AWS IAM Identity Center Konzepte für die AWS CLI - AWS Command Line Interface
Was ist Identity Center IAMBedingungenWie funktioniert IAM Identity CenterWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS IAM Identity Center Konzepte für die AWS CLI

In diesem Thema werden die wichtigsten Konzepte von AWS IAM Identity Center (IAMIdentity Center) beschrieben. IAMIdentity Center ist ein cloudbasierter IAM Dienst, der die Benutzerzugriffsverwaltung für mehrere AWS-Konten Anwendungen und Tools vereinfachtSDKs, indem er in bestehende Identitätsanbieter (IdP) integriert wird. Er ermöglicht sicheres Single Sign-On, Berechtigungsmanagement und Auditing über ein zentrales Benutzerportal und optimiert so die Identitäts- und Zugriffsverwaltung für Unternehmen.

Was ist Identity Center IAM

IAMIdentity Center ist ein cloudbasierter Dienst für Identitäts- und Zugriffsmanagement (IAM), mit dem Sie den Zugriff auf mehrere AWS-Konten Geschäftsanwendungen zentral verwalten können.

Es bietet ein Benutzerportal, über das AWS-Konten autorisierte Benutzer mit ihren vorhandenen Unternehmensanmeldedaten auf die Anwendungen zugreifen können, für die ihnen die entsprechenden Berechtigungen erteilt wurden. Auf diese Weise können Unternehmen konsistente Sicherheitsrichtlinien durchsetzen und die Verwaltung des Benutzerzugriffs optimieren.

Unabhängig davon, welchen IdP Sie verwenden, abstrahiert IAM Identity Center diese Unterscheidungen weg. Sie können beispielsweise Microsoft Azure AD verbinden, wie im Blogartikel The Next Evolution in IAM Identity Center beschrieben.

Anmerkung

Informationen zur Verwendung der Bearer-Authentifizierung, die keine Konto-ID und Rolle verwendet, finden Sie unter Einrichtung zur Verwendung von AWS CLI with CodeCatalyst im CodeCatalyst Amazon-Benutzerhandbuch.

Bedingungen

Allgemeine Begriffe bei der Verwendung von IAM Identity Center lauten wie folgt:

Identitätsanbieter (IdP)

Ein Identitätsverwaltungssystem wie IAM Identity Center, Microsoft Azure AD, Okta oder Ihr eigener Unternehmensverzeichnisdienst.

AWS IAM Identity Center

IAMIdentity Center ist der AWS eigene IdP-Dienst. Früher bekannt als AWS Single Sign-On, SDKs und die Tools behalten die sso API Namespaces aus Gründen der Abwärtskompatibilität bei. Weitere Informationen finden Sie unter Umbenennen von IAM Identity Center im Benutzerhandbuch.AWS IAM Identity Center

AWS-Zugangsportal

Ihr einzigartiges IAM Identity Center URL für den Zugriff auf Ihre autorisierten AWS-Konten Dienste und Ressourcen.

Verbund

Der Prozess der Vertrauensbildung zwischen IAM Identity Center und einem Identitätsanbieter, um Single Sign-On zu ermöglichen (SSO).

AWS-Konten

Der AWS-Konten , über AWS IAM Identity Center den Sie Benutzern Zugriff gewähren.

Berechtigungssätze, AWS Anmeldeinformationen, Anmeldeinformationen, Sigv4-Anmeldeinformationen

Vordefinierte Sammlungen von Berechtigungen, die Benutzern oder Gruppen zugewiesen werden können, um ihnen Zugriff zu AWS-Services gewähren.

Registrierungsbereiche, Zugriffsbereiche, Bereiche

Bereiche sind ein Mechanismus in OAuth 2.0, um den Zugriff einer Anwendung auf das Konto eines Benutzers zu beschränken. Eine Anwendung kann einen oder mehrere Bereiche anfordern, und das für die Anwendung ausgegebene Zugriffstoken ist auf die gewährten Bereiche beschränkt. Informationen zu Bereichen finden Sie unter OAuth2.0 Access Scopes im IAMIdentity Center-Benutzerhandbuch.

Token, Aktualisierungstoken, Zugriffstoken

Token sind temporäre Sicherheitsnachweise, die Ihnen bei der Authentifizierung ausgestellt werden. Diese Token enthalten Informationen über Ihre Identität und die Berechtigungen, die Ihnen erteilt wurden.

Wenn Sie über das IAM Identity Center-Portal auf eine AWS Ressource oder Anwendung zugreifen, wird Ihr Token AWS zur Authentifizierung und Autorisierung vorgelegt. Auf diese Weise können AWS Sie Ihre Identität überprüfen und sicherstellen, dass Sie über die erforderlichen Berechtigungen verfügen, um die von Ihnen angeforderten Aktionen auszuführen.

Das Authentifizierungstoken wird auf der Festplatte unter dem ~/.aws/sso/cache Verzeichnis zwischengespeichert, wobei der JSON Dateiname auf dem Sitzungsnamen basiert.

Sitzung

Eine IAM Identity Center-Sitzung bezieht sich auf den Zeitraum, in dem ein Benutzer authentifiziert und autorisiert ist, auf AWS Ressourcen oder Anwendungen zuzugreifen. Wenn sich ein Benutzer beim IAM Identity Center-Portal anmeldet, wird eine Sitzung eingerichtet, und das Token des Benutzers ist für eine bestimmte Dauer gültig. Weitere Informationen zum Einstellen der Sitzungsdauer finden Sie unter Sitzungsdauer festlegen im AWS IAM Identity Center Benutzerhandbuch.

Während der Sitzung können Sie zwischen verschiedenen AWS Konten und Anwendungen wechseln, ohne sich erneut authentifizieren zu müssen, solange die jeweilige Sitzung aktiv bleibt. Wenn die Sitzung abläuft, melden Sie sich erneut an, um Ihren Zugriff zu erneuern.

IAMIdentity Center-Sitzungen tragen dazu bei, eine reibungslose Benutzererfahrung zu bieten und gleichzeitig bewährte Sicherheitsmethoden durchzusetzen, indem die Gültigkeit von Benutzerzugangsdaten eingeschränkt wird.

Wie funktioniert IAM Identity Center

IAMIdentity Center lässt sich in den Identitätsanbieter Ihres Unternehmens integrieren, z. B. IAM Identity Center, Microsoft Azure AD oder Okta. Benutzer authentifizieren sich bei diesem Identitätsanbieter, und IAM Identity Center ordnet diese Identitäten dann den entsprechenden Berechtigungen und Zugriffen in Ihrer Umgebung zu. AWS

Der folgende IAM Identity Center-Workflow geht davon aus, dass Sie Ihr AWS CLI System bereits für die Verwendung von IAM Identity Center konfiguriert haben:

  1. Führen Sie den aws sso login Befehl in Ihrem bevorzugten Terminal aus.

  2. Melden Sie sich bei Ihrem an AWS-Zugangsportal , um eine neue Sitzung zu starten.

    • Wenn Sie eine neue Sitzung starten, erhalten Sie ein Aktualisierungstoken und ein Zugriffstoken, die zwischengespeichert werden.

    • Wenn Sie bereits eine aktive Sitzung haben, wird die bestehende Sitzung wiederverwendet und läuft ab, wenn die bestehende Sitzung abläuft.

  3. Basierend auf dem Profil, das Sie in Ihrer config Datei eingerichtet haben, geht IAM Identity Center von den entsprechenden Berechtigungssätzen aus AWS-Konten und gewährt Zugriff auf die entsprechenden Anwendungen.

  4. Die Tools AWS CLI SDKs, und verwenden Ihre angenommene IAM Rolle, um Aufrufe zu tätigen, AWS-Services z. B. das Erstellen von Amazon S3 S3-Buckets, bis diese Sitzung abläuft.

  5. Das Zugriffstoken von IAM Identity Center wird stündlich überprüft und mit dem Aktualisierungstoken automatisch aktualisiert.

    • Wenn das Zugriffstoken abgelaufen ist, verwendet das Tool SDK oder das Aktualisierungstoken, um ein neues Zugriffstoken abzurufen. Die Sitzungsdauer dieser Token wird dann verglichen, und wenn das Aktualisierungstoken nicht abgelaufen ist, stellt IAM Identity Center ein neues Zugriffstoken bereit.

    • Wenn das Aktualisierungstoken abgelaufen ist, werden keine neuen Zugriffstoken bereitgestellt und Ihre Sitzung ist beendet.

  6. Sitzungen enden nach Ablauf der Aktualisierungstoken oder wenn Sie sich mithilfe des aws sso logout Befehls manuell abmelden. Die zwischengespeicherten Anmeldeinformationen werden entfernt. Um weiterhin über IAM Identity Center auf Dienste zuzugreifen, müssen Sie mit dem aws sso login Befehl eine neue Sitzung starten.

Weitere Ressourcen

Die zusätzlichen Ressourcen lauten wie folgt.