Akun AWS akses - AWS IAM Identity Center
Akun AWS jenis Menetapkan akses Akun AWSPengalaman pengguna akhirMenegakkan dan membatasi akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Akun AWS akses

AWS IAM Identity Center terintegrasi dengan AWS Organizations, yang memungkinkan Anda mengelola izin secara terpusat di beberapa Akun AWS tanpa mengonfigurasi setiap akun Anda secara manual. Anda dapat menentukan izin dan menetapkan izin ini kepada pengguna tenaga kerja untuk mengontrol akses mereka ke spesifik Akun AWS menggunakan instance organisasi Pusat Identitas. IAM Instans akun Pusat IAM Identitas tidak mendukung akses akun.

Akun AWS jenis

Ada dua jenis Akun AWS di AWS Organizations:

  • Akun manajemen - Akun AWS Yang digunakan untuk membuat organisasi.

  • Akun anggota - Akun AWS Sisanya milik organisasi.

Untuk informasi selengkapnya tentang Akun AWS jenis, lihat AWS Organizations Terminologi dan Konsep di Panduan AWS Organizations Pengguna.

Anda juga dapat memilih untuk mendaftarkan akun anggota sebagai administrator yang didelegasikan untuk Pusat IAM Identitas. Pengguna di akun ini dapat melakukan sebagian besar tugas administratif Pusat IAM Identitas. Untuk informasi selengkapnya, lihat Administrator yang didelegasikan.

Untuk setiap tugas dan jenis akun, tabel berikut menunjukkan apakah tugas administratif Pusat IAM Identitas dapat dilakukan oleh pengguna di akun.

IAMTugas administrasi Pusat Identitas Akun anggota Akun administrator yang didelegasikan Akun manajemen
Membaca pengguna atau grup (membaca grup itu sendiri dan keanggotaan grup) Ya Ya Ya
Menambahkan, mengedit, atau menghapus pengguna atau grup Tidak Ya Ya
Mengaktifkan atau menonaktifkan akses pengguna Tidak Ya Ya
Mengaktifkan, menonaktifkan, atau mengelola atribut masuk Tidak Ya Ya
Mengubah atau mengelola sumber identitas Tidak Ya Ya
Membuat, mengedit, atau menghapus aplikasi yang dikelola pelanggan Tidak Ya Ya
Membuat, mengedit, atau menghapus aplikasi AWS terkelola Ya Ya Ya
Konfigurasi MFA Tidak Ya Ya
Mengelola set izin yang tidak disediakan di akun manajemen Tidak Ya Ya
Mengelola set izin yang disediakan di akun manajemen Tidak Tidak Ya
Aktifkan Pusat IAM Identitas Tidak Tidak Ya
Hapus konfigurasi Pusat IAM Identitas Tidak Tidak Ya
Mengaktifkan atau menonaktifkan akses pengguna di akun manajemen Tidak Tidak Ya
Mendaftarkan atau membatalkan pendaftaran akun anggota sebagai administrator yang didelegasikan Tidak Tidak Ya

Menetapkan akses Akun AWS

Anda dapat menggunakan set izin untuk menyederhanakan cara Anda menetapkan pengguna dan grup dalam akses organisasi Anda. Akun AWS Set izin disimpan di Pusat IAM Identitas dan menentukan tingkat akses yang dimiliki pengguna dan grup ke Akun AWS. Anda dapat membuat satu set izin dan menetapkannya ke beberapa Akun AWS dalam organisasi Anda. Anda juga dapat menetapkan beberapa set izin ke pengguna yang sama.

Untuk informasi selengkapnya tentang set izin, lihatMembuat, mengelola, dan menghapus set izin.

catatan

Anda juga dapat menetapkan pengguna Anda akses masuk tunggal ke aplikasi. Untuk informasi, lihat Akses aplikasi.

Pengalaman pengguna akhir

Portal AWS akses menyediakan pengguna Pusat IAM Identitas dengan akses masuk tunggal ke semua yang ditugaskan Akun AWS dan aplikasi mereka melalui portal web. Portal AWS akses berbeda dari AWS Management Console, yang merupakan kumpulan konsol layanan untuk mengelola AWS sumber daya.

Saat Anda membuat set izin, nama yang Anda tentukan untuk set izin akan muncul di portal AWS akses sebagai peran yang tersedia. Pengguna masuk ke portal AWS akses, pilih Akun AWS, lalu pilih peran. Setelah mereka memilih peran, mereka dapat mengakses AWS layanan dengan menggunakan AWS Management Console atau mengambil kredensi sementara untuk mengakses AWS layanan secara terprogram.

Untuk membuka AWS Management Console atau mengambil kredensi sementara untuk mengakses AWS secara terprogram, pengguna menyelesaikan langkah-langkah berikut:

  1. Pengguna membuka jendela browser dan menggunakan login URL yang Anda berikan untuk menavigasi ke portal AWS akses.

  2. Dengan menggunakan kredensi direktori mereka, mereka masuk ke portal AWS akses.

  3. Setelah otentikasi, pada halaman portal AWS akses, mereka memilih tab Akun untuk menampilkan daftar yang Akun AWS dapat mereka akses.

  4. Pengguna kemudian memilih Akun AWS yang ingin mereka gunakan.

  5. Di bawah nama Akun AWS, setiap set izin yang ditetapkan pengguna muncul sebagai peran yang tersedia. Misalnya, jika Anda menetapkan pengguna john_stiles ke set PowerUser izin, peran akan ditampilkan di portal AWS akses sebagaiPowerUser/john_stiles. Pengguna yang diberi beberapa set izin memilih peran mana yang akan digunakan. Pengguna dapat memilih peran mereka untuk mengakses AWS Management Console.

  6. Selain peran, pengguna portal AWS akses dapat mengambil kredensi sementara untuk baris perintah atau akses terprogram dengan memilih kunci Access.

Untuk step-by-step panduan yang dapat Anda berikan kepada pengguna tenaga kerja Anda, lihat Menggunakan AWS portal akses danMendapatkan kredensi pengguna Pusat IAM Identitas untuk AWS CLI atau AWS SDKs.

Menegakkan dan membatasi akses

Saat Anda mengaktifkan Pusat IAM Identitas, Pusat IAM Identitas membuat peran terkait layanan. Anda juga dapat menggunakan kebijakan kontrol layanan (SCPs).

Mendelegasikan dan menegakkan akses

Peran terkait layanan adalah jenis IAM peran yang ditautkan langsung ke layanan. AWS Setelah Anda mengaktifkan Pusat IAM IAM Identitas, Pusat Identitas dapat membuat peran terkait layanan di masing-masing Akun AWS di organisasi Anda. Peran ini memberikan izin yang telah ditentukan sebelumnya yang memungkinkan Pusat IAM Identitas untuk mendelegasikan dan menegakkan pengguna mana yang memiliki akses masuk tunggal ke spesifik di organisasi Anda. Akun AWS AWS Organizations Anda perlu menetapkan satu atau beberapa pengguna dengan akses ke akun, untuk menggunakan peran ini. Untuk informasi selengkapnya, silakan lihat Memahami peran terkait layanan di Pusat Identitas IAM dan Menggunakan peran terkait layanan untuk IAM Pusat Identitas.

Membatasi akses ke toko identitas dari akun anggota

Untuk layanan penyimpanan identitas yang digunakan oleh Pusat IAM Identitas, pengguna yang memiliki akses ke akun anggota dapat menggunakan API tindakan yang memerlukan izin Baca. Akun anggota memiliki akses ke tindakan Baca di ruang nama direktori sso-dan identitystore. Untuk informasi selengkapnya, lihat Kunci tindakan, sumber daya, dan kondisi untuk AWS IAM Identity Center direktori dan Tindakan, sumber daya, dan kunci kondisi untuk AWS Identity Store di Referensi Otorisasi Layanan.

Untuk mencegah pengguna di akun anggota menggunakan API operasi di toko identitas, Anda dapat melampirkan kebijakan kontrol layanan (SCP). An SCP adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin di organisasi Anda. Contoh berikut SCP mencegah pengguna di akun anggota mengakses API operasi apa pun di toko identitas.

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": "identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
catatan

Membatasi akses akun anggota dapat mengganggu fungsionalitas dalam aplikasi yang diaktifkan Pusat IAM Identitas.

Untuk informasi selengkapnya, lihat Kebijakan kontrol layanan (SCPs) di Panduan AWS Organizations Pengguna.