Conceptos de AWS IAM Identity Center para la AWS CLI - AWS Command Line Interface

Conceptos de AWS IAM Identity Center para la AWS CLI

En este tema se describen los conceptos clave de AWS IAM Identity Center (IAM Identity Center). IAM Identity Center es un servicio de IAM basado en la nube que simplifica la administración del acceso de los usuarios a múltiples Cuentas de AWS, aplicaciones, SDK y herramientas mediante la integración con los proveedores de identidad (IdP) existentes. Permite un inicio de sesión único seguro, la administración de permisos y la auditoría a través de un portal de usuarios centralizado, lo que agiliza el control de identidades y accesos para las organizaciones.

Qué es IAM Identity Center

IAM Identity Center es un servicio de administración de identidades y accesos (IAM) basado en la nube que le permite administrar de forma centralizada el acceso a múltiples Cuentas de AWS y aplicaciones empresariales.

Proporciona un portal de usuarios en el que los usuarios autorizados pueden acceder a las Cuentas de AWS y las aplicaciones para las que se les haya concedido permiso utilizando sus credenciales corporativas actuales. Esto permite a las organizaciones aplicar políticas de seguridad coherentes, así como agilizar la administración del acceso de los usuarios.

Independientemente del IdP que utilice, el Centro de identidades de IAM abstrae esas distinciones. Por ejemplo, puede conectar Microsoft Azure AD como se describe en el artículo del blog The Next Evolution in IAM Identity Center (La próxima evolución en el Centro de identidades de IAM).

nota

Para obtener información sobre el uso de autenticación de portador, que no utiliza ID de cuenta ni rol, consulte Configuración para utilizar la AWS CLI con CodeCatalyst en la Guía del usuario de Amazon CodeCatalyst.

Términos

Los términos más comunes en el uso de IAM Identity Center son los siguientes:

Proveedor de identidad (IdP)

Un sistema de administración de identidades como IAM Identity Center, Microsoft Azure AD, Okta o su propio servicio de directorio corporativo.

AWS IAM Identity Center

IAM Identity Center es el servicio de proveedor de identidades propiedad de AWS. Antes se le conocía como AWS Single Sign-On y los SDK y las herramientas conservan los espacios de nombres de las API de sso para garantizar la compatibilidad con versiones anteriores. Para más información, consulte IAM Identity Center rename en la Guía del usuario de AWS IAM Identity Center.

Portal de acceso a AWS

Su URL exclusiva de IAM Identity Center para acceder a las Cuentas de AWS, servicios y recursos autorizados.

Federación

Se trata del proceso que permite establecer la confianza entre IAM Identity Center y un proveedor de identidades a la hora de habilitar el inicio de sesión único (SSO).

Cuentas de AWS

Las Cuentas de AWS para las que se proporciona acceso a los usuarios a través de AWS IAM Identity Center.

Conjuntos de permisos, credenciales de AWS, credenciales de sigv4

Conjuntos predefinidos de permisos que se pueden asignar a usuarios o grupos para concederles acceso a los Servicios de AWS.

Ámbitos de registro, ámbitos de acceso, ámbitos

Los ámbitos son un mecanismo de OAuth 2.0 para limitar el acceso de una aplicación a la cuenta de un usuario. Una solicitud puede pedir uno o varios ámbitos y el token de acceso emitido a la solicitud se limita a los ámbitos concedidos. Para obtener información sobre los ámbitos, consulte Ámbitos de acceso de OAuth 2.0 en la Guía del usuario del IAM Identity Center.

Tokens, token de actualización, token de acceso

Los tokens son credenciales de seguridad temporales que se emiten en la autenticación. Estos tokens contienen información sobre su identidad y los permisos que se le han concedido.

Cuando accede a una aplicación o recurso de AWS a través del portal de IAM Identity Center, se presenta tu token a AWS para la autenticación y autorización. Esto permite a AWS verificar su identidad y asegurarse de que cuenta con los permisos necesarios para realizar las acciones solicitadas.

El token de autenticación se almacena en caché en el disco en el directorio ~/.aws/sso/cache con un nombre de archivo JSON basado en el nombre de la sesión.

Sesión

Una sesión en IAM Identity Center hace referencia al período durante el cual un usuario está autenticado y autorizado a acceder a las aplicaciones o recursos de AWS. Cuando un usuario inicia sesión en el portal de IAM Identity Center, se establece una sesión y el token del usuario es válido durante un período específico. Para obtener más información sobre la duración de la sesión, consulte Set session duration en la Guía del usuario de AWS IAM Identity Center.

Durante la sesión, puede navegar entre diferentes aplicaciones y cuentas de AWS sin tener que volver a autenticarse, siempre y cuando la sesión permanezca activa. Cuando la sesión caduque, deberá volver a iniciar sesión para renovar el acceso.

Las sesiones de IAM Identity Center ayudan a proporcionar una experiencia de usuario fluida y, al mismo tiempo, aplican las mejores prácticas de seguridad mediante la limitación de la validez de las credenciales de acceso de los usuarios.

Cómo funciona IAM Identity Center

IAM Identity Center se integra con el proveedor de identidades de su organización, por ejemplo, IAM Identity Center, Microsoft Azure AD u Okta. Los usuarios se autentican con este proveedor de identidades y, a continuación, IAM Identity Center asigna dichas identidades a los permisos y accesos adecuados de su entorno de AWS.

En el siguiente flujo de trabajo de IAM Identity Center, se da por hecho que ya ha configurado la AWS CLI para utilizar IAM Identity Center:

  1. Ejecute el comando aws sso login en el terminal que desee.

  2. Inicie sesión en su Portal de acceso a AWS para comenzar una nueva sesión.

    • Al iniciar una nueva sesión, recibirá un token de actualización y un token de acceso que se almacena en la caché.

    • Si ya tiene una sesión activa, se reutiliza la sesión existente y caducará cuando lo haga la sesión existente.

  3. En función del perfil que haya configurado en su archivo config, IAM Identity Center asume los conjuntos de permisos adecuados y le concede acceso a las Cuentas de AWS y aplicaciones correspondientes.

  4. Las AWS CLI, los SDK y las herramientas utilizan su rol de IAM asumido para realizar llamadas a los Servicios de AWS, por ejemplo, para crear buckets de Amazon S3 hasta que caduque la sesión.

  5. El token de acceso obtenido de IAM Identity Center se comprueba cada hora y se actualiza automáticamente mediante el token de actualización.

    • Si el token de acceso ha caducado, el SDK utiliza el token de actualización para obtener un nuevo token de acceso. A continuación, se comparan las duraciones de las sesiones de estos tokens y, si el token de actualización no ha caducado, IAM Identity Center proporciona un nuevo token de acceso.

    • Si el token de actualización ha caducado, no se proporcionan nuevos tokens de acceso y la sesión habrá finalizado.

  6. Las sesiones finalizan cuando los tokens de actualización caducan o cuando cierra la sesión manualmente mediante el comando aws sso logout. Se eliminan las credenciales almacenadas en caché. Para seguir accediendo a los servicios mediante IAM Identity Center, debe iniciar una nueva sesión con el comando aws sso login.

Recursos adicionales de

Los recursos adicionales son los siguientes.