Funzionalità del Centro identità AWS IAM

Il Centro identità IAM fornisce un archivio delle identità predefinito che puoi utilizzare per creare utenti e organizzarli in gruppi nel centro. Puoi creare gli utenti in IAM Identity Center configurando i loro nomi e indirizzi e-mail. Quando viene creato un utente, IAM Identity Center invia in modo predefinito un'e-mail all'utente che può impostare una password a sua scelta. In pochi minuti, è possibile fornire a utenti e gruppi le autorizzazioni per accedere alle risorse AWS nell'intero account e a diverse applicazioni aziendali. Gli utenti accederanno a un portale con le credenziali configurate nel Centro identità IAM, quindi potranno accedere a ogni account e applicazione a loro assegnati da un unico posto.

Puoi connettere il Centro identità IAM a Okta Universal Directory, Microsoft Entra ID o a un altro gestore dell'identità digitale supportato tramite SAML 2.0 per garantire agli utenti la possibilità di accedere con le credenziali esistenti. Inoltre, il Centro identità IAM è in grado di supportare System for Cross-domain Identity Management (SCIM) per il provisioning automatico degli utenti. È possibile gestire gli utenti nell'IdP, trasferirli rapidamente in AWS e gestire gli accessi ai loro account AWS e applicazioni aziendali a livello centralizzato. Inoltre, il Centro identità IAM permette di selezionare più attributi degli utenti, come centri di costo, titoli o impostazioni locali da Okta Universal Directory e di utilizzarli per ABAC per semplificare e centralizzare l'amministrazione degli accessi.

Tramite il Centro identità IAM puoi gestire l'accesso Single Sign-On agli account e alle applicazioni utilizzando le credenziali aziendali esistenti di Microsoft Active Directory Domain Services (AD DS). Il Centro identità IAM si connette ad AD DS tramite il Servizio di directory AWS e ti permette di concedere agli utenti l'accesso ad account e applicazioni semplicemente aggiungendo gli utenti ai gruppi AD appropriati. Ad esempio, puoi creare un gruppo per un team di sviluppatori che lavora su un'applicazione e concedere a tale gruppo l'accesso agli account AWS per l'applicazione. Se nuovi sviluppatori entrano a far parte del team, è possibile aggiungerli al gruppo AD in modo da concedere loro automaticamente l'accesso a tutti gli account AWS per l'applicazione. Inoltre, il Centro identità IAM permette di selezionare più attributi degli utenti, come centri di costo, titoli o impostazioni locali da AD e di utilizzarli per ABAC per semplificare e centralizzare l'amministrazione degli accessi.

Il Centro identità IAM permette di abilitare l'autenticazione a più fattori (MFA) per tutti gli utenti, ad esempio richiedendo loro di configurare i dispositivi con autenticazione MFA al momento dell'accesso. Con IAM Identity Center, è possibile usare le funzionalità di autenticazione avanzata basate su standard per tutti gli utenti in tutte le origini identità. Se si utilizza un IdP SAML 2.0 supportato come origine identità, è possibile abilitare l'autenticazione a più fattori (MFA) del gestore. Quando si utilizza Active Directory o il Centro identità IAM come origine identità, il Centro identità IAM supporta la specifica di autenticazione Web per aiutare a proteggere l'accesso degli utenti agli account AWS e alle applicazioni aziendali tramite chiavi di sicurezza abilitate per FIDO, come YubiKey, e autenticatori biometrici integrati, come Touch ID su MacBook Apple e riconoscimento facciale su PC. Inoltre, è possibile abilitare le password con scadenza a tempo valide per un solo accesso (TOTP) utilizzando le app di autenticazione come Google Authenticator o Twilio Authy.

Il Centro identità IAM si basa sui ruoli e sulle policy di AWS Identity and Access Management (IAM) per agevolare la gestione dell'accesso a livello centrale in tutti gli account AWS dell'organizzazione AWS. IAM Identity Center utilizza i set di autorizzazioni, ovvero raccolte di una o più policy IAM. Successivamente, puoi assegnare i set di autorizzazioni per definire gli accessi per i tuoi utenti/gruppi. Sulla base di tali assegnazioni, il servizio crea un ruolo IAM controllato dall'IAM Identity Center e allega le policy indicate dai set di autorizzazioni per i ruoli di ogni account assegnato. Non è necessario eseguire configurazioni aggiuntive nei singoli account.  

Il Centro identità IAM offre un accesso temporaneo con privilegi elevati attraverso una gamma di opzioni di integrazione dei partner. AWS ha convalidato che è possibile utilizzare CyberArk Secure Cloud Access, Tenable Cloud Security e Okta Access Requests per gestire una serie di scenari di accesso temporaneo con privilegi elevati, tra cui operazioni sensibili che richiedono piena verificabilità, ambienti multi-cloud con diritti ed esigenze di audit complesse e organizzazioni che utilizzano più origini di identità e integrazioni di applicazioni. L'utente della forza lavoro che non dispone delle autorizzazioni permanenti per eseguire operazioni sensibili, come la modifica della configurazione su una risorsa di alto valore in un ambiente di produzione, può richiedere l'accesso, ricevere l'approvazione ed eseguire l'operazione durante un periodo di tempo specificato. Inoltre, i revisori possono visualizzare un log delle azioni e delle approvazioni nella soluzione partner.

All'interno della console Centro identità IAM, utilizza le assegnazioni delle applicazioni per fornire accessi Single Sign-On a diverse applicazioni aziendali con Security Assertion Markup Language (SAML) 2.0, comprese Salesforce, Box e Microsoft 365. Puoi configurare facilmente l'accesso single sign-on a tali applicazioni seguendo le istruzioni dettagliate contenute nell'IAM Identity Center. Questo ti guiderà nell'inserimento di URL, certificati e metadati richiesti. Per un elenco completo delle applicazioni aziendali pre-integrate con il Centro identità IAM, consulta le applicazioni cloud del Centro identità IAM.

La propagazione affidabile delle identità si basa sull'OAuth 2.0 Authorization Framework, che consente alle applicazioni di accedere ai dati e ad altre risorse per conto di un utente specifico, senza condividere le relative credenziali. Questa funzionalità del Centro identità IAM semplifica la gestione dell'accesso ai dati per gli utenti, migliora le attività di audit e ottimizza l'esperienza di accesso per gli utenti di analisi su più applicazioni di analisi AWS. Per iniziare, il proprietario dell'applicazione, l'origine dell'identità e l'amministratore dei dati connettono l'app al servizio e iniziano a gestire l'accesso in base a utenti e gruppi. Gli amministratori delle risorse possono quindi configurare e gestire l'accesso alle risorse dati all'interno delle applicazioni utilizzando le identità esistenti e le appartenenze ai gruppi dalla loro fonte di identità. I team di controllo e sicurezza possono tracciare l'accesso alle risorse dati fino a ciascun utente. Gli analisti di dati possono accedere senza problemi ai dati assegnati attraverso i servizi di AWS Analytics (Amazon Redshift, Amazon QuickSight, Amazon S3, Amazon EMR e AWS LakeFormation) utilizzando un'esperienza Single Sign-On unificata. Scopri di più sulla propagazione affidabile delle identità. 

Il Centro identità IAM facilita la creazione e l'utilizzo di autorizzazioni granulari per la forza lavoro sulla base degli attributi utente definiti nell'archivio identità del Centro identità IAM. IAM Identity Center consente di selezionare più attributi, come centri di costo, titoli o impostazioni locali, per poi utilizzarli per il controllo di accessi basato sugli attributi (ABAC) per semplificare e centralizzare l'amministrazione degli accessi. È possibile definire le autorizzazioni una sola volta per l'intera organizzazione AWS e poi concedere, revocare o modificare l'accesso AWS semplicemente modificando gli attributi nell'origine identità.

Ulteriori informazioni su ABAC »

Il Centro identità IAM supporta l'amministrazione centralizzata e l'accesso alle API da un account amministratore delegato di AWS Organizations per tutti gli account membro dell'organizzazione. Ciò significa che puoi scegliere un account nell'organizzazione da utilizzare in maniera centralizzata per la gestione di tutti gli account membro. Grazie all'amministrazione delegata, potrai aderire alle pratiche consigliate, riducendo la necessità di utilizzare l'account di gestione.

Il Centro identità IAM supporta gli standard di sicurezza e i requisiti di conformità, compreso il supporto per Standard di sicurezza dei dati dell'industria delle carte di pagamento (PCI DSS), Organizzazione internazionale per la normazione (ISO), System and Organization Controls (SOC) 1, 2 e 3, Esquema Nacional de Seguridad (ENS) elevato, Autorità federale di vigilanza sui mercati finanziari (FINMA), requisiti del report International Standard on Assurance Engagements (ISAE) 3000 di tipo 2 e Multi-Tier Cloud Security (MTCS). Il servizio è valutato dall'Information Security Registered Assessors Program (IRAP) a livello PROTECTED.

Il Centro identità IAM può essere distribuito come istanza dell'organizzazione o come istanza dell'account. Un'istanza dell'organizzazione del Centro identità IAM viene distribuita nell'account di gestione di AWS Organizations. È la migliore pratica e l'approccio consigliato per autenticare e autorizzare la forza lavoro. È un unico punto di controllo di accesso centrale per gli account e le applicazioni AWS in un ambiente di produzione con più account. Un'istanza di account del Centro identità IAM è una implementazione ad ambito limitato che può essere eseguita dagli utenti aziendali allo scopo di valutare rapidamente un'applicazione AWS supportata (ad esempio Amazon Redshift) e renderla disponibile a un gruppo ristretto di utenti dell'applicazione. L'amministratore di un'istanza dell'organizzazione può controllare la capacità degli utenti aziendali di creare istanze di account tramite policy di controllo dei servizi (SCP, Service Control Policy), una funzionalità di AWS Organizations.

La procedura di configurazione guidata delle assegnazioni dell'applicazione Centro identità IAM permette di creare integrazioni Single Sign-On sulle applicazioni compatibili con SAML 2.0. La configurazione guidata delle assegnazioni dell'applicazione aiuta a selezionare e formattare le informazioni da inviare alle applicazioni per abilitare l'accesso single sign-on. Ad esempio, puoi creare un attributo SAML per il nome utente e specificarne il formato in base all'indirizzo e-mail di un utente presente nel relativo profilo AD.

Tutte le attività amministrative e relative agli accessi multi-account vengono registrate in AWS CloudTrail, per offrirti visibilità sull'attività di verifica del Centro identità IAM a livello centralizzato. Tramite CloudTrail puoi visualizzare attività quali i tentativi di accesso, le assegnazioni delle applicazioni e le modifiche di integrazione della directory. Ad esempio, puoi visualizzare le applicazioni sulle quali un utente ha eseguito l'accesso in un determinato periodo o quando a un utente è stato concesso l'accesso a un'applicazione specifica.