AWS 的身分、目錄和存取服務

在 AWS 雲端管理身份驗證、授權和控管。

AWS 的身分、目錄和存取服務可協助您在 AWS 雲端管理身份驗證、授權和控管。這些服務可讓您在 AWS 雲端之旅中,隨時隨地以安全的方式管理和稽核對您 AWS 帳戶和基礎設施的存取。使用 AWS,您可以使用專門打造的身分、目錄和存取服務,協助您以輕鬆安全的方式將現有的工作負載遷移到 AWS 雲端,以及建立新的雲端原生應用程式。您還可彈性地使用現有的身分和目錄,或選擇妥善運用 AWS 受管服務。

為協助使用者以輕鬆安全的方式進行驗證,AWS 的身分、目錄和存取服務可讓使用者在 AWS 雲端使用自有身分。例如,您可以使用 Facebook 和 Amazon 等社交身分供應商,為您的應用程式驗證使用者身分。您也可以讓開發人員和 AWS 管理員使用現有的公司登入資料存取其 AWS 帳戶。AWS 使用更精細的存取政策和短期登入資料管理存取 AWS 資源的許可,這有助於您管理 AWS 帳戶內的授權。隨著您擴展和新增更多的 AWS 帳戶和資源,AWS 也提供跨多個 AWS 帳戶管理單一登入 (SSO) 存取、政策和控管的服務,以協助您符合安全與合規要求。使用 AWS,您可以快速又安全地開始,並能隨著您長期在 AWS 雲端上擴展所累積的成果,使用更多樣化的功能。

 

re:Invent 2017: SID303:如何使用 AWS 的身分服務成功展開 AWS 雲端之旅

優點

以快速安全的方式開始

AWS 的身分、目錄和存取服務可協助您遵循安全最佳實務,讓您以快速安全的方式開始使用 AWS 雲端。使用 AWS Identity and Access Management (IAM) 受管政策和點選式視覺化編輯器,您可以根據常見的職務 (例如資料庫管理員、資料科學家和稽核員) 輕鬆地建立 IAM 政策。您也可以擴展這些內建政策以符合您的特定安全要求。例如,您可以複製內建的資料庫管理員政策,將許可的範圍縮小至僅允許存取 Amazon DynamoDB

妥善運用長期累積的多樣化功能

使用 AWS,當您的需求隨著時間變得更高階時,您可以妥善運用更多樣化的功能。您可以建立更精細的存取政策,以符合嚴格的法律和合規要求。您可以定義小至 API 等級的 AWS 服務和資源許可,並設定條件來規範使用這些許可的時機與方法。透過與 AWS 記錄和監控服務 (例如 AWS CloudTrailAWS CloudWatch) 的整合,您可以看到誰在跨 AWS 資源存取哪些資料。

在 AWS 雲端安全地擴展

為協助您在新增更多 AWS 帳戶時以安全的方式擴展,AWS 的身分、目錄和存取服務可讓您跨 AWS 帳戶管理存取及控管。使用 AWS Single Sign-On (SSO),您可以集中管理對多個 AWS 帳戶的存取。而且,您還可使用 AWS Organizations 建立帳戶群組,然後套用服務控制政策,以管理在您的 AWS 帳戶中哪些是許可的 AWS 服務 API。例如,您可以建立用於開發和生產資源的個別帳戶群組,然後將不同的服務控制政策套用到每個群組。

使用案例

100x100_benefit_team-access

管理和保護使用者對您的 AWS 資源和商業應用程式的存取。

管理和保護使用者對您的 AWS 資源和商業應用程式的存取,是您的安全和合規政策的關鍵部分。使用 AWS 的身分、目錄和存取服務,您可以使用現有的公司身分,管理使用者對您的 AWS 帳戶和商業應用程式的存取,並定義更精細的存取政策來管理 AWS 資源的許可。您也可以控制跨 AWS 帳戶使用 AWS 服務 API ,以符合安全和合規政策。AWS 的身分、目錄和存取服務也可讓您將許可擴展至使用者在其 AWS 帳戶中執行的資源。例如,您可以確保授與安全工程師所觸發之 AWS Lambda 函數的許可,不會超過授與該工程師的許可。

100x100_benefit_workflow2

管理和保護應用程式對您 AWS 資源的存取。

如果要建立跨不同 AWS 服務和帳戶執行的分散式應用程式,您必須要能夠驗證應用程式資源的身分和許可。AWS 的身分、目錄和存取服務可讓您使用短期登入資料 (稱為角色) 安全地驗證身分和管理資源許可。使用角色可協助您遵循授與最低權限存取權的安全最佳實務,並可讓您針對在 Amazon EC2 執行個體和容器上執行的 AWS 服務及應用程式管理更精細的許可。角色可讓您授與這些資源的資料存取權,而不需分發密碼和 API 金鑰,或是在您的原始程式碼中硬式編碼登入資料。

100x100_benefit_credential

管理和保護對您應用程式的存取。

建立自訂的解決方案來管理應用程式中的身分和驗證是相當複雜的。使用 AWS 的身分、目錄和存取服務,您可以輕鬆地為應用程式新增註冊和登入功能,或為應用程式使用者建立可擴展的雲端原生目錄。您也可以讓使用者使用自有身分,也就是利用 Facebook 和 Amazon 等社交身分供應商所提供的身分,或透過 SAML 使用他們現有的公司身分。為協助保護對您應用程式之使用者帳戶的存取,AWS 的身分、目錄和存取服務可讓您為應用程式新增 Multi-Factor Authentication (MFA)。啟用 MFA 時,使用者必須提供其他驗證因素才能存取您的應用程式,例如 SMS 提供的六位代碼。

身分、目錄和存取服務


AWS Identity and Access Management (IAM) 可讓您管理 AWS 服務與資源的存取。您可以建立允許或拒絕存取 AWS 資源的 IAM 政策,以管理 IAM 使用者和群組的許可。


AWS Organizations 為多個 AWS 帳戶提供以政策為基礎的管理。使用 Organizations,您可以建立帳戶群組,然後將政策套用到這些群組。


AWS Directory Service for Microsoft Active Directory 可讓您的目錄感知工作負載和 AWS 資源在 AWS 雲端中使用受管 Active Directory。


AWS Single Sign-On (SSO) 讓集中管理對多個 AWS 帳戶與商業應用程式的 SSO 存取更簡單。使用者可以使用公司登入資料登入使用者入口網站,而且從單一位置就能存取帳戶和應用程式。


Amazon Cognito 讓您輕鬆新增使用者註冊與登入功能到行動應用程式與 Web 應用程式。您也可以透過社交身分供應商 (例如 Facebook 和 Amazon) 或企業身分供應商 (透過 SAML) 來驗證使用者。


Amazon Cloud Directory 可讓您建立彈性的雲端原生目錄,並組織多個維度的資料層次結構。您可以為各種使用案例建立目錄,像是組織圖、課程目錄和裝置登錄。

網路研討會

使用 AWS Identity and Access Management (IAM) 角色的最佳實務
適用於 AWS 的 SAML 聯合身分
使用 AWS IAM 和 AWS Organizations 成為 AWS 政策的專家
AWS Organizations – 企業級的帳戶管理
如何整合 AWS Directory Service 和 Office 365
深入探討運用 Amazon Cognito 的使用者註冊和登入

透過 AWS 網路研討會取得最新資訊。

主要特色

使用您現有的公司身分。

使用 AWS,您可以使用現有的公司身分,管理使用者對 AWS 資源和商業應用程式的存取。AWS Identity and Access Management (IAM) 可利用 SAML 2.0 (安全聲明標記語言 2.0) 整合現場部署的 Microsoft Active Directory (AD),讓您可以使用單一登入 (SSO) 利用 AD 登入資料存取您的 AWS 帳戶。為協助您隨著 AWS 帳戶增加而在 AWS 雲端中擴展規模,您可以使用 AWS Single Sign-On (SSO) 集中管理對 AWS 帳戶和商業應用程式的 SSO 存取。透過 AWS Directory Service,您可以使用 AD 樹系信任或 AD Connector,將現場部署 AD 擴展至 AWS 雲端。您可以接著利用現有的 AD 使用者和群組來管理對 AWS 帳戶和 AD 感知工作負載 (例如 Amazon RDS for SQL ServerAmazon EC2 for Windows ServerAmazon WorkSpaces) 的存取。

在您的應用程式中安全地管理身分和存取。

Amazon Cognito 可讓您使用多種外部身分選項來管理對您應用程式的存取。您可以讓使用者使用社交身分供應商 (例如 Facebook 和 Amazon) 或透過 SAML 的企業身分供應商,以自有身分來註冊和登入應用程式。您也可以使用 Amazon Cognito 使用者集區,在可擴展的雲端原生目錄中管理您的應用程式。

使用多重因素認證保護存取。

使用多重因素認證 (MFA) 來保護對 AWS 資源和應用程式的存取。使用 AWS Identity and Access Management (IAM),您可以啟用 MFA 來管理對 AWS 帳戶的存取。您也可以使用 AWS Directory Service,讓 Microsoft Active Directory 可針對您的 AD 感知應用程式啟用 RADIUS (遠端用戶撥入驗證服務) 型 MFA。再搭配 Amazon Cognito,您就能為應用程式新增 MFA

建立更精細的存取政策。

AWS 的身分、目錄和存取服務可協助您在 AWS 雲端安全地管理存取。使用 AWS Identity and Access Management (IAM),您可以為 AWS 資源設定更精細的存取政策。例如,您可以建立政策來定義一組 IAM 使用者在何種條件下具有特定 AWS 服務 API 的使用許可。

使用短期登入資料管理存取。

使用 AWS IAM 角色,您可以使用短期登入資料管理對 AWS 資源的存取。IAM 角色可讓您授與 AWS 帳戶中的資源存取權,不需要散發密碼或 API 金鑰。例如,您可以將 IAM 角色指派給 AWS Lambda 函數,為其提供代替您寫入日誌到 AWS CloudWatch 的許可。或者,您可以使用適用於 Amazon EC2 的 IAM 角色為 EC2 上執行之應用程式提供存取 Amazon RDS 資料庫的許可。

受管目錄服務。

AWS 提供多種目錄服務選項,以支援不同類型的應用程式。針對需要 Microsoft AD 的應用程式,您可以使用適用於 Microsoft Active Directory 的 AWS Directory Service (又稱為 AWS 受管 Microsoft AD),並妥善運用受管 AD 服務。或者,如果 AWS 受管 Microsoft AD 不符合您的要求,您可以將 AD 部署在 Amazon EC2 上。您也可以使用 Amazon Cognito 使用者集區,為應用程式建立雲端原生使用者目錄。或者,使用 Amazon Cloud Directory,您可以建立可擴展的目錄來管理複雜的資料層次,例如組織圖、課程目錄和裝置登錄。

開始使用 AWS

icon1

註冊 AWS 帳戶

立即存取 AWS 免費方案
icon2

利用 10 分鐘教學了解

跟著 簡單的教學課程一同探索並學習。
icon3

開始使用 AWS 進行建置

運用逐步操作指南開始建立,協助您推出 AWS 專案

開始使用 AWS

註冊
還有其他問題嗎?
聯絡我們