Recursos do Centro de Identidade do AWS IAM

O IAM Identity Center fornece um repositório de identidades por padrão que você pode usar para criar usuários e organizá-los em grupos no IAM Identity Center. Você pode criar usuários no IAM Identity Center configurando seus endereços de e-mail e nomes. Por padrão, quando você cria usuários, o IAM Identity Center envia um e-mail para que eles possam definir suas próprias senhas. Em minutos, você pode conceder a usuários e grupos permissões de acesso aos recursos da AWS em todas as suas contas da AWS, bem como a diversas aplicações empresariais. Os usuários fazem login em um portal de usuários com as credenciais que eles configuraram no IAM Identity Center, para acessar de um único lugar todas as contas e aplicações atribuídas.

Você pode conectar o Centro de Identidade do IAM ao Diretório Universal da Okta, ao Microsoft Entra ID ou a outro provedor de identidades (IdP) compatível por meio da SAML (Security Assertion Markup Language 2.0) para que os usuários possam se conectar com as credenciais existentes. Além disso, o Centro de Identidade do IAM também é compatível com o sistema para gerenciamento de identidade entre domínios (SCIM) para automação do provisionamento de usuários. Você pode gerenciar seus usuários no seu IdP, inseri-los na AWS rapidamente e gerenciar centralmente seu acesso a todas as contas e aplicações de negócios da AWS. O IAM Identity Center permite selecionar vários atributos do usuário, como central de custos, cargo ou local a partir de seu Diretório universal da Okta, e usá-los para o ABAC para simplificar e centralizar a administração do acesso.

Com o IAM Identity Center, você pode gerenciar o acesso por logon único às contas e aplicações usando suas identidades corporativas existentes no Microsoft Active Directory Domain Services (AD DS). O IAM Identity Center se conecta ao AD DS por meio do AWS Directory Service e permite que você conceda aos usuários acesso a contas e aplicações simplesmente adicionando os usuários aos grupos do AD apropriados. Por exemplo, você pode criar um grupo para uma equipe de desenvolvedores que está trabalhando em uma aplicação e conceder ao grupo acesso às contas da AWS para a aplicação. Quando novos desenvolvedores entram para a equipe e você os adiciona ao grupo do AD, eles recebem automaticamente acesso a todas as contas da AWS para a aplicação. O IAM Identity Center permite selecionar vários atributos do usuário, como central de custos, cargo ou local a partir de seu AD, e usá-los para o ABAC para simplificar e centralizar a administração do acesso.

O IAM Identity Center permite forçar o MFA a todos os usuários, inclusive o requisito para os usuários configurarem os dispositivos MFA durante o login. Com o IAM Identity Center, é possível usar recursos de autenticação forte baseada em padrões para todos os usuários em todas as fontes de identidade. Se você usar um IdP SAML 2.0 compatível como sua fonte de identidade, poderá habilitar os recursos de autenticação multifator (MFA) do seu provedor. Ao usar o Active Directory ou o Centro de Identidade do IAM como a fonte de identidade, o Centro de Identidade do IAM suporta a especificação de autenticação da Web para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações de negócios usando as chaves de segurança habilitadas para FIDO, como YubiKey, e os autenticadores biométricos incorporados, como Touch ID em Apple MacBooks e reconhecimento facial em PCs. Você também pode habilitar as senhas exclusivas baseadas em tempo (TOTPs) usando aplicativos de autenticação, como Google Authenticator ou Twilio Authy.

O IAM Identity Center utiliza as funções e as políticas do AWS Identity and Access Management (IAM) para ajudá-lo a gerenciar o acesso de modo central a todas as contas AWS em sua empresa AWS. O IAM Identity Center usa conjuntos de permissões, que são coleções de uma ou mais políticas do IAM. Em seguida, você atribui conjuntos de permissões para definir o acesso para seus usuários/grupos. Com base nessas atribuições, o serviço cria um perfil do IAM controlado pelo IAM Identity Center e anexa as políticas especificadas no conjunto de permissões a essas funções em cada conta atribuída. Nenhuma configuração adicional é necessária para as contas individuais.  

O Centro de Identidade do IAM oferece acesso temporário elevado por meio de uma gama de opções de integração de parceiros. A AWS confirmou que você pode usar o acesso seguro à nuvem da CyberArk, o Tenable Cloud Security e as solicitações de acesso da Okta para ajudar a lidar com uma série de cenários temporários de acesso elevado, incluindo operações confidenciais que exigem auditoria total, ambientes multinuvem com direitos e necessidades de auditoria complexos e organizações que usam várias fontes de identidade e integrações de aplicações. Seu usuário da força de trabalho que não tem permissões permanentes para realizar operações confidenciais, como alterar a configuração de um recurso de alto valor em um ambiente de produção, pode solicitar acesso, receber aprovação e realizar a operação durante um período especificado. Além disso, seus auditores podem ver um log de ações e aprovações na solução do parceiro.

No console do IAM Identity Center, use atribuições de aplicações para fornecer acesso de logon único a muitas aplicações de negócios SAML 2.0, incluindo Salesforce, Box e Microsoft 365. Você pode configurar facilmente o acesso por logon único a essas aplicações, seguindo as instruções passo a passo contidas no IAM Identity Center. Ele orientará você em relação à entrada dos URLs, dos certificados e dos metadados exigidos. Para obter uma lista completa de aplicações de negócios pré-integradas ao Centro de Identidade do IAM, consulte as aplicações em nuvem do Centro de Identidade do IAM.

A propagação de identidade confiável é baseada na Framework de Autorização OAuth 2.0, que permite que as aplicações acessem dados e outros recursos em nome de um usuário específico, sem compartilhar as credenciais desse usuário. Esse atributo do Centro de Identidade do IAM simplifica o gerenciamento de acesso a dados para usuários, a auditoria e melhora a experiência de login para usuários de análise em várias aplicações de análise da AWS. Para começar, o proprietário da aplicação, a fonte de identidade e o administrador de dados conectam a aplicação ao serviço e começam a gerenciar o acesso com base em usuários e grupos. Os administradores de recursos podem, então, configurar e gerenciar o acesso aos recursos de dados nos aplicativos usando identidades existentes e associações de grupos a partir de sua fonte de identidade. As equipes de auditoria e segurança podem rastrear o acesso aos recursos de dados até cada usuário. Os analistas de dados podem acessar facilmente seus dados atribuídos em todos os serviços de análise da AWS (Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR e AWS LakeFormation) usando uma experiência familiar de login único. Saiba mais sobre a propagação de identidade confiável. 

O IAM Identity Center facilita criar e usar permissões refinadas para sua força de trabalho com base nos atributos do usuário definidos no armazenamento de identidades do IAM Identity Center. O IAM Identity Center permite selecionar vários atributos, como central de custos, cargo ou local, e usá-los para o ABAC (controle de acesso por atributo) para simplificar e centralizar a administração do acesso. Você pode definir as permissões uma vez para toda a empresa AWS, então conceder, revogar ou modificar o acesso AWS apenas mudando os atributos em sua fonte de identidade.

Saiba mais sobre o ABAC »

O IAM Identity Center é compatível com acesso de API e administração centralizados diretamente de uma conta de administrador delegada no AWS Organizations para todas as contas-membro em sua organização. Isso significa que você pode designar uma conta em sua organização que poderá ser usada para administrar centralmente todas as contas-membro. Com a administração delegada, é possível aderir às práticas recomendadas reduzindo a necessidade de uso da sua conta de gerenciamento.

O IAM Identity Center comporta padrões de segurança e requisitos de conformidade, incluindo suporte para Payment Card Industry - Data Security Standard (PCI DSS – Padrão de segurança de dados para o setor de cartões de pagamento), International Organization for Standardization (ISO), System and Organization Controls (SOC – Controles de sistemas e organizações) 1, 2 e 3, Esquema Nacional de Seguridad (ENS) Elevado, os requisitos de relatórios Tipo 2 da International Standard on Assurance Engagements (ISAE – Norma Internacional de Compromissos de seguros) 3000 da Financial Market Supervisory Authority (FINMA – Autoridade de Supervisão do Mercado Financeiro) e Multi-Tier Cloud Security (MTCS – Segurança em nuvem de várias camadas). O serviço continua avaliado pelo Information Security Registered Assessors Program (IRAP – Programa de avaliadores de segurança registrados) no nível PROTECTED.

O Centro de Identidade do IAM pode ser implantado como uma instância da organização ou como uma instância de conta. Uma instância organizacional do Centro de Identidade do IAM é implantada na conta de gerenciamento do AWS Organizations. É a melhor prática e a abordagem recomendada para autenticar e autorizar sua força de trabalho. É um ponto de controle de acesso único e central para contas e aplicações da AWS em um ambiente de produção com várias contas. Uma instância de conta do Centro de Identidade do IAM é uma implantação de escopo limitado que pode ser feita por usuários corporativos com o objetivo de avaliar rapidamente uma aplicação da AWS compatível (por exemplo, Amazon Redshift) e disponibilizá-la para um conjunto restrito de usuários da aplicação. O administrador de uma instância da organização pode controlar a capacidade dos usuários corporativos de criar instâncias de conta por meio de políticas de controle de serviços (SCPs), um atributo do AWS Organizations.

Você pode criar integrações de autenticação única para aplicações habilitadas para SAML 2.0 usando o assistente de configuração de aplicações do Centro de Identidade do IAM. O assistente de configuração de atribuições de aplicações ajuda você a selecionar e formatar as informações para enviar aplicações para a habilitação do acesso por autenticação única. Por exemplo, você pode criar um atributo de SAML para nome de usuário e especificar o formato do atributo com base no endereço de e-mail do perfil do AD de um usuário.

Todas as atividades de acesso administrativo e multiconta são registradas no AWS CloudTrail, dando a você visibilidade para auditar a atividade do Centro de Identidade do IAM de maneira centralizada. Por meio do CloudTrail, você pode ver atividades como tentativas de entrada, atribuições de aplicações e mudanças de integração de diretório. Por exemplo, você pode ver as aplicações que um usuário acessou durante certo período ou quando um usuário recebeu acesso a uma aplicação específica.