity Center consente di applicare l'autenticazione a più fattori (MFA) per tutti gli utenti, ad esempio richiedendo loro di configurare i dispositivi con autenticazione MFA al momento dell'accesso. Con IAM Identity Center, è possibile usare le funzionalità di autenticazione avanzata basate su standard per tutti gli utenti in tutte le origini identità. Se si utilizza un IdP SAML 2.0 supportato come origine identità, è possibile abilitare l'autenticazione a più fattori (MFA) del gestore. Quando si utilizza Active Directory o il Centro identità IAM come origine identità, il Centro identità IAM supporta la specifica di autenticazione Web per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza abilitate per FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. Inoltre, è possibile abilitare le password con scadenza a tempo valide per un solo accesso (TOTP) utilizzando le app di autenticazione come Google Authenticator o Twilio Authy.

IAM Identity Center si basa sui ruoli e sulle policy di AWS Identity and Access Management (IAM) per agevolare la gestione dell'accesso a livello centrale in tutti gli account AWS dell'organizzazione AWS. IAM Identity Center utilizza i set di autorizzazioni, ovvero raccolte di una o più policy IAM. Successivamente, puoi assegnare i set di autorizzazioni per definire gli accessi per i tuoi utenti/gruppi. Sulla base di tali assegnazioni, il servizio crea un ruolo IAM controllato dall'IAM Identity Center e allega le policy indicate dai set di autorizzazioni per i ruoli di ogni account assegnato. Non è necessario eseguire configurazioni aggiuntive nei singoli account.  

IAM Identity Center offre un accesso temporaneo elevato attraverso una gamma di opzioni di integrazione dei partner. AWS ha convalidato che puoi utilizzare CyberArk Secure Cloud Access, Ermetic e Okta Access Requests per aiutarti a risolvere una serie di scenari temporanei di accesso elevato, tra cui operazioni sensibili che richiedono la piena verificabilità, ambienti multi-cloud con diritti ed esigenze di audit complesse e organizzazioni che utilizzano più fonti di identità e integrazioni di applicazioni. L'utente della forza lavoro che non dispone delle autorizzazioni permanenti per eseguire operazioni sensibili, come la modifica della configurazione su una risorsa di alto valore in un ambiente di produzione, può richiedere l'accesso, ricevere l'approvazione ed eseguire l'operazione durante un periodo di tempo specificato. Inoltre, i revisori possono visualizzare un log delle azioni e delle approvazioni nella soluzione partner.

All'interno della console IAM Identity Center, utilizza le assegnazioni delle applicazioni per fornire accessi single sign-on a diverse applicazioni business SAML 2.0, comprese Salesforce, Box e Microsoft 365. Puoi configurare facilmente l'accesso single sign-on a tali applicazioni seguendo le istruzioni dettagliate contenute nell'IAM Identity Center. Questo ti guiderà nell'inserimento di URL, certificati e metadati richiesti. Per un elenco completo delle applicazioni aziendali pre-integrate con IAM Identity Center, consulta le applicazioni cloud IAM Identity Center.

IAM Identity Center facilita la creazione e l'utilizzo di autorizzazioni granulari per la forza lavoro sulla base degli attributi utente definiti nell'archivio identità di IAM Identity Center. IAM Identity Center consente di selezionare più attributi, come centri di costo, titoli o impostazioni locali, per poi utilizzarli per il controllo di accessi basato sugli attributi (ABAC) per semplificare e centralizzare l'amministrazione degli accessi. È possibile definire le autorizzazioni una sola volta per l'intera organizzazione AWS e poi concedere, revocare o modificare l'accesso AWS semplicemente modificando gli attributi nell'origine identità.

Ulteriori informazioni su ABAC »

IAM Identity Center supporta l'amministrazione centralizzata e l'accesso alle API da un account amministratore delegato di AWS Organizations per tutti gli account membri della tua organizzazione. Ciò significate che puoi scegliere un account nella tua organizzazione da utilizzare in maniera centralizzata per la gestione di tutti gli account dei membri. Grazie all'amministrazione delegata, potrai aderire alle pratiche consigliate, riducendo l'esigenza di utilizzare il tuo account di gestione.

IAM Identity Center supporta gli standard di sicurezza e i requisiti di conformità, compreso il supporto per Standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS), Organizzazione internazionale per la normazione (ISO), System and Organization Controls (SOC) 1, 2 e 3, Esquema Nacional de Seguridad (ENS) elevato, Autorità federale di vigilanza sui mercati finanziari (FINMA), International Standard on Assurance Engagements (ISAE) 3000 requisiti di report di tipo 2, e Multi-Tier Cloud Security (MTCS). Il servizio è valutato dall'Information Security Registered Assessors Program (IRAP) a livello PROTECTED.

IAM Identity Center richiede l'integrazione con AWS Organizations e consente di selezionare uno o più account dall'organizzazione e concedere l'accesso a tali account. Con pochi clic puoi iniziare a utilizzare IAM Identity Center e concedere al tuo personale l'accesso a tutti i tuoi account AWS utilizzati per un'applicazione o da un team.

Utilizzando la configurazione guidata delle assegnazioni dell'applicazione IAM Identity Center, puoi creare integrazioni single sign-on sulle applicazioni abilitate per SAML 2.0. La configurazione guidata delle assegnazioni dell'applicazione aiuta a selezionare e formattare le informazioni da inviare alle applicazioni per abilitare l'accesso single sign-on. Ad esempio, puoi creare un attributo SAML per il nome utente e specificarne il formato in base all'indirizzo e-mail di un utente dal relativo profilo AD.

Tutte le attività amministrative e relative agli accessi multi-account vengono registrate in AWS CloudTrail, per offrirti visibilità sull'attività di verifica di IAM Identity Center a livello centralizzato. Tramite CloudTrail puoi visualizzare attività quali i tentativi di accesso, le assegnazioni delle applicazioni e le modifiche di integrazione della directory. Ad esempio, puoi visualizzare le applicazioni sulle quali un utente ha eseguito l'accesso in un determinato periodo o quando a un utente è stato concesso l'accesso a un'applicazione specifica.