Características de AWS IAM Identity Center

El Centro de identidades de IAM se basa en roles y políticas de AWS Identity and Access Management (IAM) para ayudarlo a administrar el acceso de manera centralizada en todas las cuentas de AWS de su organización de AWS. El Centro de identidades de IAM utiliza conjuntos de permisos, que son colecciones de una o más políticas de IAM. Luego, asigna conjuntos de permisos para definir el acceso de sus usuarios o grupos. En función de esas asignaciones, el servicio crea un rol de IAM que controla el Centro de identidades de IAM y adjunta las políticas especificadas en el conjunto de permisos a esos roles dentro de cada cuenta asignada. No es necesario realizar configuraciones adicionales en las cuentas individuales.  

IAM Identity Center ofrece un acceso elevado temporal a través de una variedad de opciones de integración de socios. AWS aprobó el uso de CyberArk Secure Cloud Access, Tenable Cloud Security y Okta Access Requests para ayudarlo a abordar una serie de escenarios temporales de acceso elevado, incluidas las operaciones delicadas que exigen una capacidad de auditoría completa, entornos multinube con derechos y necesidades de auditoría complejos y organizaciones que utilizan varias fuentes de identidad e integraciones de aplicaciones. El usuario del personal que no tenga permisos activos para realizar operaciones delicadas, como cambiar la configuración de un recurso de alto valor en un entorno de producción, puede solicitar acceso, recibir la aprobación y realizar la operación durante un tiempo específico. Además, sus auditores pueden ver un registro de las acciones y aprobaciones en la solución del socio.

En la consola del Centro de identidades de IAM, utilice asignaciones de aplicaciones para proporcionar acceso de inicio de sesión único a varias aplicaciones empresariales de SAML 2.0, incluidas Salesforce, Box y Microsoft 365. Puede configurar con facilidad el acceso de inicio de sesión único a estas aplicaciones al seguir las instrucciones paso a paso en el Centro de identidades de IAM. El servicio lo guiará en la introducción de las URL, los certificados y los metadatos necesarios. Si desea consultar la lista completa de las aplicaciones empresariales preintegradas a IAM Identity Center, consulte aplicaciones en la nube de IAM Identity Center.

La propagación de identidades confiables se basa en OAuth 2.0 Authorization Framework, que permite a las aplicaciones acceder a los datos y otros recursos en nombre de un usuario específico, sin compartir las credenciales de ese usuario. Esta característica de IAM Identity Center simplifica la administración del acceso a los datos para los usuarios, la auditoría y mejora la experiencia de inicio de sesión para los usuarios de análisis en varias aplicaciones de análisis de AWS. Para empezar, el propietario de la aplicación, la fuente de identidad y el administrador de datos conectan la aplicación al servicio y comienzan a administrar el acceso en función de los usuarios y grupos. Luego, los administradores de recursos pueden configurar y administrar el acceso a los recursos de datos dentro de las aplicaciones utilizando las identidades existentes y la pertenencia a grupos desde su fuente de identidad. Los equipos de auditoría y seguridad pueden rastrear el acceso a los recursos de datos hasta cada usuario. Los analistas de datos pueden acceder sin problemas a los datos asignados a través de los servicios de análisis de AWS (Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR y AWS LakeFormation) mediante una experiencia familiar de inicio de sesión único. Obtenga más información sobre la propagación de identidades confiables. 

El Centro de identidades de IAM facilita la creación y el uso de permisos detallados para su personal en función de los atributos de usuario definidos en el almacén de identidades del Centro de identidades de IAM. El Centro de identidades de IAM permite seleccionar varios atributos, tales como el centro de costos, el título o el lugar, y luego utilizarlos para el control de acceso basado en los atributos (ABAC) a fin de simplificar y centralizar la administración del acceso. Puede definir permisos una vez para toda la organización de AWS y luego conceder, revocar o modificar el acceso de AWS simplemente cambiando los atributos en la fuente de identidad.

Obtenga más información acerca del ABAC »

El Centro de identidades de IAM es compatible con la administración centralizada y el acceso a la API desde una cuenta de administrador delegado de AWS Organizations para todas las cuentas miembro de la organización. Esto significa que puede designar una cuenta en su organización que puede utilizarse para administrar de forma centralizada todas las cuenta miembro. Con la administración delegada, puede reducir la necesidad de utilizar su cuenta de administración para adherirse a las prácticas recomendadas.

El Centro de identidades de IAM es compatible con los estándares de seguridad y los requisitos de conformidad, incluido el soporte para el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS); la Organización Internacional de Normalización (ISO); los Controles de Sistemas y Organizaciones (SOC) 1, 2 y 3; la categoría Alta del Esquema Nacional de Seguridad (ENS); los requisitos de la Autoridad Supervisora del Mercado Financiero (FINMA) en el Informe de la Norma internacional sobre Compromisos de Garantía (ISAE) 3000 Tipo 2 y la Seguridad con múltiples capas en la nube (MTCS). El servicio sigue siendo evaluado por el Programa de evaluadores registrados de seguridad de la información (IRAP) en el nivel PROTEGIDO.

IAM Identity Center puede desplegarse como una instancia de organización o como una instancia de cuenta. Se implementa una instancia de organización de IAM Identity Center en la cuenta de administración de AWS Organizations. Es la mejor práctica y el enfoque recomendado para autenticar y autorizar a su personal. Se trata de un punto de control de acceso único y central para las cuentas y aplicaciones de AWS en un entorno de producción con varias cuentas. Una instancia de cuenta de IAM Identity Center es un despliegue de alcance limitado que pueden realizar los usuarios empresariales con el fin de evaluar rápidamente una aplicación de AWS compatible (por ejemplo, Amazon Redshift) y ponerla a disposición de un grupo reducido de usuarios de aplicaciones. El administrador de una instancia de organización puede controlar la capacidad de los usuarios empresariales para crear instancias de cuentas mediante políticas de control de servicios (SCP), una característica de AWS Organizations.

Puede crear integraciones de inicio de sesión único en las aplicaciones que admiten SAML 2.0 con el asistente de configuración de asignaciones de aplicaciones del Centro de identidades de IAM. El asistente de configuración de asignaciones de aplicaciones permite seleccionar y dar formato a la información que se envía a aplicaciones para habilitar el acceso al inicio de sesión único. Por ejemplo, puede crear un atributo de SAML para nombre de usuario y especificar el formato del atributo con base en la dirección de email de un usuario a partir de su perfil de AD.

Toda la actividad de acceso de varias cuentas y administrativa se registra en AWS CloudTrail, lo que brinda visibilidad para auditar la actividad del IAM Identity Center de manera centralizada. Con CloudTrail, puede ver actividades como intentos de inicio de sesión, asignaciones de aplicaciones y modificaciones en integraciones de directorio. Por ejemplo, puede ver las aplicaciones a las que un usuario accedió durante un determinado periodo o cuándo se le otorgó acceso a una aplicación específica.