張貼日期: Nov 25, 2019
今日稍早,AWS Identity and Access Management (IAM) 已開放您使用員工現行的身分屬性 (例如您目錄中的成本中心和部門,在 AWS 建立精細分類的許可。管理員可在 AWS 中使用這些屬性,對 AWS 資源實作屬性取向的存取控制機制,大規模簡化許可管理作業。
想為員工提供 AWS 資源的存取權限,其中一種方式是利用聯合身分。您可以使用符合標準的身分供應商 (IdP),管理公司目錄中員工身分的聯合身分存取權限。客戶向我們反映,他們想利用目錄中的身分屬性,簡化管理作業與使用者體驗,以便管理聯合身分使用者的存取權限。透過此次發佈,管理員現在可以設定 IdP,當員工在 AWS 建立聯合身分時,讓 IdP 於 AWS 工作階段中傳送員工屬性。在 AWS 中將這些屬性當作標籤使用,便可簡化精細許可的建立流程,限制員工只能存取符合標籤的 AWS 資源。如此可減少您需在 AWS 帳戶中建立許可的數量,讓管理更輕鬆。例如,假設紅隊的開發人員 Bob 和藍隊的 Sally 在 AWS 中建立聯合身分,並擔任相同的 IAM 角色,他們會取得不同許可,僅能存取標示為供其團隊使用的專案資源。原理在於,Bob 和 Sally 在 AWS 中建立聯合身分時,IdP 在 AWS 工作階段中傳送了團隊名稱屬性,角色許可便能提供符合團隊名稱標籤的存取權限,以存取合適的專案資源。如果 Bob 調到藍隊,並在目錄中更新了他的團隊名稱,他不必向 IAM 申請更新許可,就能自動取得藍隊專案資源的存取權限。
AWS 身分合作夥伴 Ping Identity、OneLogin、Okta、Auth0、Forgerock、IBM 和 RSA 的身分解決方案均已認證這項新功能的端對端體驗。期待日後有更多合作夥伴認證此功能。若需相關指示,請聯絡符合標準的身分供應商。 若要深入了解如何將公司身分與 AWS 的許可規則連結,請參閱在 AWS 工作階段中傳遞工作階段標籤。