AWS IAM Identity Center 功能

AWS IAM Identity Center 可輕鬆集中管理對多個 AWS 帳戶和商業應用程式的存取。它為您的人力提供從一處對所有指派帳戶和應用程式的單一登入存取。藉助 IAM Identity Center，您可以輕鬆管理對 AWS Organizations 中所有帳戶的集中存取和使用者許可。IAM Identity Center 會自動集中設定及維護您帳戶需要的所有許可，不必另外進入個別帳戶設定。您可以根據一般工作職責指派使用者許可，並自訂這些許可以滿足特定安全需求。IAM Identity Center 還包括與 AWS 應用程式 (如 Amazon SageMaker Studio、Amazon SageMaker Studio、AWS Systems Manager Change Manager) 以及許多商業應用程式 (如 Salesforce、Box 和 Microsoft 365) 的內建整合。

您可以在 IAM Identity Center 的身分存放區中建立和管理使用者身分，或輕鬆連線至現有身分來源，包括 Microsoft Active Directory、Okta、Ping Identity、JumpCloud 和 Microsoft Entra ID (原 Azure AD)。IAM Identity Center 可讓您從身分來源中選擇使用者屬性，例如成本中心、職稱或地區設定，然後使用這些屬性實作 AWS 中基於屬性的存取控制 (ABAC)。

使用 IAM Identity Center 輕鬆開始使用。只需在 IAM Identity Center 管理主控台中點按幾下，即可連線至現有身分來源。您可以在主控台設定許可，授予您的使用者存取其在 AWS Organizations 中指派帳戶和數百個預先設定的雲端應用程式的權限，所有這一切均在單一使用者入口網站實現。

集中式身分管理

在 IAM Identity Center 建立並管理使用者

IAM Identity Center 預設為您提供一個身分存放區，您可以用於在 IAM Identity Center 內建立使用者並將其整理到群組。您可以透過設定電子郵件地址和名稱，在 IAM Identity Center 中建立使用者。建立使用者時，依預設，IAM Identity Center 會傳送電子郵件給使用者，以便使用者可以設定其自己的密碼。您可以在短短幾分鐘內，授與使用者和群組使用所有 AWS 帳戶中的 AWS 資源和眾多商業應用程式的許可。使用者可透過在 IAM Identity Center 中設定的憑證登入使用者入口網站，在單一位置存取所有指派給他們的帳戶和應用程式。

連接以標準為基礎的身分供應商並自動佈建使用者

您可以透過安全聲明標記語言 (SAML) 2.0 將 IAM Identity Center 與 Okta Universal Directory、Microsoft Entra ID 或其他支援的身分提供者 (IdP) 連線，讓您的使用者可使用其現有憑證登入。並且，IAM Identity Center 還支援跨域身份管理系統 (SCIM)，可實現使用者自動佈建。您可以在 IdP 中管理使用者，則可以將他們快速加入到 AWS，並集中管理他們對所有 AWS 帳戶和商業應用程式的存取。IAM Identity Center 還可讓您從 Okta Universal Directory 選擇多個使用者屬性 (例如成本中心、職稱或地區設定)，然後使用這些屬性實施 ABAC，以簡化和集中管理存取權限。

與 Microsoft Active Directory 連接

使用 IAM Identity Center，您便可管理使用現有 Microsoft Active Directory 網域服務 (AD DS) 公司身份之帳戶和應用程式的單一登入存取。IAM Identity Center 透過 AWS Directory Service 與 AD DS 連接，只要將使用者新增至適當的 AD 群組，便可將帳戶和應用程式的存取權限授與使用者。例如，您可以為使用某應用程式的一組開發人員建立一個群組，然後將此群組存取授與該應用程式的 AWS 帳戶。當新的開發人員加入小組時，您只要將其新增至 AD 群組，他們便會自動獲授與該應用程式的所有 AWS 帳戶存取權。IAM Identity Center 還可讓您從 AD 選擇多個使用者屬性 (例如成本中心、職稱或地區設定)，然後使用這些屬性實施 ABAC，以簡化和集中管理存取權限。

多重要素驗證

IAM Identity Center 可讓您為所有使用者強制執行 MFA，包括要求使用者在登入期間設定 MFA 裝置。藉助 IAM Identity Center，您可以為所有身分來源中的全部使用者使用基於標準的強身分驗證功能。如果使用支援的 SAML 2.0 IdP 作為身分來源，則可啟用供應商的多重要素驗證 (MFA)。使用 Active Directory 或 IAM Identity Center 作為身分來源時，IAM Identity Center 支援 Web 身分驗證規格，以協助您使用已啟用 FIDO 的安全金鑰 (例如 YubiKey) 和內建生物身分驗證器 (例如 Apple MacBook 上的 Touch ID 和 PC 上的面部識別) 來保護使用者對 AWS 帳戶和商業應用程式的存取。還可以使用身分驗證器應用程式 (如 Google Authenticator 或 Twilio Authy) 啟用以時間為基礎的一次性密碼 (TOTP)。

精細的許可和指派

多帳戶許可

IAM Identity Center 建立在 AWS Identity and Access Management (IAM) 角色和政策的基礎上，可協助您集中管理 AWS 組織中所有 AWS 帳戶的存取。IAM Identity Center 使用許可集，這是一個或多個 IAM 政策的集合。然後，您指派許可集以定義您的使用者/群組的存取權。根據這些指派，該服務會建立一個 IAM Identity Center 控制的 IAM 角色，並將許可集內指定的政策連接至每個指派帳戶中的這些角色。無須個別帳戶的額外組態。

臨時提升存取權選項

IAM Identity Center 透過各種合作夥伴整合選項，提供臨時提升的存取權。AWS 已驗證您可以使用 CyberArk 安全雲端存取、Tenable Cloud Security 和 Okta 存取請求來協助處理一系列臨時提升存取權場景，包括需要完全稽核性的敏感操作、具有複雜權利和稽核需求的多重雲端環境，以及使用多個身分來源和應用程式整合的組織。沒有執行敏感操作 (例如在生產環境中變更高價值資源的組態) 所需常設許可的人力團隊使用者可以要求存取權、取得核准，並在指定的時間內執行操作。此外，您的稽核員可以檢視合作夥伴解決方案中的動作和核准記錄。

應用程式指派

在 IAM Identity Center 控制台中，使用應用程式指派來提供對許多 SAML 2.0 商業應用程式 (包括 Salesforce、Box 和 Microsoft 365) 的單一登入存取。您可以依照 IAM Identity Center 內的逐步指示，輕鬆地將單一登入存取設定至這些應用程式。這會引導您輸入必要的 URL、憑證及中繼資料。如需與 IAM Identity Center 預先整合的商業應用程式的完整清單，請參閱 IAM Identity Center 雲端應用程式。

受信任的身分傳播

受信任的身分傳播建置於 OAuth 2.0 授權框架之上，該框架允許應用程式代表特定使用者存取資料和其他資源，而無需共用該使用者的憑證。IAM Identity Center 的這項功能可簡化使用者的資料存取管理、稽核，並改善了分析使用者跨多個 AWS 分析應用程式的登入體驗。若要開始使用，應用程式的擁有者、身分來源和資料管理員將應用程式連接到服務，並開始根據使用者和群組管理存取權限。然後，資源管理員可以使用來自其身分來源的現有身分和群組成員資格，以設定和管理應用程式內的資料資源存取。稽核和安全團隊可以將資料資源的存取權限追溯到每位使用者。資料分析師可以使用熟悉的單一登入體驗，跨 AWS Analytics 服務 (Amazon Redshift、Amazon Quicksight、Amazon S3、Amazon EMR 和 AWS LakeFormation) 無縫存取指派的資料。進一步了解受信任的身分傳播。

基於屬性的存取控制

藉助 IAM Identity Center，您可以根據 IAM Identity Center 身分來源中定義的使用者屬性，輕鬆地為組織內的人力建立和使用精細的許可。IAM Identity Center 可讓您選擇多個屬性 (例如成本中心、職稱或地區設定)，然後使用這些屬性實施基於屬性的存取控制 (ABAC)，以簡化和集中管理存取權限。可以為整個 AWS 組織定義一次許可，然後只需變更身分來源中的屬性即可授予、撤銷或修改 AWS 存取權限。

進一步了解 ABAC »

管理和治理功能

成員帳戶的委託管理

IAM Identity Center 現在支援從 AWS Organizations 委派管理員帳戶，對您組織中的所有成員帳戶進行集中管理和 API 存取。這意味著您可以在您的組織中，指定一個可用於集中管理所有成員帳戶的帳戶。透過委派管理，您可以減少使用管理帳戶的需要，以遵守推薦的實務。

支援安全標準和合規認證

IAM Identity Center 支援各項安全標準與合規要求，包括支付卡產業 – 資料安全標準 (PCI DSS)、國際標準化組織 (ISO)、系統和組織控制 (SOC) 1、2 和 3、Esquema Nacional de Seguridad (ENS) High、金融市場監管局 (FINMA) 國際鑑證業務標準 (ISAE) 3000 第 2 類報告要求，以及多層雲端安全 (MTCS)。該服務仍是在受保護層級評估的資訊安全註冊評估員計劃 (IRAP)。

部署靈活性

IAM Identity Center 可部署為組織執行個體或帳戶執行個體。IAM Identity Center 的組織執行個體已部署在 AWS Organizations 的管理帳戶中。這是對您的員工進行身分驗證和授權的最佳實務和建議方法。它是單一的中央存取控制點，適用於多帳戶生產環境中的 AWS 帳戶和應用程式。IAM Identity Center 的帳戶執行個體是一種企業使用者可執行的有限範圍的部署，以便快速評估受支援的 AWS 應用程式 (例如 Amazon Redshift)，並且使其可供較窄範圍的應用程式使用者集使用。組織執行個體的管理員可控制企業使用者透過服務控制政策 (SCP) 建立帳戶執行個體的能力，這是 AWS Organizations 的一項功能。

啟用 SAML 的應用程式組態精靈

您可以使用 IAM Identity Center 應用程式組態精靈，建立單一登入與啟用 SAML 2.0 之應用程式的整合。應用程式指派組態精靈可協助您選取要傳送給啟用單一登入存取之應用程式的資訊，以及設定其格式。例如，您可以針對使用者名稱建立 SAML 屬性，並根據使用者 AD 描述檔中的電子郵件地址指定該屬性的格式。

稽核跨應用程式和 AWS 帳戶的存取活動

所有管理和多帳戶存取活動都會記錄在 AWS CloudTrail 中，提供您集中的稽核 IAM Identity Center 活動視野。您可以透過 CloudTrail 檢視例如登入嘗試、應用程式指派以及目錄整合變更等活動。例如，您可以看到使用者在指定時段內存取的應用程式，或是使用者何時將存取權指定給特定應用程式。

後續步驟

Getting Started

探索如何開始使用 IAM

請參閱入門頁面

Console

準備好開始建立？

開始使用 IAM

還有其他問題嗎？

聯絡我們