Pusat Identitas AWS IAM - AWS Bimbingan Preskriptif
Menghubungkan sumber identitas Anda yang ada ke IAM Identity CenterMembuat dan mengelola identitas di AWSPertimbangan desain umum untuk IAM Identity Center

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pusat Identitas AWS IAM

AWS IAM Identity Center menyediakan satu tempat untuk membuat atau menghubungkan identitas tenaga kerja Anda yang terus berkembang dan mengelola akses aman untuk identitas tersebut secara terpusat di seluruh lingkungan AWS Anda. Anda dapat mengaktifkan Pusat Identitas IAM bersama dengan AWS Organizations. Ini adalah pendekatan yang disarankan untuk menyediakan akses yang dikelola secara terpusat ke beberapa akun AWS dalam organisasi AWS Anda dan aplikasi yang dikelola AWS.

Layanan yang dikelola AWS, termasuk Amazon Q, Pengembang Amazon Q, Amazon SageMaker Studio, dan Amazon QuickSight, mengintegrasikan dan menggunakan Pusat Identitas IAM untuk otentikasi dan otorisasi. Anda menghubungkan sumber identitas Anda hanya sekali ke IAM Identity Center dan mengelola akses tenaga kerja ke semua aplikasi yang dikelola AWS onboard. Identitas dari direktori perusahaan Anda yang ada, seperti Microsoft Entra ID, Okta, Google Workspace, dan Microsoft Active Directory, harus disediakan ke Pusat Identitas IAM sebelum Anda dapat mencari pengguna atau grup untuk memberi mereka akses masuk tunggal ke layanan yang dikelola AWS. IAM Identity Center juga mendukung pengalaman khusus aplikasi dan berpusat pada pengguna. Misalnya, pengguna Amazon Q mengalami kontinuitas saat mereka berpindah dari satu layanan terintegrasi Amazon Q ke layanan lainnya.

catatan

Anda dapat menggunakan kemampuan IAM Identity Center secara individual. Misalnya, Anda dapat memilih untuk menggunakan Pusat Identitas hanya untuk mengelola akses ke layanan yang dikelola AWS seperti Amazon Q saat menggunakan federasi akun langsung dan peran IAM untuk mengelola akses ke akun AWS Anda.

Propagasi identitas tepercaya memberikan pengalaman masuk tunggal yang efisien bagi pengguna alat kueri dan aplikasi intelijen bisnis (BI) yang memerlukan akses ke data di layanan AWS. Manajemen akses data didasarkan pada identitas pengguna, sehingga administrator dapat memberikan akses berdasarkan keanggotaan pengguna dan grup yang ada. Propagasi identitas tepercaya dibangun di atas OAuth 2.0 Authorization Framework, yang memungkinkan aplikasi mengakses dan berbagi data pengguna dengan aman tanpa berbagi kata sandi. 

Layanan terkelola AWS yang terintegrasi dengan propagasi identitas tepercaya, seperti editor kueri Amazon Redshift v2, Amazon EMR, dan QuickSight Amazon, mendapatkan token dari IAM Identity Center secara langsung. IAM Identity Center juga menyediakan opsi bagi aplikasi untuk bertukar token identitas dan token akses dari server otorisasi OAuth 2.0 eksternal. Akses pengguna ke layanan AWS dan peristiwa lainnya dicatat dalam log khusus layanan dan CloudTrail peristiwa, sehingga auditor mengetahui tindakan apa yang diambil pengguna dan sumber daya apa yang mereka akses.

Untuk menggunakan propagasi identitas tepercaya, Anda harus mengaktifkan Pusat Identitas IAM dan menyediakan pengguna dan grup. Kami menyarankan Anda menggunakan instance organisasi dari IAM Identity Center.

catatan

Propagasi identitas tepercaya tidak mengharuskan Anda menyiapkan izin multi-akun (set izin). Anda dapat mengaktifkan IAM Identity Center dan menggunakannya hanya untuk propagasi identitas tepercaya.

Untuk informasi selengkapnya, lihat prasyarat dan pertimbangan untuk menggunakan propagasi identitas tepercaya dan lihat kasus penggunaan spesifik yang didukung oleh aplikasi yang dapat memulai propagasi identitas.

Portal akses AWS memberi pengguna yang diautentikasi akses masuk tunggal ke akun AWS dan aplikasi cloud mereka. Anda juga dapat menggunakan kredensyal yang dihasilkan dari portal akses AWS untuk mengonfigurasi akses AWS CLI atau AWS SDK ke sumber daya di akun AWS Anda. Ini membantu Anda menghilangkan penggunaan kredensyal jangka panjang untuk akses terprogram, yang secara signifikan mengurangi kemungkinan kredensyal dikompromikan dan meningkatkan postur keamanan Anda.

Anda juga dapat mengotomatiskan pengelolaan akun dan akses aplikasi dengan menggunakan IAM Identity Center. APIs

IAM Identity Center terintegrasi dengan AWS CloudTrail, yang menyediakan catatan tindakan yang diambil oleh pengguna di IAM Identity Center. CloudTrail merekam peristiwa API seperti panggilan CreateUserAPI, yang direkam saat pengguna dibuat atau disediakan secara manual atau disinkronkan ke Pusat identitas IAM dari IDP eksternal dengan menggunakan protokol System for Cross-domain Identity Management (SCIM). Setiap peristiwa atau entri log yang direkam CloudTrail berisi informasi tentang siapa yang membuat permintaan. Kemampuan ini membantu Anda mengidentifikasi perubahan atau aktivitas tak terduga yang mungkin memerlukan penyelidikan lebih lanjut. Untuk daftar lengkap operasi Pusat Identitas IAM yang didukung CloudTrail, lihat dokumentasi Pusat Identitas IAM.

Menghubungkan sumber identitas Anda yang ada ke IAM Identity Center

Federasi identitas adalah pendekatan umum untuk membangun sistem kontrol akses, yang mengelola otentikasi pengguna dengan menggunakan IDP pusat dan mengatur akses mereka ke beberapa aplikasi dan layanan yang bertindak sebagai penyedia layanan (). SPs Pusat Identitas IAM memberi Anda fleksibilitas untuk menghadirkan identitas dari sumber identitas perusahaan yang ada, termasuk Okta, ID Microsoft Entra, Ping, Google Workspace,, Active Directory lokal JumpCloud OneLogin, dan sumber identitas yang kompatibel dengan SAMP 2.0.

Menghubungkan sumber identitas Anda yang ada ke IAM Identity Center adalah pendekatan yang disarankan, karena memberikan akses masuk tunggal kepada tenaga kerja Anda dan pengalaman yang konsisten di seluruh layanan AWS. Ini juga merupakan praktik terbaik untuk mengelola identitas dari satu lokasi alih-alih memelihara banyak sumber. IAM Identity Center mendukung federasi identitas dengan SAMP 2.0, yang merupakan standar identitas terbuka yang memungkinkan IAM Identity Center untuk mengautentikasi pengguna dari eksternal. IdPs IAM Identity Center juga menyediakan dukungan untuk standar SCIM v2.0. Standar ini memungkinkan penyediaan, pembaruan, dan penonaktifan otomatis pengguna dan grup antara Pusat Identitas eksternal dan IAM yang didukung, kecuali Google Workspace IdPs dan PingOne, yang saat ini mendukung penyediaan pengguna hanya melalui SCIM.

Anda juga dapat menghubungkan eksternal berbasis SAMP 2.0 lainnya IdPs ke IAM Identity Center, jika sesuai dengan standar dan pertimbangan tertentu.

Anda juga dapat menghubungkan Microsoft Active Directory yang ada ke IAM Identity Center. Opsi ini memungkinkan Anda untuk menyinkronkan pengguna, grup, dan keanggotaan grup dari Microsoft Active Directory yang ada dengan menggunakan AWS Directory Service. Opsi ini cocok untuk perusahaan besar yang sudah mengelola identitas, baik di Direktori Aktif yang dikelola sendiri yang terletak di lokasi atau di direktori di AWS Managed Microsoft AD. Anda dapat menghubungkan direktori di AWS Managed Microsoft AD ke IAM Identity Center. Anda juga dapat menghubungkan direktori yang dikelola sendiri di Active Directory ke IAM Identity Center dengan membangun hubungan kepercayaan dua arah yang memungkinkan IAM Identity Center mempercayai domain Anda untuk otentikasi. Metode lain adalah dengan menggunakan AD Connector, yang merupakan gateway direktori yang dapat mengarahkan permintaan direktori ke Active Directory yang dikelola sendiri tanpa menyimpan informasi apa pun di cloud. Diagram berikut menggambarkan opsi ini.

Menggunakan AD Connector dan kepercayaan dua arah untuk menyinkronkan identitas dari Active Directory lokal

Keuntungan

  • Hubungkan sumber identitas Anda yang ada ke Pusat identitas IAM untuk merampingkan akses dan memberikan pengalaman yang konsisten kepada tenaga kerja Anda di seluruh layanan AWS.

  • Mengelola akses tenaga kerja ke aplikasi AWS secara efisien. Anda dapat mengelola dan mengaudit akses pengguna ke layanan AWS dengan lebih mudah dengan membuat informasi pengguna dan grup dari sumber identitas Anda tersedia melalui IAM Identity Center. 

  • Meningkatkan kontrol dan visibilitas akses pengguna ke data di layanan AWS. Anda dapat mengaktifkan transfer konteks identitas pengguna dari alat intelijen bisnis Anda ke layanan data AWS yang Anda gunakan sambil terus menggunakan sumber identitas pilihan Anda dan konfigurasi manajemen akses AWS lainnya.

  • Kelola akses tenaga kerja ke lingkungan AWS multi-akun. Anda dapat menggunakan Pusat Identitas IAM dengan sumber identitas yang ada atau membuat direktori baru, dan mengelola akses tenaga kerja ke sebagian atau seluruh lingkungan AWS Anda.

  • Berikan lapisan perlindungan tambahan jika terjadi gangguan layanan di Wilayah AWS tempat Anda mengaktifkan Pusat Identitas IAM dengan menyiapkan akses darurat ke AWS Management Console.

Pertimbangan layanan

  • IAM Identity Center saat ini tidak mendukung penggunaan batas waktu idle, di mana waktu sesi pengguna habis atau diperpanjang berdasarkan aktivitas. Itu mendukung durasi sesi untuk portal akses AWS dan aplikasi terintegrasi IAM Identity Center. Anda dapat mengonfigurasi durasi sesi antara 15 menit dan 90 hari. Anda dapat melihat dan menghapus sesi portal akses AWS aktif untuk pengguna IAM Identity Center. Namun, memodifikasi dan mengakhiri sesi portal akses AWS tidak berpengaruh pada durasi sesi AWS Management Console, yang ditentukan dalam set izin.

Pertimbangan desain

  • Anda dapat mengaktifkan instance Pusat Identitas IAM di satu Wilayah AWS sekaligus. Ketika Anda mengaktifkan IAM Identity Center, ia mengontrol akses ke set izin dan aplikasi terintegrasi dari Wilayah utama. Ini berarti bahwa jika terjadi gangguan layanan Pusat Identitas IAM di Wilayah ini, pengguna tidak akan dapat masuk untuk mengakses akun dan aplikasi. Untuk memberikan perlindungan ekstra, kami menyarankan Anda menyiapkan akses darurat ke AWS Management Console dengan menggunakan federasi berbasis SAMP 2.0.

    catatan

    Rekomendasi akses darurat ini berlaku jika Anda menggunakan iDP eksternal pihak ketiga sebagai sumber identitas Anda dan berfungsi ketika pesawat data layanan IAM dan IDP eksternal Anda tersedia.

  • Jika Anda menggunakan Active Directory atau membuat pengguna di IAM Identity Center, ikuti panduan break-glass AWS standar.

  • Jika Anda berencana menggunakan AD Connector untuk menghubungkan Active Directory lokal ke IAM Identity Center, pertimbangkan bahwa AD Connector memiliki hubungan one-on-one kepercayaan dengan domain Active Directory dan tidak mendukung trust transitif. Ini berarti Pusat Identitas IAM hanya dapat mengakses pengguna dan grup domain tunggal yang dilampirkan ke AD Connector yang Anda buat. Jika Anda perlu mendukung beberapa domain atau hutan, gunakan AWS Managed Microsoft AD.

  • Jika Anda menggunakan iDP eksternal, otentikasi multi-faktor (MFA) dikelola dari iDP eksternal dan bukan di IAM Identity Center. Pusat Identitas IAM mendukung kemampuan MFA hanya jika sumber identitas Anda dikonfigurasi dengan penyimpanan identitas IAM Identity Center, AWS Managed Microsoft AD, atau AD Connector. 

Membuat dan mengelola identitas di AWS

Kami menyarankan Anda menggunakan IAM Identity Center dengan IDP eksternal. Namun, jika Anda tidak memiliki IDP yang ada, Anda dapat membuat dan mengelola pengguna dan grup di direktori Pusat Identitas IAM, yang merupakan sumber identitas default untuk layanan. Opsi ini diilustrasikan dalam diagram berikut. Ini lebih disukai daripada membuat pengguna atau peran IAM di setiap akun AWS untuk pengguna tenaga kerja. Untuk informasi selengkapnya, lihat dokumentasi Pusat Identitas IAM

Membuat dan mengelola identitas di AWS
Pertimbangan layanan

  • Saat Anda membuat dan mengelola identitas di Pusat Identitas IAM, pengguna Anda harus mematuhi kebijakan kata sandi default, yang tidak dapat diubah. Jika Anda ingin menentukan dan menggunakan kebijakan kata sandi Anda sendiri untuk identitas Anda, ubah sumber identitas Anda menjadi Active Directory atau ke iDP eksternal.

  • Saat Anda membuat dan mengelola identitas di IAM Identity Center, pertimbangkan untuk merencanakan pemulihan bencana. IAM Identity Center adalah layanan regional yang dibangun untuk beroperasi di beberapa Availability Zone untuk menahan kegagalan Availability Zone. Namun, jika terjadi gangguan di Wilayah tempat Pusat identitas IAM diaktifkan, Anda tidak akan dapat menerapkan dan menggunakan pengaturan akses darurat yang direkomendasikan oleh AWS, karena direktori Pusat Identitas IAM yang berisi pengguna dan grup Anda juga akan terpengaruh oleh gangguan apa pun di Wilayah tersebut. Untuk menerapkan pemulihan bencana, Anda perlu mengubah sumber identitas Anda menjadi IDP SAMP 2.0 eksternal atau ke Active Directory.

Pertimbangan desain

  • IAM Identity Center mendukung penggunaan hanya satu sumber identitas pada satu waktu. Namun, Anda dapat mengubah sumber Identitas Anda saat ini ke salah satu dari dua opsi sumber identitas lainnya. Sebelum Anda membuat perubahan ini, evaluasi dampaknya dengan meninjau pertimbangan untuk mengubah sumber identitas Anda.

  • Saat Anda menggunakan direktori Pusat Identitas IAM sebagai sumber identitas Anda, MFA diaktifkan secara default untuk instance yang dibuat setelah 15 November 2023. Pengguna baru diminta untuk mendaftarkan perangkat MFA saat mereka masuk ke IAM Identity Center untuk pertama kalinya. Administrator dapat memperbarui pengaturan MFA untuk pengguna mereka berdasarkan persyaratan keamanan mereka.

Pertimbangan desain umum untuk IAM Identity Center

  • IAM Identity Center mendukung kontrol akses berbasis atribut (ABAC), yang merupakan strategi otorisasi yang memungkinkan Anda membuat izin berbutir halus dengan menggunakan atribut. Ada dua cara untuk meneruskan atribut untuk kontrol akses ke IAM Identity Center:

    • Jika Anda menggunakan iDP eksternal, Anda dapat meneruskan atribut langsung dalam pernyataan SAMP dengan menggunakan awalan. https://aws.amazon.com/SAML/Attributes/AccessControl

    • Jika Anda menggunakan IAM Identity Center sebagai sumber identitas, Anda dapat menambahkan dan menggunakan atribut yang ada di toko identitas IAM Identity Center.

    • Untuk menggunakan ABAC dalam semua kasus, Anda harus terlebih dahulu memilih atribut kontrol akses pada halaman Atribut untuk kontrol akses pada konsol Pusat Identitas IAM. Untuk meneruskannya dengan menggunakan pernyataan SAMP, Anda harus mengatur nama atribut di iDP ke. https://aws.amazon.com/SAML/Attributes/AccessControl:<AttributeName> 

    • Atribut yang didefinisikan pada Atribut konsol Pusat Identitas IAM untuk halaman kontrol akses lebih diutamakan daripada atribut yang diteruskan melalui pernyataan SAMP dari idP Anda. Jika Anda ingin menggunakan atribut yang diteruskan dari pernyataan SAMP saja, jangan tentukan atribut apa pun secara manual di Pusat Identitas IAM. Setelah Anda menentukan atribut baik di iDP atau di IAM Identity Center, Anda dapat membuat kebijakan izin khusus dalam set izin Anda dengan menggunakan aws: PrincipalTag global condition key. Ini memastikan bahwa hanya pengguna dengan atribut yang cocok dengan tag pada sumber daya Anda yang memiliki akses ke sumber daya tersebut di akun AWS Anda.

  • IAM Identity Center adalah layanan manajemen identitas tenaga kerja, sehingga memerlukan interaksi manusia untuk menyelesaikan proses otentikasi untuk akses terprogram. Jika Anda memerlukan kredensi jangka pendek untuk machine-to-machine autentikasi, jelajahi profil EC2 instans Amazon untuk beban kerja di AWS atau IAM Roles Anywhere untuk beban kerja di luar AWS.

  • Pusat Identitas IAM menyediakan akses ke sumber daya di akun AWS dalam organisasi Anda. Namun, jika Anda ingin memberikan akses masuk tunggal ke akun eksternal (yaitu, akun AWS di luar organisasi Anda) dengan menggunakan Pusat Identitas IAM tanpa mengundang akun tersebut ke organisasi Anda, Anda dapat mengonfigurasi akun eksternal sebagai aplikasi SAMP di Pusat Identitas IAM.

  • IAM Identity Center mendukung integrasi dengan solusi manajemen akses tinggi sementara (TEAM) (juga dikenal sebagai just-in-time akses). Integrasi ini menyediakan akses tinggi terikat waktu ke lingkungan AWS multi-akun Anda dalam skala besar. Akses sementara yang ditinggikan memungkinkan pengguna untuk meminta akses untuk melakukan tugas tertentu untuk jangka waktu tertentu. Penyetuju meninjau setiap permintaan dan memutuskan apakah akan menyetujui atau menolaknya. IAM Identity Center mendukung solusi TEAM yang dikelola vendor dari mitra keamanan AWS yang didukung atau solusi yang dikelola sendiri, yang Anda pertahankan dan sesuaikan untuk memenuhi persyaratan akses terikat waktu Anda.