Publicado: Nov 25, 2019
Hoje mais cedo, o AWS Identity and Access Management (IAM) permitiu que você usasse os atributos de identidade existentes dos seus funcionários, como a central de custos e o departamento do seu diretório, para criar permissões otimizadas na AWS. Seus administradores podem usar esses atributos dos funcionários na AWS para implementar o controle de acesso baseado em atributos nos recursos da AWS e simplificar o gerenciamento de permissões em grande escala.
Uma maneira de conceder aos seus funcionários acesso aos recursos da AWS é por meio da federação de identidades. Você pode usar um Identity Provider (IdP - Provedor de identidades) em conformidade com os padrões para gerenciar o acesso federado a identidades de funcionários armazenadas no seu diretório corporativo. Os clientes nos dizem que querem usar atributos de identidade dos próprios diretórios para simplificar a experiência administrativa e do usuário final para gerenciar o acesso para usuários federados. Com esse lançamento, seus administradores agora podem configurar seu IdP para enviar atributos dos funcionários na sessão da AWS quando os funcionários federam na AWS. Ao usar esses atributos como tags na AWS, você pode simplificar a criação de permissões otimizadas para que os funcionários recebam acesso apenas aos recursos da AWS com tags correspondentes. Isso ajuda a reduzir o número de permissões distintas que você precisa ter para criar e gerenciar na sua conta da AWS. Por exemplo, quando os desenvolvedores Bob da equipe vermelha e Sally da equipe azul federam na AWS e assumem a mesma função do IAM, eles recebem permissões distintas para projetar recursos marcados apenas para suas equipes. Isso é porque o IdP envia o atributo do nome da equipe na sessão da AWS quando Bob e Sally federam na AWS e as permissões da função concedem acesso aos recursos do projeto com as tags de nome da equipe correspondente. Agora, se Bob muda para a equipe azul e você atualiza o nome da equipe no seu diretório, Bob concede acesso automaticamente aos recursos do projeto da equipe azul sem precisar das atualizações de permissão no IAM.
Os parceiros da AWS Identity Ping Identity, OneLogin, Okta, Auth0, Forgerock, IBM e RSA têm experiência completa para esse novo recurso com suas soluções de identidade e estamos ansiosos para fazer mais parcerias para certificar esse recurso. Entre em contato com seu provedor de identidades em conformidade com padrões para obter mais orientações. Para saber mais sobre como conectar suas identidades corporativas às regras de permissões na AWS, acesse a sessão tags na sessão da AWS.