Функции Центра идентификации AWS IAM

Центр идентификации AWS IAM – это сервис, позволяющий централизованно управлять доступом ко множеству аккаунтов AWS и бизнес‑приложениям. Он предоставляет сотрудникам единый доступ ко всем назначенным аккаунтам и приложениям из одного места. IAM Identity Center упрощает централизованное управление доступом и разрешениями пользователей для всех аккаунтов в сервисе «Организации AWS». IAM Identity Center настраивает и обслуживает все необходимые разрешения для ваших аккаунтов автоматически без дополнительной настройки отдельных аккаунтов. Пользовательские разрешения можно задавать на основе общих должностных обязанностей, а затем дополнительно настраивать в соответствии с конкретными требованиями безопасности. Центр идентификации IAM также включает встроенные интеграции с приложениями AWS, такими как сервисы аналитики AWS, Студия Amazon SageMaker, Менеджер изменений Менеджера систем AWS и многими бизнес-приложениями, такими как Salesforce, Box и Microsoft 365.

В хранилище идентификационных данных Центра идентификации IAM вы можете создавать пользовательские удостоверения и управлять ими, а также легко подключаться к уже существующим источникам удостоверений, например Microsoft Active Directory, Okta, Ping Identity, JumpCloud и Microsoft Entra ID (ранее Azure AD). Центр идентификации IAM позволяет выбирать атрибуты пользователя, например центр расходов, должность или язык, на основании источника идентификационных данных, а затем использовать их для управления доступом к AWS на основе атрибутов (ABAC).

Начать работу с IAM Identity Center совсем не сложно. Всего несколькими щелчками мыши в консоли управления IAM Identity Center можно подключиться к существующему источнику идентификации. Здесь можно настроить разрешения, предоставляющие пользователям доступ к назначенным им аккаунтам в сервисе «Организации AWS» и сотням предварительно настроенных облачных приложений, и все это с единого пользовательского портала.

Централизованное управление удостоверениями

Создание и управление пользователями в IAM Identity Center

IAM Identity Center по умолчанию предоставляет вам хранилище идентификационных данных, которое вы можете использовать для создания пользователей и организации их в группы в IAM Identity Center. Создать пользователей в IAM Identity Center можно путем настройки адреса электронной почты и имени. По умолчанию при создании пользователя сервис IAM Identity Center отправляет на электронный адрес этого пользователя письмо, чтобы он мог задать себе пароль. За считаные минуты можно предоставить пользователям и группам разрешения на ресурсы AWS во всех ваших аккаунтах AWS, а также во многих бизнес‑приложениях. Пользователи смогут входить на пользовательский портал с помощью данных для доступа, которые они настроили в IAM Identity Center, и обращаться ко всем назначенным аккаунтам и приложениям из единого центра.

Подключение и автоматическая настройка удостоверений от поставщиков со стандартизированным протоколом

Центр идентификации IAM можно подключить к Okta Universal Directory, Microsoft Entra ID или другому поддерживаемому поставщику идентификации (IdP) с помощью языка разметки декларации безопасности (Security Assertion Markup Language, SAML) версии 2.0, чтобы ваши пользователи могли использовать для входа существующие учетные данные. Кроме того, Центр идентификации IAM также интегрирован с системой управления междоменными удостоверениями (SCIM) для автоматизации подготовки удостоверений. Вы можете управлять удостоверениями пользователей в поставщике удостоверений, быстро переносить их в AWS и централизованно управлять доступом ко всем аккаунтам AWS и бизнес-приложениям. IAM Identity Center также позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, из Okta Universal Directory, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом.

Интеграция с Microsoft Active Directory

С помощью IAM Identity Center можно управлять доступом по технологии единого входа к аккаунтам и приложениям, используя существующие корпоративные удостоверения Microsoft Active Directory Domain Services (AD DS). IAM Identity Center интегрируется с AD DS через Сервис каталогов AWS и позволяет предоставлять доступ к аккаунтам и приложениям путем добавления пользователей в соответствующие группы AD. Например, можно создать группу для команды разработчиков, работающих над приложением, и предоставить ей доступ к аккаунтам AWS, связанным с этим приложением. Когда к проекту присоединятся новые разработчики, их можно добавить в группу AD, и они автоматически получат доступ ко всем связанным аккаунтам AWS. IAM Identity Center также позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, из AD, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом.

Многофакторная аутентификация

IAM Identity Center позволяет включить MFA для всех своих пользователей, включая требование, по условиям которого пользователи должны настраивать устройства MFA во время входа. С помощью IAM Identity Center вы также можете использовать возможности строгой аутентификации на основе стандартов для всех своих пользователей во всех источниках идентификации. Если вы используете источник идентификации с поддержкой SAML 2.0 IdP, вы можете включить многофакторную аутентификацию (MFA), предоставляемую вашим поставщиком. Если использовать Active Directory или IAM Identity Center в качестве источника идентификации, IAM Identity Center будет поддерживать спецификацию веб-аутентификации. Благодаря этому вы получите возможность защищать доступ пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, таких как Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP).

Точные разрешения и назначения

Разрешения для нескольких аккаунтов

IAM Identity Center основывается на ролях и политиках AWS Identity and Access Management (IAM), благодаря чему вы сможете централизованно управлять доступом во всех аккаунтах AWS своей организации. IAM Identity Center использует наборы разрешений, которые представляют собой совокупность одной или нескольких политик IAM. Затем вы назначаете набор(ы) разрешений, чтобы определить доступ для ваших пользователей или групп. На основе этих назначений служба создает роль IAM под управлением IAM Identity Center и прикрепляет политики, указанные в наборе разрешений, к этим ролям в каждом назначенном аккаунте. Дополнительная настройка отдельных аккаунтов не требуется.

Варианты временного расширенного доступа

Центр идентификации IAM предлагает временный расширенный доступ с помощью ряда вариантов партнерской интеграции. В AWS подтвердили, что вы можете использовать запросы CyberArk Secure Cloud Access, Tenable Cloud Security и Okta Access Requests для решения ряда сценариев временного расширенного доступа, в том числе конфиденциальных операций, для которых требуется полный аудит, многооблачных сред со сложными правами, где нужен аудит, а также организаций, использующих несколько источников идентификации и интеграций приложений. Ваш сотрудник, не имеющий постоянных разрешений на выполнение конфиденциальных операций, таких как изменение конфигурации дорогостоящего ресурса в производственной среде, может запросить доступ, получить одобрение и выполнить операцию в течение определенного времени. Кроме того, ваши аудиторы могут просматривать журнал действий и одобрений в партнерском решении.

Назначения приложений

В консоли IAM Identity Center используйте назначения приложений для обеспечения единого доступа ко многим бизнес-приложениям SAML 2.0, включая Salesforce, Box и Microsoft 365. Следуя пошаговым инструкциям, можно легко настроить доступ к этим приложениям с использованием технологии единого входа в IAM Identity Center. Сервис поможет ввести требуемые URL-адреса, сертификаты и метаданные. Полный список бизнес-приложений, интегрированных с Центром идентификации IAM, см. на странице облачных приложений Центра идентификации IAM.

Предоставление доверенных идентификационных данных

Предоставление доверенных идентификационных данных основано на платформе авторизации OAuth 2.0, которая позволяет приложениям получать доступ к данным и другим ресурсам от имени конкретного пользователя без предоставления его учетных данных. Эта функция Центра идентификации IAM упрощает управление доступом к данным для пользователей и аудит, а также повышает удобство входа в систему для пользователей аналитики в нескольких аналитических приложениях AWS. Для начала владелец приложения, источник идентификационных данных и администратор данных подключают приложение к сервису и начинают управлять доступом на основе пользователей и групп. Администраторы ресурсов могут настраивать и управлять доступом к ресурсам данных в приложениях, используя существующие идентификационные данные и членство в группах из источника идентификационных данных. Команды по аудиту и обеспечению безопасности могут отслеживать доступ к ресурсам данных каждого пользователя. Аналитики данных могут беспрепятственно получать доступ к назначенным данным в сервисах аналитики AWS (Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR и AWS LakeFormation), используя интерфейс единого входа. Узнайте больше о предоставлении доверенных идентификационных данных.

Контроль доступа на основе атрибутов

IAM Identity Center упрощает процесс создания и использования точных разрешений для своих рабочих ресурсов на основе атрибутов пользователей, определенных в хранилище идентификационных данных IAM Identity Center. IAM Identity Center позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом. Вы можете однажды определить разрешения для всей организации AWS, после чего доступ можно предоставлять, отзывать и изменять, просто изменяя атрибуты в источнике идентификации.

Подробнее об ABAC »

Административные и управленческие особенности

Делегированное администрирование из аккаунта участника

IAM Identity Center поддерживает централизованное администрирование и доступ к API из аккаунта делегированного администратора сервиса «Организации AWS» для всех аккаунтов участников в вашей организации. Это означает, что вы можете назначить аккаунт в своей организации, который будет использоваться для централизованного управления всеми аккаунтами участников. С помощью делегированного администрирования вы можете придерживаться рекомендаций, сократив необходимость использования аккаунта управления.

Поддержка стандартов безопасности и сертификации соответствия требованиям

IAM Identity Center поддерживает стандарты безопасности и требования соответствия, включая поддержку стандарта Payment Card Industry – Data Security Standard (PCI DSS), Международной организации по стандартизации (ISO), System and Organization Controls (SOC) 1, 2 и 3, Esquema Nacional de Seguridad (ENS) High, требований к отчетам типа 2 Международного стандарта по заверению сделок (ISAE) 3000, а также многоуровневой облачной безопасности (MTCS). Сервис по-прежнему оценивается по Программе зарегистрированных экспертов по оценке систем информационной безопасности (IRAP) на уровне PROTECTED.

Гибкость развертывания

IAM Identity Center можно развернуть как инстанс организации или аккаунта. Инстанс организации IAM Identity Center развернут в учетной записи управления Организации AWS. Это лучшее практическое применение и рекомендуемый подход к аутентификации и авторизации сотрудников. Это единая центральная точка управления доступом к учетным записям и приложениям AWS в рабочей среде с несколькими учетными записями. Инстанс учетной записи IAM Identity Center – это ограниченное по объему развертывание, которое могут выполнять корпоративные пользователи для быстрой оценки поддерживаемого приложения AWS (например, Amazon Redshift) и обеспечения его доступности узкому кругу пользователей приложения. Администратор инстанса организации может управлять возможностью корпоративных пользователей создавать инстансы учетных записей с помощью политик управления сервисами (SCP), которые являются функцией Организации AWS.

Мастер настройки приложений, поддерживающих SAML

С помощью мастера назначения приложений Центра идентификации IAM можно создать интеграцию единого входа в систему для приложений, поддерживающих SAML 2.0. Мастер назначения приложений помогает выбрать и представить в требуемом виде информацию для отправки приложениям, чтобы задействовать доступ по технологии единого входа. Например, можно создать атрибут SAML для имени пользователя и задать формат для атрибута на основе адреса электронной почты пользователя из профиля AD.

Отслеживание событий доступа во всех приложениях и аккаунтах AWS

Все административные действия и события доступа с нескольких аккаунтов записываются в AWS CloudTrail, что позволяет централизованно отслеживать действия IAM Identity Center и получать наглядную статистику. С помощью CloudTrail можно просматривать попытки авторизации, назначения приложений и изменения в интеграции каталога. К примеру, можно просматривать приложения, к которым пользователь получал доступ в заданный период времени, или выяснять, когда пользователь получил доступ к конкретному приложению.

Дальнейшие шаги

Getting Started

Узнайте, как начать работу с IAM

Перейти на страницу начала работы

Console

Готовы приступить к разработке?

Начало работы с IAM

Возникли дополнительные вопросы?

Свяжитесь с нами