Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
AWS IAM Identity Center agiliza y simplifica la tarea de conectar a los usuarios de su fuerza laboral con aplicaciones AWS gestionadas, como Amazon Q Developer y Amazon. QuickSight Con IAM Identity Center, puede conectar su proveedor de identidades existente una vez y sincronizar usuarios y grupos de su directorio, o crear y administrar sus usuarios directamente en IAM Identity Center. Al proporcionar un punto de federación, IAM Identity Center elimina la necesidad de configurar la federación o la sincronización de usuarios y grupos para cada aplicación y reduce el esfuerzo administrativo. También obtiene una visión común de las asignaciones de usuarios y grupos.
Para ver una tabla de AWS aplicaciones que funcionan con el Centro de identidades de IAM, consulte. AWS aplicaciones gestionadas que puede utilizar con IAM Identity Center
Controlar el acceso a las aplicaciones AWS gestionadas
El acceso a las aplicaciones AWS gestionadas se controla de dos maneras:
-
Entrada inicial a la aplicación
IAM Identity Center administra esto mediante asignaciones a la aplicación. De forma predeterminada, las asignaciones son obligatorias para las aplicaciones AWS administradas. Si es administrador de aplicaciones, puede elegir si desea solicitar asignaciones a una aplicación.
Si las asignaciones son obligatorias, cuando un usuario inicie sesión en Portal de acceso a AWS, solo verá el icono de la aplicación si está asignado a la aplicación directamente o mediante una asignación de grupo.
Si las asignaciones no son obligatorias, puede permitir que todos los usuarios de IAM Identity Center entren en la aplicación. En este caso, la aplicación administra el acceso a los recursos y todos los usuarios que visitan Portal de acceso a AWS.
importante
Si es administrador del IAM Identity Center, puede utilizar la consola del IAM Identity Center para eliminar las asignaciones a las aplicaciones AWS gestionadas. Antes de eliminar las asignaciones, le recomendamos que colabore con el administrador de la aplicación. También debe colaborar con el administrador de la aplicación si tiene previsto modificar la configuración que determina si las asignaciones son obligatorias o automatizar las asignaciones de la aplicación.
-
Acceso a los recursos de la aplicación
La aplicación administra esto mediante asignaciones de recursos independientes que controla.
AWS las aplicaciones gestionadas proporcionan una interfaz de usuario administrativa que puede utilizar para gestionar el acceso a los recursos de la aplicación. Por ejemplo, QuickSight los administradores pueden asignar a los usuarios el acceso a los paneles en función de la pertenencia a un grupo. La mayoría de las aplicaciones AWS administradas también ofrecen una AWS Management Console experiencia que permite asignar usuarios a la aplicación. La experiencia de la consola de estas aplicaciones podría integrar ambas funciones para combinar las capacidades de asignación de usuarios con la capacidad de administrar el acceso a los recursos de la aplicación.
Compartición de información de identidad
Consideraciones para compartir información de identidad en Cuentas de AWS
IAM Identity Center admite los atributos más utilizados en todas las aplicaciones. Estos atributos pueden ser el nombre y apellido, el número de teléfono, la dirección de correo electrónico, la dirección y el idioma preferido. Considere detenidamente qué aplicaciones y qué cuentas pueden utilizar esta información de identificación personal.
Puede controlar el acceso a esta información de cualquiera de las siguientes maneras:
-
Puede optar por habilitar el acceso solo en la cuenta AWS Organizations de administración o en todas las cuentas de AWS Organizations.
-
Como alternativa, puede usar las políticas de control de servicios (SCPs) para controlar qué aplicaciones pueden acceder a la información en qué cuentas se encuentran AWS Organizations.
Por ejemplo, si solo habilita el acceso a la cuenta AWS Organizations de administración, las aplicaciones de las cuentas de los miembros no tendrán acceso a la información. Sin embargo, si habilita el acceso en todas las cuentas, puede impedir SCPs el acceso a todas las aplicaciones, excepto a las que desee permitir.
Las políticas de control de servicios son una característica de AWS Organizations. Para obtener instrucciones sobre cómo conectar una SCP, consulte Asociar y desasociar políticas de control de servicios en la Guía del usuario de AWS Organizations .
Configuración de IAM Identity Center para compartir información de las identidades
IAM Identity Center proporciona un almacén de identidades que contiene los atributos de usuario y grupo, sin incluir las credenciales de inicio de sesión. Puede utilizar cualquiera de los siguientes métodos para mantener actualizados a los usuarios y grupos de su almacén de identidades de IAM Identity Center:
-
Utilice el almacén de identidades de IAM Identity Center como fuente de identidades principal. Si elige este método, gestiona los usuarios, sus credenciales de inicio de sesión y los grupos desde la consola de IAM Identity Center o AWS Command Line Interface ()AWS CLI. Para obtener más información, consulte Administración de identidades en IAM Identity Center.
-
Configure el aprovisionamiento (sincronización) de los usuarios y grupos procedentes de cualquiera de las siguientes fuentes de identidad en el almacén de identidades de IAM Identity Center:
-
Active Directory: para más información, consulte Conéctese a un Microsoft AD directory.
-
Proveedor de identidades externo: para más información, consulte Administrar un proveedor de identidades externo.
Si elige este método de aprovisionamiento, seguirá administrando sus usuarios y grupos desde su origen de identidad y esos cambios se sincronizarán con el almacén de identidades de IAM Identity Center.
-
Sea cual sea la fuente de identidad que elija, el Centro de Identidad de IAM puede compartir la información del usuario y del grupo con AWS las aplicaciones gestionadas. De esta forma, puede conectar un origen de identidad a IAM Identity Center una vez y, a continuación, compartir la información de identidad con varias aplicaciones en la Nube de AWS. De este modo, se elimina la necesidad de configurar el aprovisionamiento de identidades y federaciones de forma independiente con cada aplicación. Esta característica de uso compartido también facilita el acceso de los usuarios a muchas aplicaciones en diferentes Cuentas de AWS.
Restringir el uso de aplicaciones gestionadas AWS
Al activar IAM Identity Center por primera vez, AWS permite el uso de aplicaciones AWS gestionadas de forma automática en todas las cuentas de IAM. AWS Organizations Para restringir las aplicaciones, debe implementar políticas de control de servicios ()SCPs. SCPs son una función AWS Organizations que puede utilizar para controlar de forma centralizada el número máximo de permisos que pueden tener las identidades (usuarios y roles) de su organización. Puede utilizarlas SCPs para bloquear el acceso a la información de usuarios y grupos del Centro de Identidad de IAM e impedir que se inicie la aplicación, excepto en las cuentas designadas. Para obtener más información, consulte las políticas de control de servicios (SCPs) en la Guía del AWS Organizations usuario.
