Cuenta de AWS acceso - AWS IAM Identity Center
Cuenta de AWS tipos Asignación Cuenta de AWS de acceso La experiencia del usuario finalAplicación y limitación del acceso

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Cuenta de AWS acceso

AWS IAM Identity Center está integrado con AWS Organizations, lo que le permite gestionar de forma centralizada los permisos de varias cuentas Cuentas de AWS sin necesidad de configurar cada una de sus cuentas de forma manual. Puede definir permisos y asignarlos a los usuarios de la fuerza laboral para controlar su acceso a determinados recursos Cuentas de AWS mediante una instancia organizativa de IAM Identity Center. Las instancias de cuentas de IAM Identity Center no admiten el acceso a las cuentas.

Cuenta de AWS tipos

Existen dos tipos de Cuentas de AWS entradas AWS Organizations:

  • Cuenta de administración: la Cuenta de AWS que se utiliza para crear la organización.

  • Cuentas de miembros: el resto Cuentas de AWS que pertenecen a una organización.

Para obtener más información sobre Cuenta de AWS los tipos, consulte AWS Organizations Terminología y conceptos en la Guía del AWS Organizations usuario.

También puede optar por registrar una cuenta de miembro como administrador delegado de IAM Identity Center. Los usuarios de esta cuenta pueden realizar la mayoría de las tareas administrativas de IAM Identity Center. Para obtener más información, consulte Administración delegada.

Para cada tipo de tarea y cuenta, la siguiente tabla indica si los usuarios de la cuenta pueden realizar la tarea administrativa de IAM Identity Center.

IAMTareas administrativas de Identity Center Cuenta de miembro Cuenta de administrador delegado Cuenta de administración
Lectura de usuarios o grupos (leer el grupo en sí y sus miembros)
Cómo agregar, editar o eliminar usuarios o grupos No
Cómo habilitar o deshabilitar el acceso de usuarios No
Cómo habilitar, deshabilitar o administrar los atributos entrantes No
Cambio o administración de las fuentes de identidad No
Creación, edición o eliminación de aplicaciones administradas por el cliente No
Cree, edite o elimine aplicaciones AWS administradas
Configurar MFA No
Administración de conjuntos de permisos no aprovisionados en la cuenta de administración No
Administración de conjuntos de permisos aprovisionados en la cuenta de administración No No
Habilite IAM Identity Center No No
Eliminar la configuración IAM de Identity Center No No
Cómo habilitar o deshabilitar el acceso de los usuarios en la cuenta de administración No No
Registro o cancelación de una cuenta miembro como administrador delegado No No

Asignación Cuenta de AWS de acceso

Puede usar los conjuntos de permisos para simplificar la forma en que asigna el acceso a los usuarios, grupos y Cuentas de AWS de su organización. Los conjuntos de permisos se almacenan en IAM Identity Center y definen el nivel de acceso que tienen los usuarios y los grupos a un Cuenta de AWS. Puede crear un único conjunto de permisos y asignarlo a varios Cuentas de AWS de su organización. También puede asignar varios conjuntos de permisos al mismo usuario.

Para obtener más información sobre los conjuntos de permisos, consulte Creación, administración y eliminación de conjuntos de permisos.

nota

También puede asignar a sus usuarios acceso de inicio de sesión único a las aplicaciones. Para obtener más información, consulte Acceso de aplicaciones.

La experiencia del usuario final

El portal de AWS acceso proporciona a los usuarios de IAM Identity Center un acceso de inicio de sesión único a todas sus aplicaciones Cuentas de AWS y aplicaciones asignadas a través de un portal web. El portal de AWS acceso es diferente del AWS Management Console, que es un conjunto de consolas de servicio para administrar AWS los recursos.

Al crear un conjunto de permisos, el nombre que especifique para el conjunto de permisos aparece en el portal de AWS acceso como un rol disponible. Los usuarios inician sesión en el portal de AWS acceso, eligen un rol y Cuenta de AWS, a continuación, eligen el rol. Tras elegir el rol, pueden acceder a los AWS servicios mediante el uso de las credenciales temporales AWS Management Console o recuperar las credenciales temporales para acceder a AWS los servicios mediante programación.

Para abrir AWS Management Console o recuperar las credenciales temporales y acceder a ellas AWS mediante programación, los usuarios siguen estos pasos:

  1. Los usuarios abren una ventana del navegador y utilizan el inicio de sesión URL que usted proporciona para ir al AWS portal de acceso.

  2. Con sus credenciales de directorio, inician sesión en el portal de AWS acceso.

  3. Tras la autenticación, en la página del portal de AWS acceso, eligen la pestaña Cuentas para ver la lista Cuentas de AWS a la que tienen acceso.

  4. A continuación, los usuarios eligen lo Cuenta de AWS que quieren usar.

  5. Debajo del nombre del Cuenta de AWS, todos los conjuntos de permisos a los que estén asignados los usuarios aparecen como roles disponibles. Por ejemplo, si asignó un usuario john_stiles al conjunto de PowerUser permisos, el rol se mostrará en el portal de AWS acceso comoPowerUser/john_stiles. Los usuarios que tienen asignados varios conjuntos de permisos eligen el rol de que quieren utilizar. Los usuarios pueden elegir su rol para acceder a AWS Management Console.

  6. Además del rol, los usuarios del portal de AWS acceso pueden recuperar credenciales temporales para el acceso mediante línea de comandos o mediante programación seleccionando las teclas de acceso.

Para step-by-step obtener información que puede proporcionar a los usuarios de su plantilla, consulte Uso del portal de acceso AWS yObtención de las credenciales de usuario de Centro de identidades de IAM para el o los SDK de la AWS CLI o de AWS.

Aplicación y limitación del acceso

Al habilitar IAM Identity Center, IAM Identity Center crea un rol vinculado al servicio. También puede utilizar las políticas de control de servicios ()SCPs.

Delegación y aplicación del acceso

Un rol vinculado a un servicio es un tipo de IAM rol que está vinculado directamente a un AWS servicio. Tras activar IAM Identity Center, IAM Identity Center puede crear un rol vinculado a un servicio en cada uno Cuenta de AWS de los componentes de la organización. Esta función proporciona permisos predefinidos que permiten a IAM Identity Center delegar y hacer cumplir qué usuarios tienen acceso de inicio de sesión único a determinados Cuentas de AWS miembros de su organización. AWS Organizations Para utilizar esta característica, debe asignar a uno o más usuarios el acceso a una cuenta. Para obtener más información, consulte Descripción de las funciones vinculadas al servicio en Identity Center IAM y Uso de roles vinculados a servicios para Identity Center IAM.

Límite de acceso al almacén de identidades desde las cuentas de los miembros

En el caso del servicio de almacenamiento de identidades que utiliza IAM Identity Center, los usuarios que tienen acceso a una cuenta de miembro pueden utilizar API acciones que requieren permisos de lectura. Las cuentas de los miembros tienen acceso a las acciones de lectura en los espacios de nombres sso-directory e identitystore. Para obtener más información, consulte Acciones, recursos y claves de condición para el AWS IAM Identity Center directorio y Acciones, recursos y claves de condición para AWS Identity Store en la Referencia de autorización del servicio.

Para evitar que los usuarios de las cuentas de los miembros utilicen API las operaciones del almacén de identidades, puede adjuntar una política de control de servicios (SCP). An SCP es un tipo de política organizacional que puedes usar para administrar los permisos en tu organización. El siguiente ejemplo SCP impide que los usuarios de las cuentas de los miembros accedan a cualquier API operación del almacén de identidades.

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": "identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
nota

Limitar el acceso de las cuentas de los miembros puede afectar a la funcionalidad de las aplicaciones habilitadas para IAM Identity Center.

Para obtener más información, consulte las políticas de control de servicios (SCPs) en la Guía del AWS Organizations usuario.