- Amazon IAM›
- Amazon IAM Identity Center
Amazon IAM Identity Center 常见问题
一般性问题
全部打开通过 IAM Identity Center,您可以从一个中心位置快速轻松地分配和管理员工对多个亚马逊云科技账户、支持 SAML 的云应用程序(例如 Salesforce、Microsoft 365 和 Box)以及定制构建的内部应用程序的访问权限。员工则可以使用其现有凭证或者您在 IAM Identity Center 中配置的凭证登录,从而提高工作效率。他们可以使用单独一个个性化用户门户。您可以更好地了解云端应用程序的使用情况,因为您可以通过 Amazon CloudTrail 集中监控和审核登录活动。
IAM Identity Center 消除了为每个亚马逊云科技账户分别进行权限联合身份验证和管理的复杂性。它允许您通过单一界面设置亚马逊云科技应用程序,并从一个位置分配对云应用程序的访问权限。IAM Identity Center 还集成了 Amazon CloudTrail,为您提供一个中央位置,让您可以在此处审核对亚马逊云科技账户和支持 SAML 的云应用程序(例如 Microsoft 365、Salesforce 和 Box)的单点登录访问权限,从而帮助提高访问可见性。
- 登录到您的亚马逊云科技账户,转到管理账户的亚马逊云科技管理控制台,然后导航到 IAM Identity Center 控制台。
- 在 IAM Identity Center 控制台中,选择用于存储用户和群组身份的目录。默认情况下,IAM Identity Center 会为您提供一个目录,可供您用来在 IAM Identity Center 中管理用户和群组。此外,IAM Identity Center 会自动在您的账户中发现托管 Microsoft AD 和 AD 连接器实例的列表,您可以单击此列表,从而更改目录以连接到 Microsoft AD 目录。如果您想连接到 Microsoft AD 目录,请参阅设置 Amazon Directory Service。
- 如需授予用户对组织内亚马逊云科技账户的单点登录访问权限,请从 IAM Identity Center 填充的列表中选择亚马逊云科技账户,然后从您的目录中选择用户或群组以及您想授予他们的权限。
- 您可通过以下方式为用户提供对企业云应用程序的访问权限:
a.从 IAM Identity Center 支持的预集成应用程序列表中选择一个应用程序。
b.按照配置说明对应用程序进行配置。
c.选择应该有权限访问此应用程序的用户或群组。 - 向用户提供您在配置目录时生成的 IAM Identity Center 登录网址,以便他们能登录 IAM Identity Center 并访问账户和业务应用程序。
身份来源和应用程序支持
全部打开- 集成了 IAM Identity Center 的应用程序:集成了 IAM Identity Center 的应用程序使用 IAM Identity Center 进行身份验证,并使用您的 IAM Identity Center 内的身份。您无需为将身份同步到这些应用程序中执行额外的配置,也不需要单独设置联合身份验证。
- 预集成的 SAML 应用程序:IAM Identity Center 预先集成了多种常用业务应用程序。如需查看完整列表,请参阅 IAM Identity Center 控制台。
- 自定义 SAML 应用程序:IAM Identity Center 支持允许使用 SAML 2.0 进行身份联合验证的应用程序。您可以使用自定义应用程序向导,启用 IAM Identity Center 对这些应用程序的支持。
通过单点登录方式访问亚马逊云科技账户
全部打开IAM Identity Center 提供 API 和 Amazon CloudFormation 支持,用于在多账户环境中实现权限管理自动化,并通过编程方式检索权限以进行审核和治理。
您可以为任何亚马逊云科技账户以及 IAM Identity Center 管理员分配给您的用户权限获得亚马逊云科技 CLI 凭证。这些 CLI 凭证可用于通过编程方式访问亚马逊云科技账户。
通过 IAM Identity Center 获取的亚马逊云科技 CLI 凭证的有效期为 60 分钟。您可以按需随时获取一组全新的凭证。
通过单点登录方式访问业务应用程序
全部打开其他
全部打开IAM Identity Center 存储您的用户和组属性,关于哪些亚马逊云科技账户和云应用程序已分配给哪些用户和组的元数据,以及已为访问亚马逊云科技账户授予了哪些权限。针对您授予用户访问权限的每个权限集,IAM Identity Center 还会在各亚马逊云科技账户中创建和管理 IAM 角色。
IAM Identity Center 与 Amazon Key Management Service(KMS)集成,可加密您的静态数据。默认情况下,IAM Identity Center 使用 Amazon 拥有的 KMS 密钥加密您的数据。如果您想完全控制并查看加密密钥的管理和使用,则可以提供自己的客户自主管理型 KMS 密钥来加密用户和组属性等身份数据。IAM Identity Center 还会对您的静态数据进行签名,以保护其免遭篡改。
IAM Identity Center 使用 TLS 1.2 和 TLS 1.3 加密您的传输中数据。
借助 IAM Identity Center,您可以启用基于标准的强身份验证功能,来验证所有身份源中的所有用户。如果您使用受支持的 SAML 2.0 IdP 作为身份源,则可以启用提供者的多重身份验证功能。使用 IAM Identity Center 或 Active Directory 作为身份源时,IAM Identity Center 支持 Web 身份验证规范,在与支持 FIDO 的安全密钥(例如 YubiKey)和内置的生物识别身份验证器(例如 Apple MacBook 上的触控 ID 和 PC 上的面部识别)一起使用时,可帮助您保护用户对亚马逊云科技账户和业务应用程序的访问。您还可以使用 Twilio Authy* 等身份验证器应用程序启用一次性密码(TOTP)。
您也可以将现有的远程拨入用户认证服务(RADIUS)MFA 配置与 IAM Identity Center 和 Amazon Directory Service 配合使用,作为验证用户身份的辅助验证形式。如需了解有关使用 IAM Identity Center 配置 MFA 的更多信息,请访问 IAM Identity Center 用户指南。
可以。对于 IAM Identity Center 身份存储和 Active Directory 中的用户身份,IAM Identity Center 支持 Web 身份验证规范(WebAuthn),在与支持 FIDO 的安全密钥(例如 YubiKey)和内置的生物识别身份验证器(例如 Apple MacBook 上的触控 ID 和 PC 上的面部识别)一起使用时,可帮助您保护用户对亚马逊云科技账户和业务应用程序的访问。您还可以使用 Twilio Authy* 等身份验证器应用程序启用一次性密码(TOTP)。
*此处提及的应用程序和身份提供者是第三方。它们的实例可能位于中国境外。 客户应直接向第三方提供者核实这些实例的位置,并且客户应确认任何跨境的数据传输是否遵守客户在适用法律下要履行的义务。 如果客户使用这些第三方提供的服务,则客户可能会因亚马逊云科技无法控制的原因(例如,如果第三方的服务器位于中国境外)遇到更高的延迟,在这种情况下,客户应直接与第三方提供者合作来解决延迟问题。
员工只需进入访问门户(您在 IAM Identity Center 中配置身份源时生成的门户),即可开始使用 IAM Identity Center。如果您在 IAM Identity Center 中管理用户,您的员工可使用他们在 IAM Identity Center 中配置的电子邮件地址和密码登录该用户门户。如果您将 IAM Identity Center 连接到 Microsoft Active Directory 或 SAML 2.0 身份提供者,您的员工可以使用其现有的公司凭证登录用户门户,然后查看分配给他们的账户和应用程序。若要访问账户或应用程序,员工需要从访问门户中选择与之关联的图标。
可以。IAM Identity Center 提供账户分配 API,可帮您在多账户环境中实现权限管理自动化,并通过编程方式检索权限以进行审计和治理。