Центр идентификации AWS IAM – это сервис, позволяющий централизованно управлять доступом ко множеству аккаунтов AWS и бизнес‑приложениям. Он предоставляет сотрудникам единый доступ ко всем назначенным аккаунтам и приложениям из одного места. IAM Identity Center упрощает централизованное управление доступом и разрешениями пользователей для всех аккаунтов в сервисе «Организации AWS». IAM Identity Center настраивает и обслуживает все необходимые разрешения для ваших аккаунтов автоматически без дополнительной настройки отдельных аккаунтов. Пользовательские разрешения можно задавать на основе общих должностных обязанностей, а затем дополнительно настраивать в соответствии с конкретными требованиями безопасности. IAM Identity Center также включает встроенные интеграции с приложениями AWS, такими как Студия Amazon SageMaker, Менеджер изменений Менеджера систем AWS и AWS IoT SiteWise, и многими бизнес-приложениями, такими как Salesforce, Box и Microsoft 365.
В хранилище идентификационных данных IAM Identity Center вы можете создавать пользовательские удостоверения и управлять ими, а также легко подключаться к уже существующим источникам удостоверений, например Microsoft Active Directory, Okta, Ping Identity, JumpCloud и Azure Active Directory (Azure AD). IAM Identity Center позволяет выбирать атрибуты пользователя, например центр расходов, должность или язык, на основании источника идентификационных данных, а затем использовать их для управления доступом к AWS на основе атрибутов (ABAC).
Начать работу с IAM Identity Center совсем не сложно. Всего несколькими щелчками мыши в консоли управления IAM Identity Center можно подключиться к существующему источнику идентификации. Здесь можно настроить разрешения, предоставляющие пользователям доступ к назначенным им аккаунтам в сервисе «Организации AWS» и сотням предварительно настроенных облачных приложений, и все это с единого пользовательского портала.
Централизованное управление удостоверениями
Создание и управление пользователями в IAM Identity Center
IAM Identity Center по умолчанию предоставляет вам хранилище идентификационных данных, которое вы можете использовать для создания пользователей и организации их в группы в IAM Identity Center. Создать пользователей в IAM Identity Center можно путем настройки адреса электронной почты и имени. По умолчанию при создании пользователя сервис IAM Identity Center отправляет на электронный адрес этого пользователя письмо, чтобы он мог задать себе пароль. За считаные минуты можно предоставить пользователям и группам разрешения на ресурсы AWS во всех ваших аккаунтах AWS, а также во многих бизнес‑приложениях. Пользователи смогут входить на пользовательский портал с помощью данных для доступа, которые они настроили в IAM Identity Center, и обращаться ко всем назначенным аккаунтам и приложениям из единого центра.
Подключение и автоматическая настройка удостоверений от поставщиков со стандартизированным протоколом
Центр идентификации IAM можно подключить к Okta Universal Directory, Azure AD или другому поддерживаемому поставщику идентификации (IdP) с помощью языка разметки декларации безопасности (Security Assertion Markup Language, SAML) версии 2.0, чтобы ваши пользователи могли использовать для входа существующие учетные данные. Кроме того, Центр идентификации IAM также интегрирован с системой управления междоменными удостоверениями (System for Cross-Domain Identity Management, SCIM) для автоматизации подготовки удостоверений. Вы можете управлять удостоверениями пользователей в поставщике удостоверений, быстро переносить их в AWS и централизованно управлять доступом ко всем аккаунтам AWS и бизнес-приложениям. IAM Identity Center также позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, из Okta Universal Directory, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом.
Интеграция с Microsoft Active Directory
С помощью IAM Identity Center можно управлять доступом по технологии единого входа к аккаунтам и приложениям, используя существующие корпоративные удостоверения Microsoft Active Directory Domain Services (AD DS). IAM Identity Center интегрируется с AD DS через Сервис каталогов AWS и позволяет предоставлять доступ к аккаунтам и приложениям путем добавления пользователей в соответствующие группы AD. Например, можно создать группу для команды разработчиков, работающих над приложением, и предоставить ей доступ к аккаунтам AWS, связанным с этим приложением. Когда к проекту присоединятся новые разработчики, их можно добавить в группу AD, и они автоматически получат доступ ко всем связанным аккаунтам AWS. IAM Identity Center также позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, из AD, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом.
Многофакторная аутентификация
IAM Identity Center позволяет включить MFA для всех своих пользователей, включая требование, по условиям которого пользователи должны настраивать устройства MFA во время входа. С помощью IAM Identity Center вы также можете использовать возможности строгой аутентификации на основе стандартов для всех своих пользователей во всех источниках идентификации. Если вы используете источник идентификации с поддержкой SAML 2.0 IdP, вы можете включить многофакторную аутентификацию (MFA), предоставляемую вашим поставщиком. Если использовать Active Directory или IAM Identity Center в качестве источника идентификации, IAM Identity Center будет поддерживать спецификацию веб-аутентификации. Благодаря этому вы получите возможность защищать доступ пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, таких как Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP).
Точные разрешения и назначения
Разрешения для нескольких аккаунтов
IAM Identity Center основывается на ролях и политиках AWS Identity and Access Management (IAM), благодаря чему вы сможете централизованно управлять доступом во всех аккаунтах AWS своей организации. IAM Identity Center использует наборы разрешений, которые представляют собой совокупность одной или нескольких политик IAM. Затем вы назначаете набор(ы) разрешений, чтобы определить доступ для ваших пользователей или групп. На основе этих назначений служба создает роль IAM под управлением IAM Identity Center и прикрепляет политики, указанные в наборе разрешений, к этим ролям в каждом назначенном аккаунте. Дополнительная настройка отдельных аккаунтов не требуется.
Варианты временного расширенного доступа
Центр идентификации IAM предлагает временный расширенный доступ с помощью ряда вариантов партнерской интеграции. В AWS подтвердили, что вы можете использовать запросы CyberArk Secure Cloud Access, Ermetic и Okta Access Requests для решения ряда сценариев временного расширенного доступа, в том числе конфиденциальных операций, для которых требуется полный аудит, многооблачных сред со сложными правами, где нужен аудит, а также организаций, использующих несколько источников идентификации и интеграций приложений. Ваш сотрудник, не имеющий постоянных разрешений на выполнение конфиденциальных операций, таких как изменение конфигурации дорогостоящего ресурса в производственной среде, может запросить доступ, получить одобрение и выполнить операцию в течение определенного времени. Кроме того, ваши аудиторы могут просматривать журнал действий и одобрений в партнерском решении.
Назначения приложений
В консоли IAM Identity Center используйте назначения приложений для обеспечения единого доступа ко многим бизнес-приложениям SAML 2.0, включая Salesforce, Box и Microsoft 365. Следуя пошаговым инструкциям, можно легко настроить доступ к этим приложениям с использованием технологии единого входа в IAM Identity Center. Сервис поможет ввести требуемые URL-адреса, сертификаты и метаданные. Полный список бизнес-приложений, интегрированных с Центром идентификации IAM, см. на странице облачных приложений Центра идентификации IAM.
Контроль доступа на основе атрибутов
IAM Identity Center упрощает процесс создания и использования точных разрешений для своих рабочих ресурсов на основе атрибутов пользователей, определенных в хранилище идентификационных данных IAM Identity Center. IAM Identity Center позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом. Вы можете однажды определить разрешения для всей организации AWS, после чего доступ можно предоставлять, отзывать и изменять, просто изменяя атрибуты в источнике идентификации.
Административные и управленческие особенности
Делегированное администрирование из аккаунта участника
IAM Identity Center поддерживает централизованное администрирование и доступ к API из аккаунта делегированного администратора сервиса «Организации AWS» для всех аккаунтов участников в вашей организации. Это означает, что вы можете назначить аккаунт в своей организации, который будет использоваться для централизованного управления всеми аккаунтами участников. С помощью делегированного администрирования вы можете придерживаться рекомендаций, сократив необходимость использования аккаунта управления.
Поддержка стандартов безопасности и сертификации соответствия требованиям
IAM Identity Center поддерживает стандарты безопасности и требования соответствия, включая поддержку стандарта Payment Card Industry – Data Security Standard (PCI DSS), Международной организации по стандартизации (ISO), System and Organization Controls (SOC) 1, 2 и 3, Esquema Nacional de Seguridad (ENS) High, требований к отчетам типа 2 Международного стандарта по заверению сделок (ISAE) 3000, а также многоуровневой облачной безопасности (MTCS). Сервис по-прежнему оценивается по Программе зарегистрированных экспертов по оценке систем информационной безопасности (IRAP).
Интеграция с сервисом «Организации AWS»
IAM Identity Center интегрирован с сервисом Организации AWS, что позволяет выбрать один или несколько аккаунтов из организации и предоставить пользователям к ним доступ. С помощью нескольких щелчков мышью можно начать работу с IAM Identity Center и предоставить сотрудникам доступ ко всем аккаунтам AWS, которые используются приложением или группой.
Мастер настройки приложений, поддерживающих SAML
С помощью мастера назначения приложений Центра идентификации IAM можно создать интеграцию единого входа в систему для приложений, поддерживающих SAML 2.0. Мастер назначения приложений помогает выбрать и представить в требуемом виде информацию для отправки приложениям, чтобы задействовать доступ по технологии единого входа. Например, можно создать атрибут SAML для имени пользователя и задать формат для атрибута на основе адреса электронной почты пользователя из профиля AD.
Отслеживание событий доступа во всех приложениях и аккаунтах AWS
Все административные действия и события доступа с нескольких аккаунтов записываются в AWS CloudTrail, что позволяет централизованно отслеживать действия IAM Identity Center и получать наглядную статистику. С помощью CloudTrail можно просматривать попытки авторизации, назначения приложений и изменения в интеграции каталога. К примеру, можно просматривать приложения, к которым пользователь получал доступ в заданный период времени, или выяснять, когда пользователь получил доступ к конкретному приложению.
Подробнее об AWS IAM Identity Center