Центр идентификации AWS IAM упрощает вызовы сервисов AWS с помощью единого контекста идентификации
Центр идентификации AWS IAM теперь позволяет использовать единый контекст идентификации для распространения идентификационных данных пользователей, запрашивающих доступ к сервисам AWS, что упрощает работу разработчиков приложений.
Ранее разработчикам приложений, которые хотели предоставить своим приложениям возможность распространения доверенных идентификационных данных, приходилось вызывать сервисы AWS, используя два разных сеанса ролей IAM: один для сервисов, разрешающих доступ пользователя, а другой для сервисов, регистрирующих личность пользователя только для аудита. В этом выпуске разработчики приложений могут вызывать любой сервис AWS, используя один сеанс ролей IAM с помощью sts:identity_context. Когда приложение настроено в сценарии использования доверенного распространения идентификационных данных, сервисы AWS используют контекст идентификационных данных для авторизации доступа пользователей. Если сервис AWS не является частью варианта использования доверенного распространения идентификационных данных, доступ к ресурсам по-прежнему разрешается ролями IAM. Все сервисы AWS, использующие события CloudTrail версии 1.09 и выше, регистрируют идентификатор пользователя (userId) IAM Identity Center в журналах своих сервисов и в элементе OnBehalfOf журналов Amazon CloudTrail.
IAM Identity Center позволяет один раз подключить существующий источник идентификационных данных сотрудников к AWS и получить доступ к персонализированным интерфейсам, предлагаемым приложениями AWS, такими как Amazon Q; определить и проверить доступ пользователей к данным в сервисах AWS, таких как Amazon Redshift; а также централизованно управлять доступом к нескольким аккаунтам AWS. Узнайте больше о ролевых сессиях IAM Identity Center с улучшенной идентификацией здесь. В IAM Identity Center эта функция доступна без дополнительной оплаты во всех регионах AWS.