AWS IAM Identity Center conceptos para el AWS CLI - AWS Command Line Interface
¿Qué es Identity Center IAMTérminosCómo funciona IAM Identity CenterRecursos adicionales de

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWS IAM Identity Center conceptos para el AWS CLI

En este tema se describen los conceptos clave de AWS IAM Identity Center (IAMIdentity Center). IAMIdentity Center es un IAM servicio basado en la nube que simplifica la administración del acceso de los usuarios en múltiples Cuentas de AWS aplicaciones y herramientas al integrarse con los proveedores de identidad (IdP) existentes. SDKs Permite el inicio de sesión único seguro, la gestión de permisos y la auditoría a través de un portal de usuario centralizado, lo que agiliza la gestión de la identidad y el acceso de las organizaciones.

¿Qué es Identity Center IAM

IAMIdentity Center es un servicio de administración de identidad y acceso (IAM) basado en la nube que le permite administrar de forma centralizada el acceso a múltiples Cuentas de AWS aplicaciones empresariales.

Proporciona un portal de usuarios en el que los usuarios autorizados pueden acceder a las aplicaciones a las que se les ha concedido permiso Cuentas de AWS y a las aplicaciones para las que tienen permiso, utilizando sus credenciales corporativas actuales. Esto permite a las organizaciones aplicar políticas de seguridad coherentes y agilizar la gestión del acceso de los usuarios.

Independientemente del IdP que utilice, IAM Identity Center abstrae esas distinciones. Por ejemplo, puede conectar Microsoft Azure AD como se describe en el artículo del blog The Next Evolution in IAM Identity Center.

nota

Para obtener información sobre el uso de la autenticación de portador, que no utiliza ningún identificador de cuenta ni rol, consulta Cómo configurar el uso de AWS CLI with CodeCatalyst en la Guía del CodeCatalyst usuario de Amazon.

Términos

Los términos más comunes al utilizar IAM Identity Center son los siguientes:

Proveedor de identidad (IdP)

Un sistema de administración de IAM identidades como Identity Center, Microsoft Azure AD, Okta o su propio servicio de directorio corporativo.

AWS IAM Identity Center

IAMIdentity Center es el servicio AWS de IdP propio. Anteriormente conocido como AWS Single Sign-On, SDKs las herramientas conservan los espacios de sso API nombres para garantizar la compatibilidad con versiones anteriores. Para obtener más información, consulte el tema sobre el cambio de nombre de IAM Identity Center en la Guía del usuario.AWS IAM Identity Center

Portal de acceso a AWS

Su centro de IAM identidad exclusivo URL para acceder a sus servicios y recursos autorizados Cuentas de AWS.

Federación

El proceso de establecer la confianza entre IAM Identity Center y un proveedor de identidad para habilitar el inicio de sesión único ()SSO.

Cuentas de AWS

A través del Cuentas de AWS cual se proporciona acceso a los usuarios. AWS IAM Identity Center

Conjuntos de permisos, AWS credenciales, credenciales sigv4

Colecciones predefinidas de permisos que se pueden asignar a usuarios o grupos a los que conceder acceso Servicios de AWS.

Ámbitos de registro, ámbitos de acceso, ámbitos

Los ámbitos son un mecanismo de la OAuth versión 2.0 para limitar el acceso de una aplicación a la cuenta de un usuario. Una solicitud puede pedir uno o varios ámbitos y el token de acceso emitido a la solicitud se limita a los ámbitos concedidos. Para obtener información sobre los ámbitos, consulte los ámbitos de acceso OAuth 2.0 en la Guía del usuario de IAMIdentity Center.

Tokens, token de actualización, token de acceso

Los tokens son credenciales de seguridad temporales que se le emiten al autenticarse. Estos tokens contienen información sobre tu identidad y los permisos que se te han concedido.

Cuando accedes a un AWS recurso o una aplicación a través del portal de IAM Identity Center, se presenta tu token AWS para su autenticación y autorización. Esto le permite AWS verificar su identidad y asegurarse de que cuenta con los permisos necesarios para realizar las acciones solicitadas.

El token de autenticación se almacena en caché en el disco bajo el ~/.aws/sso/cache directorio con un JSON nombre de archivo basado en el nombre de la sesión.

Sesión

Una sesión de IAM Identity Center hace referencia al período de tiempo durante el que un usuario está autenticado y autorizado a acceder a AWS recursos o aplicaciones. Cuando un usuario inicia sesión en el portal de IAM Identity Center, se establece una sesión y el token del usuario es válido durante un período específico. Para obtener más información sobre cómo configurar la duración de las sesiones, consulte Establecer la duración de las sesiones en la Guía del AWS IAM Identity Center usuario.

Durante la sesión, puede navegar entre diferentes AWS cuentas y aplicaciones sin tener que volver a autenticarse, siempre y cuando la sesión permanezca activa. Cuando la sesión caduque, vuelve a iniciar sesión para renovar el acceso.

IAMLas sesiones del Centro de Identidad ayudan a proporcionar una experiencia de usuario fluida y, al mismo tiempo, a aplicar las mejores prácticas de seguridad al limitar la validez de las credenciales de acceso de los usuarios.

Cómo funciona IAM Identity Center

IAMIdentity Center se integra con el proveedor de identidades de su organización, como IAM Identity Center, Microsoft Azure AD u Okta. Los usuarios se autentican con este proveedor de identidades y, a continuación, IAM Identity Center asigna esas identidades a los permisos y accesos adecuados de su AWS entorno.

En el siguiente flujo de trabajo de IAM Identity Center se presupone que ya lo ha configurado AWS CLI para usar IAM Identity Center:

  1. En la terminal que prefiera, ejecute el aws sso login comando.

  2. Inicia sesión en tu Portal de acceso a AWS cuenta para iniciar una nueva sesión.

    • Cuando inicias una nueva sesión, recibes un token de actualización y un token de acceso que se almacenan en caché.

    • Si ya tiene una sesión activa, la sesión existente se reutiliza y caduca cuando caduque la sesión existente.

  3. En función del perfil que haya configurado en su config archivo, IAM Identity Center asume los conjuntos de permisos adecuados y le otorga acceso a los permisos Cuentas de AWS y aplicaciones correspondientes.

  4. Los AWS CLI SDKs, y Tools utilizan su IAM función asumida para realizar llamadas, por Servicios de AWS ejemplo, para crear buckets de Amazon S3 hasta que caduque la sesión.

  5. El token de acceso de IAM Identity Center se comprueba cada hora y se actualiza automáticamente mediante el token de actualización.

    • Si el token de acceso ha caducado, la herramienta SDK o herramienta utiliza el token de actualización para obtener un nuevo token de acceso. A continuación, se comparan las duraciones de las sesiones de estos tokens y, si el token de actualización no ha caducado, IAM Identity Center proporciona un nuevo token de acceso.

    • Si el token de actualización ha caducado, no se proporcionan nuevos tokens de acceso y la sesión ha finalizado.

  6. Las sesiones finalizan cuando los tokens de actualización caducan o cuando cierras sesión manualmente mediante el aws sso logout comando. Se eliminan las credenciales almacenadas en caché. Para seguir accediendo a los servicios mediante IAM Identity Center, debe iniciar una nueva sesión con el aws sso login comando.

Recursos adicionales de

Los recursos adicionales son los siguientes.