AWSIAMCentro de identidades - AWS Guía prescriptiva
Cómo conectar su fuente de identidad actual a IAM Identity CenterCreación y administración de identidades en AWSConsideraciones generales de diseño para IAM Identity Center

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

AWSIAMCentro de identidades

AWSIAMIdentity Center proporciona un único lugar para crear o conectar las identidades de su creciente fuerza laboral y gestionar de forma centralizada el acceso seguro a esas identidades en todo su AWS entorno. Puede activar IAM Identity Center junto con AWS Organizations. Este es el enfoque recomendado para proporcionar un acceso gestionado de forma centralizada a varias AWS cuentas de la AWS organización y a las aplicaciones AWS gestionadas.

AWSlos servicios gestionados, incluidos Amazon Q, Amazon Q Developer, Amazon SageMaker Studio y Amazon QuickSight, integran y utilizan IAM Identity Center para la autenticación y la autorización. Conecta su fuente de identidad solo una vez al IAM Identity Center y administra el acceso de los empleados a todas las aplicaciones AWSadministradas e integradas. Las identidades de sus directorios corporativos existentes, como Microsoft Entra ID, Okta, Google Workspace y Microsoft Active Directory, deben aprovisionarse en IAM Identity Center antes de que pueda buscar usuarios o grupos para concederles acceso de inicio de sesión único a los servicios gestionados. AWS IAMIdentity Center también posibilita experiencias centradas en el usuario y específicas de cada aplicación. Por ejemplo, los usuarios de Amazon Q experimentan continuidad a medida que pasan de un servicio integrado de Amazon Q a otro.

nota

Puede utilizar las funciones del Centro IAM de Identidad de forma individual. Por ejemplo, puede optar por usar Identity Center solo para administrar el acceso a los servicios AWS administrados, como Amazon Q, y utilizar la federación de cuentas directa y IAM los roles para administrar el acceso a sus AWS cuentas.

La propagación de identidades fiable proporciona una experiencia de inicio de sesión único optimizada para los usuarios de herramientas de consulta y aplicaciones de inteligencia empresarial (BI) que necesitan acceder a los datos de los servicios. AWS La administración del acceso a los datos se basa en la identidad del usuario, por lo que los administradores pueden conceder el acceso en función de los usuarios y grupos a los que pertenezca el usuario. La propagación fiable de la identidad se basa en el marco de autorización OAuth 2.0, que permite a las aplicaciones acceder a los datos de los usuarios y compartirlos de forma segura sin compartir contraseñas. 

AWSlos servicios gestionados que se integran con la propagación de identidades de confianza, como el editor de consultas Amazon Redshift v2EMR, Amazon y Amazon QuickSight, obtienen los tokens directamente del IAM Identity Center. IAMIdentity Center también ofrece una opción para que las aplicaciones intercambien tokens de identidad y accedan a ellos desde un servidor de autorización OAuth 2.0 externo. El acceso de los usuarios a AWS los servicios y otros eventos se registra en registros y CloudTrail eventos específicos del servicio, de modo que los auditores sepan qué acciones realizaron los usuarios y a qué recursos accedieron.

Para utilizar la propagación de identidades confiable, debe habilitar IAM Identity Center y aprovisionar usuarios y grupos. Le recomendamos que utilice una instancia organizativa de IAM Identity Center.

nota

La propagación de identidades confiable no requiere que configure permisos de varias cuentas (conjuntos de permisos). Puede activar el Centro de IAM identidades y utilizarlo únicamente para la propagación de identidades de forma fiable.

Para obtener más información, consulte los requisitos previos y las consideraciones para utilizar la propagación de identidades confiable y consulte los casos de uso específicos que admiten las aplicaciones que pueden iniciar la propagación de identidades.

El portal de AWS acceso proporciona a los usuarios autenticados un acceso de inicio de sesión único a sus AWS cuentas y aplicaciones en la nube. También puede usar las credenciales generadas desde el portal de AWS acceso para configurar los recursos de sus AWS CLI cuentas o AWSSDKacceder a ellos. AWS Esto le ayuda a eliminar el uso de credenciales a largo plazo para el acceso programático, lo que reduce significativamente las posibilidades de que las credenciales se vean comprometidas y mejora su postura de seguridad.

También puede automatizar la administración del acceso a las cuentas y las aplicaciones mediante IAMIdentity Center APIs.

IAMIdentity Center está integrado con Identity Center AWS CloudTrail, lo que proporciona un registro de las acciones realizadas por un usuario en IAM Identity Center. CloudTrail registra API eventos como una CreateUserAPIllamada, que se graba cuando un usuario se crea, aprovisiona o sincroniza manualmente con IAM Identity Center desde un IdP externo mediante el protocolo System for Cross-domain Identity Management (). SCIM Cada evento o entrada de registro registrada CloudTrail contiene información sobre quién generó la solicitud. Esta capacidad le ayuda a identificar cambios o actividades inesperados que podrían requerir una investigación más profunda. Para obtener una lista completa de las operaciones de IAM Identity Center compatibles en CloudTrail, consulte la documentación del IAMIdentity Center.

Cómo conectar su fuente de identidad actual a IAM Identity Center

La federación de identidades es un enfoque común para crear sistemas de control de acceso, que gestionan la autenticación de los usuarios mediante un IdP central y rigen su acceso a múltiples aplicaciones y servicios que actúan como proveedores de servicios ()SPs. IAMIdentity Center le brinda la flexibilidad de incorporar identidades de su fuente de identidad corporativa existente, como Okta, Microsoft Entra ID, Ping, Google Workspace, JumpCloud OneLogin, Active Directory local y cualquier fuente de identidad compatible con SAML 2.0.

El enfoque recomendado es conectar su fuente de IAM identidad actual a Identity Center, ya que proporciona a sus empleados un acceso de inicio de sesión único y una experiencia uniforme en todos los servicios. AWS También se recomienda administrar las identidades desde una única ubicación en lugar de mantener varias fuentes. IAMIdentity Center admite la federación de identidades con la SAML versión 2.0, que es un estándar de identidad abierto que permite a IAM Identity Center autenticar usuarios externos IdPs. IAMIdentity Center también es compatible con el estándar SCIMv2.0. Este estándar permite el aprovisionamiento, la actualización y el desaprovisionamiento automáticos de usuarios y grupos entre cualquiera de los centros de IAM identidad externos IdPs y compatibles, excepto Google Workspace PingOne, que actualmente solo admite el aprovisionamiento de usuarios a través de. SCIM

También puede conectar otros dispositivos externos SAML basados en la versión 2.0 IdPs a IAM Identity Center, siempre que se ajusten a normas y consideraciones específicas.

También puede conectar su Microsoft Active Directory existente a IAM Identity Center. Esta opción le permite sincronizar usuarios, grupos y pertenencias a grupos de un Microsoft Active Directory existente mediante AWS Directory Service. Esta opción es adecuada para grandes empresas que ya administran identidades, ya sea en un Active Directory autoadministrado ubicado en las instalaciones o en un directorio de Microsoft AD AWS administrado. Puede conectar un directorio de Microsoft AD AWS administrado a IAM Identity Center. También puede conectar su directorio autogestionado de Active Directory a IAM Identity Center estableciendo una relación de confianza bidireccional que permita a IAM Identity Center confiar en su dominio para la autenticación. Otro método consiste en utilizar AD Connector, que es una puerta de enlace de directorios que puede redirigir las solicitudes de directorio a su Active Directory autogestionado sin almacenar en caché ninguna información en la nube. En el siguiente diagrama se muestra esta opción.

Uso de AD Connector y confianza bidireccional para sincronizar las identidades de Active Directory local

Beneficios

  • Conecte su fuente de identidad existente al IAM Identity Center para agilizar el acceso y ofrecer una experiencia uniforme a sus empleados en todos AWS los servicios.

  • Gestione de forma eficiente el acceso del personal a AWS las aplicaciones. Puede gestionar y auditar el acceso de los usuarios a AWS los servicios con mayor facilidad haciendo que la información de usuarios y grupos de su fuente de identidad esté disponible a través de IAM Identity Center. 

  • Mejore el control y la visibilidad del acceso de los usuarios a los datos de AWS los servicios. Puede habilitar la transferencia del contexto de identidad del usuario desde su herramienta de inteligencia empresarial a los servicios de AWS datos que utiliza y, al mismo tiempo, seguir utilizando la fuente de identidad elegida y otras configuraciones de administración de AWS acceso.

  • Gestione el acceso de los empleados a un AWS entorno de múltiples cuentas. Puede usar IAM Identity Center con su fuente de identidad existente o crear un nuevo directorio y administrar el acceso de los empleados a una parte o a la totalidad de su AWS entorno.

  • Proporcione un nivel de protección adicional en caso de que se interrumpa el servicio en la AWS región en la que habilitó IAM Identity Center configurando el acceso de emergencia a la consola AWS de administración.

Consideración del servicio
Consideraciones sobre el diseño

  • Puede habilitar una instancia de IAM Identity Center en una sola AWS región a la vez. Al activar IAM Identity Center, este controla el acceso a sus conjuntos de permisos y aplicaciones integradas desde la región principal. Esto significa que, en el improbable caso de que se interrumpa el servicio del Centro de IAM Identidad en esta región, los usuarios no podrán iniciar sesión para acceder a las cuentas y aplicaciones. Para ofrecer una protección adicional, le recomendamos que configure el acceso de emergencia a la consola de AWS administración mediante una federación SAML basada en la versión 2.0.

    nota

    Esta recomendación de acceso de emergencia se aplica si utiliza un IdP externo de terceros como fuente de identidad y funciona cuando el plano de datos del IAM servicio y su IdP externo están disponibles.

  • Si usa Active Directory o crea usuarios en IAM Identity Center, siga las instrucciones estándar para AWSromper cristales.

  • Si planea usar AD Connector para conectar su Active Directory local a IAM Identity Center, tenga en cuenta que AD Connector tiene una relación de one-on-one confianza con su dominio de Active Directory y no admite confianzas transitivas. Esto significa que IAM Identity Center solo puede acceder a los usuarios y grupos del dominio único que está conectado al AD Connector que creó. Si necesita admitir varios dominios o bosques, utilice Microsoft AD AWS administrado.

  • Si utiliza un IdP externo, la autenticación multifactor (MFA) se administra desde el IdP externo y no en Identity Center. IAM IAMIdentity Center admite MFA capacidades solo cuando su fuente de identidad está configurada con el almacén de IAM identidades de Identity Center, AWS Managed Microsoft AD o AD Connector. 

Creación y administración de identidades en AWS

Le recomendamos que utilice IAM Identity Center con un IdP externo. Sin embargo, si no tiene un IdP existente, puede crear y administrar usuarios y grupos en el directorio de IAM Identity Center, que es la fuente de identidad predeterminada del servicio. Esta opción se ilustra en el siguiente diagrama. Se prefiere a crear IAM usuarios o roles en cada AWS cuenta para los usuarios de Workforce. Para obtener más información, consulte la documentación del Centro de IAM identidades

Creación y administración de identidades en AWS
Consideraciones sobre el servicio

  • Al crear y administrar identidades en IAM Identity Center, los usuarios deben cumplir con la política de contraseñas predeterminada, que no se puede modificar. Si desea definir y usar su propia política de contraseñas para sus identidades, cambie la fuente de identidad a Active Directory o a un IdP externo.

  • Cuando cree y administre identidades en IAM Identity Center, considere la posibilidad de planificar la recuperación ante desastres. IAMIdentity Center es un servicio regional diseñado para funcionar en varias zonas de disponibilidad a fin de resistir los fallos de una zona de disponibilidad. Sin embargo, en el improbable caso de que se produzca una interrupción en la región en la que está habilitado su centro de IAM identidad, no podrá implementar ni utilizar la configuración de acceso de emergencia recomendada por ellaAWS, ya que el directorio del centro de IAM identidad que contiene sus usuarios y grupos también se verá afectado por cualquier interrupción en esa región. Para implementar la recuperación ante desastres, debe cambiar la fuente de identidad a un IdP SAML 2.0 externo o a Active Directory.

Consideraciones sobre el diseño

  • IAMIdentity Center solo admite el uso de una fuente de identidad a la vez. Sin embargo, puede cambiar su fuente de identidad actual por una de las otras dos opciones de fuente de identidad. Antes de realizar este cambio, evalúe el impacto revisando las consideraciones a la hora de cambiar la fuente de identidad.

  • Cuando utiliza el directorio del Centro de IAM Identidad como fuente de identidad, MFAse habilita de forma predeterminada para las instancias que se crearon después del 15 de noviembre de 2023. Se pide a los nuevos usuarios que registren un MFA dispositivo cuando inicien sesión en IAM Identity Center por primera vez. Los administradores pueden actualizar MFA la configuración de sus usuarios en función de sus requisitos de seguridad.

Consideraciones generales de diseño para IAM Identity Center

  • IAMIdentity Center admite el control de acceso basado en atributos (ABAC), que es una estrategia de autorización que permite crear permisos detallados mediante el uso de atributos. Hay dos formas de transferir atributos para el control de acceso a Identity Center: IAM

    • Si utilizas un IdP externo, puedes pasar los atributos directamente a la SAML aserción mediante el prefijo. https://aws.amazon.com/SAML/Attributes/AccessControl

    • Si usa IAM Identity Center como fuente de identidad, puede agregar y usar los atributos que se encuentran en el almacén de IAM identidades del Identity Center.

    • Para usarlo ABAC en todos los casos, primero debe seleccionar el atributo de control de acceso en la página Atributos para el control de acceso de la consola de IAM Identity Center. Para pasarlo mediante SAML aserción, debe establecer el nombre del atributo en el https://aws.amazon.com/SAML/Attributes/AccessControl:<AttributeName> IdP en. 

    • Los atributos que se definen en la página Atributos para el control de acceso de la consola de IAM Identity Center tienen prioridad sobre los atributos transferidos a través de SAML las aserciones de su IdP. Si solo quiere usar los atributos transferidos desde SAML una aserción, no defina ningún atributo manualmente en Identity Center. IAM Después de definir los atributos en el IdP o en el IAM Identity Center, puede crear políticas de permisos personalizadas en su conjunto de permisos mediante la clave aws: PrincipalTag global condition. Esto garantiza que solo los usuarios con atributos que coincidan con las etiquetas de sus recursos tengan acceso a esos recursos en sus AWS cuentas.

  • IAMIdentity Center es un servicio de administración de identidades para el personal, por lo que requiere la interacción humana para completar el proceso de autenticación para el acceso programático. Si necesita credenciales a corto plazo para la machine-to-machine autenticación, explore los perfiles de EC2 instancias de Amazon para cargas de trabajo internas AWS o IAMRoles Anywhere para cargas de trabajo externas. AWS

  • IAMIdentity Center proporciona acceso a los recursos de las AWS cuentas de sus organizaciones. Sin embargo, si desea proporcionar un acceso de inicio de sesión único a cuentas externas (es decir, AWS cuentas ajenas a su organización) mediante IAM Identity Center sin invitar a esas cuentas a sus organizaciones, puede configurar las cuentas externas como SAML aplicaciones en IAM Identity Center.

  • IAMIdentity Center admite la integración con soluciones temporales de administración de acceso elevado (TEAM) (también conocidas como just-in-time acceso). Esta integración proporciona un acceso elevado y escalable y limitado en el tiempo a su AWS entorno de múltiples cuentas. El acceso elevado temporal permite a los usuarios solicitar acceso para realizar una tarea específica durante un período de tiempo específico. Un aprobador revisa cada solicitud y decide si la aprueba o la rechaza. IAMIdentity Center es compatible tanto con TEAM soluciones gestionadas por proveedores de socios de AWS seguridad compatibles como con soluciones autogestionadas, que usted mantiene y adapta para cumplir con sus requisitos de acceso limitados en el tiempo.