AWS IAM Identity Center (AWS Single Sign-On 的後繼者) 可輕鬆集中管理對多個 AWS 帳戶和商業應用程式的存取。它為您的人力提供從一處對所有指派帳戶和應用程式的單一登入存取。藉助 IAM Identity Center,您可以輕鬆管理對 AWS Organizations 中所有帳戶的集中存取和使用者許可。IAM Identity Center 會自動集中設定及維護您帳戶需要的所有許可,不必另外進入個別帳戶設定。您可以根據一般工作職責指派使用者許可,並自訂這些許可以滿足特定安全需求。IAM Identity Center 還包括與 AWS 應用程式 (如 Amazon SageMaker Studio、AWS Systems Manager Change Manager 和 AWS IoT SiteWise) 以及許多商業應用程式 (如 Salesforce、Box 和 Microsoft 365) 的內建整合。
您可以在 IAM Identity Center 的身分存放區中建立和管理使用者身分,或輕鬆連線至現有身分來源,包括 Microsoft Active Directory、Okta、Ping Identity、JumpCloud 和 Azure Active Directory (Azure AD)。IAM Identity Center 可讓您從身分來源中選擇使用者屬性,例如成本中心、職稱或地區設定,然後使用這些屬性實作 AWS 中基於屬性的存取控制 (ABAC)。
使用 IAM Identity Center 輕鬆開始使用。只需在 IAM Identity Center 管理主控台中點按幾下,即可連線至現有身分來源。您可以在主控台設定許可,授予您的使用者存取其在 AWS Organizations 中指派帳戶和數百個預先設定的雲端應用程式的權限,所有這一切均在單一使用者入口網站實現。
集中式身分管理
在 IAM Identity Center 建立並管理使用者
IAM Identity Center 預設為您提供一個身分存放區,您可以用於在 IAM Identity Center 內建立使用者並將其整理到群組。您可以透過設定電子郵件地址和名稱,在 IAM Identity Center 中建立使用者。建立使用者時,依預設,IAM Identity Center 會傳送電子郵件給使用者,以便使用者可以設定其自己的密碼。您可以在短短幾分鐘內,授與使用者和群組使用所有 AWS 帳戶中的 AWS 資源和眾多商業應用程式的許可。使用者可透過在 IAM Identity Center 中設定的憑證登入使用者入口網站,在單一位置存取所有指派給他們的帳戶和應用程式。
連接以標準為基礎的身分供應商並自動佈建使用者
您可以透過安全聲明標記語言 (SAML) 2.0 將 IAM Identity Center 與 Okta Universal Directory、Azure AD 或其他支援的身份提供者 (IdP)連線,以便您的使用者可以使用其現有憑證登入。並且,IAM Identity Center 還支援跨域身份管理系統 (SCIM),可實現使用者自動佈建。您可以在 IdP 中管理使用者,則可以將他們快速加入到 AWS,並集中管理他們對所有 AWS 帳戶和商業應用程式的存取。IAM Identity Center 還可讓您從 Okta Universal Directory 選擇多個使用者屬性 (例如成本中心、職稱或地區設定),然後使用這些屬性實施 ABAC,以簡化和集中管理存取權限。
與 Microsoft Active Directory 連接
使用 IAM Identity Center,您便可管理使用現有 Microsoft Active Directory 網域服務 (AD DS) 公司身份之帳戶和應用程式的單一登入存取。IAM Identity Center 透過 AWS Directory Service 與 AD DS 連接,只要將使用者新增至適當的 AD 群組,便可將帳戶和應用程式的存取權限授與使用者。例如,您可以為使用某應用程式的一組開發人員建立一個群組,然後將此群組存取授與該應用程式的 AWS 帳戶。當新的開發人員加入小組時,您只要將其新增至 AD 群組,他們便會自動獲授與該應用程式的所有 AWS 帳戶存取權。IAM Identity Center 還可讓您從 AD 選擇多個使用者屬性 (例如成本中心、職稱或地區設定),然後使用這些屬性實施 ABAC,以簡化和集中管理存取權限。
多重要素驗證
IAM Identity Center 可讓您為所有使用者強制執行 MFA,包括要求使用者在登入期間設定 MFA 裝置。藉助 IAM Identity Center,您可以為所有身分來源中的全部使用者使用基於標準的強身分驗證功能。如果使用支援的 SAML 2.0 IdP 作為身分來源,則可啟用供應商的多重要素驗證 (MFA)。使用 Active Directory 或 IAM Identity Center 作為身分來源時,IAM Identity Center 支援 Web 身分驗證規格,以協助您使用已啟用 FIDO 的安全金鑰 (例如 YubiKey) 和內建生物身分驗證器 (例如 Apple MacBook 上的 Touch ID 和 PC 上的面部識別) 來保護使用者對 AWS 帳戶和商業應用程式的存取。還可以使用身分驗證器應用程式 (如 Google Authenticator 或 Twilio Authy) 啟用以時間為基礎的一次性密碼 (TOTP)。
精細的許可和指派
多帳戶許可
IAM Identity Center 建立在 AWS Identity and Access Management (IAM) 角色和政策的基礎上,可協助您集中管理 AWS 組織中所有 AWS 帳戶的存取。IAM Identity Center 使用許可集,這是一個或多個 IAM 政策的集合。然後,您指派許可集以定義您的使用者/群組的存取權。根據這些指派,該服務會建立一個 IAM Identity Center 控制的 IAM 角色,並將許可集內指定的政策連接至每個指派帳戶中的這些角色。無須個別帳戶的額外組態。
應用程式指派
在 IAM Identity Center 控制台中,使用應用程式指派來提供對許多 SAML 2.0 商業應用程式 (包括 Salesforce、Box 和 Microsoft 365) 的單一登入存取。您可以依照 IAM Identity Center 內的逐步指示,輕鬆地將單一登入存取設定至這些應用程式。這會引導您輸入必要的 URL、憑證及中繼資料。如需與 IAM Identity Center 預先整合的商業應用程式的完整清單,請參閱 IAM Identity Center 雲端應用程式。
基於屬性的存取控制
藉助 IAM Identity Center,您可以根據 IAM Identity Center 身分來源中定義的使用者屬性,輕鬆地為組織內的人力建立和使用精細的許可。IAM Identity Center 可讓您選擇多個屬性 (例如成本中心、職稱或地區設定),然後使用這些屬性實施基於屬性的存取控制 (ABAC),以簡化和集中管理存取權限。可以為整個 AWS 組織定義一次許可,然後只需變更身分來源中的屬性即可授予、撤銷或修改 AWS 存取權限。
管理和治理功能
成員帳戶的委託管理
IAM Identity Center 現在支援從 AWS Organizations 委派管理員帳戶,對您組織中的所有成員帳戶進行集中管理和 API 存取。這意味著您可以在您的組織中,指定一個可用於集中管理所有成員帳戶的帳戶。透過委派管理,您可以減少使用管理帳戶的需要,以遵守推薦的實務。
支援安全標準和合規認證
IAM Identity Center 支援各項安全標準與合規要求,包括支付卡產業 – 資料安全標準 (PCI DSS)、國際標準化組織 (ISO)、系統和組織控制 (SOC) 1、2 和 3、Esquema Nacional de Seguridad (ENS) High、金融市場監管局 (FINMA) 國際鑑證業務標準 (ISAE) 3000 第 2 類報告要求,以及多層雲端安全 (MTCS)。該服務仍是在受保護層級評估的資訊安全註冊評估員計劃 (IRAP)。
與 AWS Organizations 整合
IAM Identity Center 需要與 AWS Organizations 整合,可讓您從組織選取一或多個帳戶,再將使用者存取授與這些帳戶。只需點按幾下,即可開始使用 IAM Identity Center,並授予您的人力對應用程式或團隊使用的所有 AWS 帳戶的存取權。
啟用 SAML 的應用程式組態精靈
您可以使用 IAM Identity Center 應用程式組態精靈,建立單一登入與啟用 SAML 2.0 之應用程式的整合。應用程式指派組態精靈可協助您選取要傳送給啟用單一登入存取之應用程式的資訊,以及設定其格式。例如,您可以針對使用者名稱建立 SAML 屬性,並根據使用者 AD 描述檔中的電子郵件地址指定該屬性的格式。
稽核跨應用程式和 AWS 帳戶的存取活動
所有管理和多帳戶存取活動都會記錄在 AWS CloudTrail 中,提供您集中的稽核 IAM Identity Center 活動視野。您可以透過 CloudTrail 檢視例如登入嘗試、應用程式指派以及目錄整合變更等活動。例如,您可以看到使用者在指定時段內存取的應用程式,或是使用者何時將存取權指定給特定應用程式。