Amazon IAM Identity Center 功能

借助 Amazon IAM Identity Center，您可以轻松地集中管理对多个亚马逊云科技账户和业务应用程序的访问。此服务可让员工从一个地方以单点登录方式访问所有分配给他们的账户和应用程序。借助 IAM Identity Center，您可以轻松管理对 Amazon Organizations 中所有账户的集中访问和相关用户权限。IAM Identity Center 自动为您的账户配置和维护所有必要权限，无需您在各个账户中进行任何其他设置。您可以根据常见工作职能分配用户权限，并按照您的特定安全要求定制这些权限。IAM Identity Center 还包含与亚马逊云科技应用程序和许多业务应用程序（例如 Salesforce、Box 和 Microsoft 365）的内置集成。

您可以在 IAM Identity Center 的身份存储中创建和管理用户身份，也可以轻松连接到现有的身份源，其中包括 Microsoft Active Directory、Okta、Ping Identity、JumpCloud 和 Azure Active Directory（Azure AD）。IAM Identity Center 允许您从身份源中选择用户属性（例如成本中心、职务或区域），然后在亚马逊云科技中使用这些属性进行基于属性的访问控制（ABAC）。

IAM Identity Center 很容易上手。您只需在 IAM Identity Center 管理控制台中单击几下，即可连接到现有的身份源。之后，您可以配置权限，让用户只需通过一个用户门户，即可在 Amazon Organizations 中访问已分配给他们的账户和数百个预先配置的云应用程序。

IAM Identity Center 默认提供一个身份存储，可供您用于在 IAM Identity Center 中创建用户并将用户分组。在 IAM Identity Center 中，您可以通过配置用户的电子邮件地址和名称来创建用户。当您创建用户时，IAM Identity Center 默认会向用户发送一封电子邮件，以便用户可以设置自己的密码。只需几分钟，您便可向用户和组授予权限，让他们能访问所有亚马逊云科技账户中的亚马逊云科技资源以及许多业务应用程序。用户使用他们在 IAM Identity Center 中配置的凭证登录用户门户，在一个地方即可访问所有分配给他们的账户和应用程序。

您可以通过安全断言标记语言（SAML）2.0 将 IAM Identity Center 连接到 Okta Universal Directory、Azure AD 或其他受支持的身份提供者（IdP），以便用户可以使用其现有凭证登录。而且，IAM Identity Center 还支持跨域身份管理系统（SCIM），可自动完成用户权限分配。您可以管理 IdP 中的用户，让他们能迅速开始使用亚马逊云科技服务，并集中管理他们对所有亚马逊云科技账户和业务应用程序的访问。IAM Identity Center 还允许您从 Okta Universal Directory 中选择多个用户属性（例如成本中心、职务或区域），然后使用这些属性进行 ABAC，以简化和集中执行访问管理。

借助 IAM Identity Center，您可以使用 Microsoft Active Directory 域服务（AD DS）中现有的企业身份来管理对账户和应用程序的单点登录访问。IAM Identity Center 通过 Amazon Directory Service 连接到 AD DS，您只需将用户添加到相应的 AD 组即可让用户访问账户和应用程序。例如，您可以为应用程序开发人员团队创建一个组，并向该组授予权限，让其能访问应用程序的相关亚马逊云科技账户。在新的开发人员加入此团队，并且您将他们添加到该 AD 组后，他们将自动获得应用程序的所有相关亚马逊云科技账户的访问权限。IAM Identity Center 还允许您从 AD 中选择多个用户属性（例如成本中心、职务或区域），然后使用这些属性进行 ABAC，以简化和集中执行访问管理。

IAM Identity Center 允许您对所有用户强制执行 MFA，包括要求用户在登录期间设置 MFA 设备。借助 IAM Identity Center，您可以使用基于标准的强身份验证功能来验证所有身份源中的所有用户。如果您使用受支持的 SAML 2.0 IdP 作为身份源，则可以启用身份提供者的多重身份验证（MFA）功能。使用 Active Directory 或 IAM Identity Center 作为身份源时，IAM Identity Center 支持 Web 身份验证规范，在与支持 FIDO 的安全密钥（例如 YubiKey）和内置的生物识别身份验证器（例如 Apple MacBook 上的触控 ID 和 PC 上的面部识别）一起使用时，可帮助您保护用户对亚马逊云科技账户和业务应用程序的访问。您还可以使用 Twilio Authy* 等身份验证器应用程序启用基于时间的一次性密码（TOTP）。

IAM Identity Center 建立在 Amazon Identity and Access Management（IAM）角色和策略的基础上，可帮助您集中管理对 Amazon Organizations 中所有亚马逊云科技账户的访问。IAM Identity Center 使用权限集，即一个或多个 IAM 策略的集合。通过分配权限集来定义用户/组的访问权限。根据这些分配，此服务创建一个由 IAM Identity Center 控制的 IAM 角色，并将权限集中指定的策略附加到每个分配的账户中的此类角色。您无需在各个账户中进行其他配置。  

IAM Identity Center 通过一系列合作伙伴集成选项提供临时提升的访问权限。我们已经证实，CyberArk Secure Cloud Access、Ermetic 和 Okta Access Requests 可帮助应对一系列临时提升访问权限的场景，其中包括需要完全可审计性的敏感操作、具有复杂授权和审计需求的多云环境，以及使用多个身份源和应用程序集成的组织。如果员工用户没有执行敏感操作（例如在生产环境中更改高价值资源的相关配置）所需的永久性权限，他们可以在指定时间内申请访问权限、获得批准并执行操作。而且，审计员可以查看合作伙伴解决方案中的操作和审批日志。

在 IAM Identity Center 控制台中，使用应用程序分配功能提供对许多 SAML 2.0 业务应用程序（包括 Salesforce、Box 和 Microsoft 365）的单点登录访问。您可以按照 IAM Identity Center 中的分步说明轻松配置对这些应用程序的单点登录访问。它将指导您输入所需的 URL、证书和元数据。有关预先与 IAM Identity Center 集成的业务应用程序的完整列表，请参阅 IAM Identity Center 云应用程序。

借助 IAM Identity Center，您可以根据在 IAM Identity Center 身份存储中定义的用户属性，轻松地为员工创建和使用精细权限。IAM Identity Center 允许您选择多个属性（例如成本中心、职务或区域），然后使用这些属性进行基于属性的访问控制（ABAC），以简化和集中执行访问管理。您只需为整个 Amazon Organizations 定义一次权限，然后更改身份源中的属性即可授予、撤消或修改访问权限。

了解有关 ABAC 的更多信息 »

IAM Identity Center 支持通过 Amazon Organizations 委托管理员账户来集中管理组织中的所有成员账户和进行 API 访问。这意味着您可以在组织中指定一个可用于集中管理所有成员账户的账户。通过委托管理，您可以减少对使用管理账户的需求，从而遵守建议的做法。

IAM Identity Center 支持多项安全标准和合规性要求，包括支持支付卡行业数据安全标准（PCI DSS）、国际标准化组织（ISO）、系统和组织控制（SOC）1、2 和 3。

IAM Identity Center 需要与 Amazon Organizations 集成，以便您可以从组织中选择一个或多个账户，并授予用户访问这些账户的权限。只需单击几下，您便可开始使用 IAM Identity Center，并授予员工访问应用程序或团队正在使用的所有亚马逊云科技账户的权限。

通过使用 IAM Identity Center 应用程序分配配置向导，您可以创建与支持 SAML 2.0 的应用程序的单点登录集成。应用程序分配配置向导可帮助您选择和格式化向应用程序发送的信息，以启用单点登录访问。例如，您可以为用户名创建 SAML 属性，并根据用户 AD 配置文件中的用户电子邮件地址指定该属性的格式。

所有管理性和多账户访问活动都记录在 Amazon CloudTrail 中，让您可以看到集中审计 IAM Identity Center 活动的情况。通过 CloudTrail，您可以查看登录尝试、应用程序分配和目录集成更改等活动。例如，您可以看到用户在给定时间段内访问的应用程序，或者用户何时被授予特定应用程序的访问权限。

*此处提及的应用程序和身份提供者是第三方。它们的实例可能位于中国境外。  客户应直接向第三方提供者核实这些实例的位置，并且客户应确认任何跨境的数据传输是否遵守客户在适用法律下要履行的义务。  如果客户使用这些第三方提供的服务，则客户可能会因亚马逊云科技无法控制的原因（例如，如果第三方的服务器位于中国境外）遇到更高的延迟，在这种情况下，客户应直接与第三方提供者合作来解决延迟问题。