AWS IAM Identity Center 常見問答集

一般問題

IAM Identity Center 在 AWS Identity and Access Management (IAM) 之上建置,以簡化對多個 AWS 帳戶、AWS 應用程式和其他支援 SAML 的雲端應用程式的存取管理。在 IAM Identity Center 中,您可以建立或連線您的人力使用者,以在 AWS 中使用。您可以選擇僅管理對您的 AWS 帳戶的存取、僅對您的雲端應用程式的存取,或對兩者的存取。您可以直接在 IAM Identity Center 中建立使用者,也可以從現有人力目錄中選擇使用者。藉助 IAM Identity Center,您可以獲得統一的管理體驗,以定義、自訂和指派精細存取權。您的人力使用者將獲得一個使用者入口網站,以存取其指派的 AWS 帳戶或雲端應用程式。

IAM Identity Center 消除了針對每個 AWS 帳戶單獨聯合和管理許可的管理複雜性。它允許您從單一介面設定 AWS 應用程式,並從單一位置指派對雲端應用程式的存取權。

IAM Identity Center 還可透過與 AWS CloudTrail 整合並為您提供中央位置,來稽核對 AWS 帳戶和支援 SAML 的雲端應用程式的單一登入存取,從而協助提高存取可視性,如 Microsoft 365、Salesforce 和 Box。

IAM Identity Center 是我們推薦進入 AWS 的前門。它應當是您管理人力使用者 AWS 存取權的主要工具。它允許您在首選身分來源中管理您的身分,將其連線一次以在 AWS 中使用,這允許您定義精細的許可並在帳戶中一致地套用。隨著您的帳戶數量增加,IAM Identity Center 可讓您選擇將其用作管理使用者對所有雲端應用程式存取權的單一位置。

IAM Identity Center 適用於管理多個 AWS 帳戶和商業應用程式、想要集中管理這些雲端服務的使用者存取,以及想要為員工提供單一位置來存取這些帳戶和應用程式而無須記住其他密碼的管理員。

作為 IAM Identity Center 的新客戶,您可以執行以下操作:

以您的 AWS 帳戶登入管理帳戶的 AWS 管理主控台,再瀏覽至 IAM Identity Center 主控台。

從 IAM Identity Center 主控台選擇用於儲存您的使用者和群組身分的目錄。IAM Identity Center 現在預設會提供一個目錄,您可以使用該目錄在 IAM Identity Center 中管理使用者和群組。此外,您還可以按一下 IAM Identity Center 在帳戶中自動發現的受管 Microsoft AD 和 AD Connector 執行個體,來變更連線至 Microsoft AD 目錄的目錄。若要連線至 Microsoft AD 目錄,請參閱開始使用 AWS Directory Service

從 IAM Identity Center 產生的清單中選取 AWS 帳戶,以將單一登入存取授予使用者在您組織中的 AWS 帳戶,然後再從目錄選取使用者或群組以及您想要授與的許可。

提供使用者在商業雲端應用程式的存取:

a.從 IAM Identity Center 支援的預先整合應用程式清單選取一個應用程式。

b.依照組態指示操作來設定應用程式。

c.選取必須能存取此應用程式的使用者或群組。

將您設定目錄時產生的 IAM Identity Center 登入網址提供給使用者,讓他們能夠登入 IAM Identity Center,以及存取帳戶和商業應用程式。

使用 IAM Identity Center 不需額外付費。

請參閱 AWS 區域表,了解各個區域的 IAM Identity Center 可用性。

身分來源和應用程式支援

否。在任何時候,您都只能將一個目錄或一個 SAML 2.0 身分供應商連線至 IAM Identity Center。但是,您可以將連線的身分來源變更為不同的身分來源。

您可以將 IAM Identity Center 連線至大多數 SAML 2.0 IdP,例如 Okta Universal Directory 或 Microsoft Entra ID (原 Azure AD)。若要進一步了解,請參閱 IAM Identity Center 使用者指南

否,IAM Identity Center 不會修改 AWS 帳戶中現有的任何 IAM 角色、使用者或政策。IAM Identity Center 會建立專門用於透過 IAM Identity Center 使用的新角色和政策。

啟用 IAM Identity Center 之後,您擁有的任何現有 IAM 角色或使用者會繼續依原狀運作。這意味著您可以分階段遷移至 IAM Identity Center,而不會中斷現有的 AWS 存取。

IAM Identity Center 會佈建新的角色,以便在 AWS 帳戶中使用。您可以將與現有 IAM 角色搭配使用的相同政策附接至與 IAM Identity Center 搭配使用的新角色。

IAM Identity Center 不會建立 IAM 使用者和群組。它有自己的專門建置的身分存放區來保存使用者資訊。使用外部身分供應商時,Identity Center 會保存使用者屬性和群組成員資格的同步副本,但不會保留驗證資料,例如密碼或 MFA 裝置。您的外部身分供應商仍然是使用者資訊和屬性的事實來源。

是。若您使用 Okta Universal Director、Microsoft Entra ID (原 Azure AD)、OneLogin 或 PingFederate,您可以使用 SCIM,從您的 IdP 自動同步處理使用者與群組資訊至 IAM Identity Center。若要進一步了解,請參閱 IAM Identity Center 使用者指南

您可以使用 AWS Directory Service,將 IAM Identity Center 連線至內部部署 Active Directory (AD) 或 AWS 受管 Microsoft AD 目錄。若要進一步了解,請參閱 IAM Identity Center 使用者指南

有兩種方式可以將內部部署的 Active Directory 連線至 IAM Identity Center:(1) 使用 AD Connector,或 (2) 使用 AWS Managed Microsoft AD 信任關係。 AD Connector 只需將您現有的內部部署 Active Directory 連線至 AWS。AD Connector 是一個目錄閘道,您可以在此將目錄請求重新導向至內部部署 Microsoft Active Directory,而無須在雲端快取任何資訊。若要使用 AD Connector 連線內部部署目錄,請參閱 AWS Directory Service 管理指南。 藉助 AWS Managed Microsoft AD,可以輕鬆地在 AWS 中設定和執行 Microsoft Active Directory。它可用於在內部部署目錄和 AWS Managed Microsoft AD 之間建立樹系信任關係。若要建立信任關係,請參閱 AWS Directory Service 管理指南

Amazon Cognito 是一項服務,可協助您管理客戶專用的應用程式身分;它不是 IAM Identity Center 中受支援的身分來源。您可以在 IAM Identity Center 或外部身分來源中建立和管理人力身分,包括 Microsoft Active Directory、Okta Universal Directory、Microsoft Entra ID (原 Azure AD) 或其他支援的 IdP

是,您可以使用 IAM Identity Center 來控制對 AWS 管理主控台和 CLI v2 的存取。IAM Identity Center 讓使用者能夠透過單一登入體驗,存取 CLI 和 AWS 管理主控台。AWS 主控台行動應用程式還支援 IAM Identity Center,因此您可以在瀏覽器、行動裝置和命令列界面上獲得一致的登入體驗。

您可以將下列應用程式連線至 IAM Identity Center:

整合 IAM Identity Center 的應用程式:SageMaker StudioIoT SiteWise 等整合 IAM Identity Center 的應用程式使用 IAM Identity Center 進行身分驗證,並使用您在 IAM Identity Center 中擁有的身分。無需額外組態即可將身分同步處理至這些應用程式,或將聯合身分進行單獨設定。

預先整合的 SAML 應用程式:IAM Identity Center 已預先與常用的商業應用程式整合。如需完整清單,請參閱 IAM Identity Center 主控台。

自訂 SAML 應用程式:IAM Identity Center 支援使用 SAML 2.0 來允許聯合身分的應用程式。您可以使用自訂應用程式精靈,使 IAM Identity Center 支援這些應用程式。

AWS 帳戶的單一登入存取

您可以將使用 AWS Organizations 管理的任何帳戶新增至 IAM Identity Center。您必須在組織啟用所有功能,才能管理您的帳戶單一登入。

您可以挑選組織內的帳戶或按 OU 篩選帳戶。

受信任身分傳播的主要用途是讓商業智慧 (BI) 應用程式能夠查詢 AWS 分析服務 (例如 Amazon Redshift 或 Amazon Quicksight),以尋找企業使用者透過客戶現有身分提供者進行單一使用者登入所需的資料,同時保持對使用者身分的瞭解。此功能支援不同類型的常用 BI 應用程式,並使用不同的機制在服務之間傳播使用者的身分。

將存取權授與您的使用者時,您可以藉由挑選一個許可組來限制使用者的許可。許可組是在 IAM Identity Center 中建立的一個許可集合,您可以根據工作職責的 AWS 受管政策或任何 AWS 受管政策來建立許可組。工作職責的 AWS 受管政策是專為貼近 IT 產業的工作職責所設計。如有需要,您也可以完全自訂許可組以符合您的安全需求。IAM Identity Center 會自動將這些許可套用至選取的帳戶。您變更許可組時,IAM Identity Center 可讓您輕鬆地將變更套用至相關帳戶。當您的使用者透過 AWS 存取入口網站存取這些帳戶時,這些許可就會限制他們在這些帳戶內可執行的動作。您也可以將多個許可組授與您的使用者。當使用者透過使用者入口網站存取帳戶時,他們可以選擇該工作階段要採用的許可組。

IAM Identity Center 提供 APIAWS CloudFormation 支援,以在多帳戶環境中自動化許可管理,並以程式設計方式擷取許可,用於稽核和管控用途。

為實作 ABAC,您可以從 IAM Identity Center 的身分存放區中為 IAM Identity Center 使用者選擇屬性,也可以為從 Microsoft AD 或外部 SAML 2.0 IdP (包括 Okta Universal Directory、Microsoft Entra ID (原 Azure AD)、OneLogin 或 PingFederate) 同步的使用者選擇屬性。使用 IdP 作為身分來源時,可以選擇作為 SAML 2.0 聲明的一部分傳送屬性。

您可以取得 IAM Identity Center 管理員指派給您的所有 AWS 帳戶的 AWS CLI 憑證和使用者許可。這些 CLI 登入資料可用於透過程式設計方式存取 AWS 帳戶。

透過 IAM Identity Center 擷取的 AWS CLI 憑證有效時間為 60 分鐘。您可以視需要重新取得一組登入資料。

商業應用程式的單一登入存取

從 IAM Identity Center 主控台瀏覽至應用程式窗格,選擇 Configure new application (設定新應用程式),並從預先與 IAM Identity Center 整合的雲端應用程式清單選擇一個應用程式。依照畫面指示設定應用程式。現在已經設定好您的應用程式,您可以指派應用程式的存取。選擇要提供此應用程式存取的群組或使用者,並選擇 Assign Access 以完成此程序。

是。如果您的應用程式支援 SAML 2.0,便可以將應用程式設定成為自訂的 SAML 2.0 應用程式。從 IAM Identity Center 主控台瀏覽至應用程式窗格,選擇 Configure new application (設定新應用程式),然後選擇 Custom SAML 2.0 application。依照指示設定應用程式。現在已經設定好您的應用程式,您可以指派應用程式的存取。選擇要提供此應用程式存取的群組或使用者,並選擇 Assign Access 以完成此程序。

否。IAM Identity Center 僅支援以 SAML 2.0 為基礎的應用程式。

否。IAM Identity Center 僅支援透過 Web 瀏覽器單一登入商業應用程式。

其他

針對指派給使用者和群組的 AWS 帳戶和雲端應用程式,以及為了存取 AWS 帳戶而授與的許可,IAM Identity Center 會存放這些項目的相關資料。IAM Identity Center 還會針對您授權使用者存取的每個許可組,在個別 AWS 帳戶中建立和管理 IAM 角色。

藉助 IAM Identity Center,您可以為所有身分來源中的全部使用者啟用基於標準的強身分驗證功能。如果使用支援的 SAML 2.0 IdP 作為身分來源,則可啟用供應商的多重身分驗證。使用 IAM Identity Center 或 Active Directory 作為身分來源時,IAM Identity Center 支援 Web 身分驗證規格,以協助您透過已啟用 FIDO 的安全金鑰 (例如 YubiKey) 和內建生物身分驗證器 (例如 Apple MacBook 上的 Touch ID 和 PC 上的面部識別) 來保護使用者對 AWS 帳戶和商業應用程式的存取。還可以使用身分驗證器應用程式 (例如 Google Authenticator 或 Twilio Authy) 啟用一次性密碼 (TOTP)。

此外,可以將現有的遠端使用者撥入驗證服務 (RADIUS) MFA 組態與 IAM Identity Center 和 AWS Directory Services 搭配使用,作為一種次要的驗證形式對使用者進行身分驗證。若要進一步了解有關使用 IAM Identity Center 設定 MFA 的資訊,請瀏覽 IAM Identity Center 使用者指南

是。對於 IAM Identity Center 身分存放區和 Active Directory 中的使用者身分,IAM Identity Center 支援 Web 身分驗證 (WebAuthn) 規格,以協助您透過已啟用 FIDO 的安全金鑰 (例如 YubiKey) 和內建生物身分驗證器 (例如 Apple MacBook 上的 Touch ID 和 PC 上的面部識別) 來保護使用者對 AWS 帳戶和商業應用程式的存取。還可以使用身分驗證器應用程式 (例如 Google Authenticator 或 Twilio Authy) 啟用一次性密碼 (TOTP)。

員工可以透過造訪入口網站開始使用 IAM Identity Center,您在 IAM Identity Center 中設定身分來源時會產生該存取入口網站。若您在 IAM Identity Center 中管理使用者,您的員工可以使用其在 IAM Identity Center 中設定的電子郵件地址和密碼登入使用者入口網站。若將 IAM Identity Center 連線至 Microsoft Active Directory 或 SAML 2.0 身分供應商,您的員工可以使用其現有的公司憑證登入使用者入口網站,然後檢視指派給他們的帳戶和應用程式。員工若要存取某帳戶或應用程式,可以從存取入口網站選擇關聯的圖示。

是。IAM Identity Center 提供帳戶指派 API,以協助您在多帳戶環境中自動化許可管理,並以程式設計方式擷取許可,用於稽核和管控用途。