AWS IAM Identity Center concetti per AWS CLI - AWS Command Line Interface
IAMChe cos'è Identity CenterTerminiCome funziona Identity Center IAMRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS IAM Identity Center concetti per AWS CLI

Questo argomento descrive i concetti chiave di AWS IAM Identity Center (IAMIdentity Center). IAMIdentity Center è un IAM servizio basato sul cloud che semplifica la gestione degli accessi degli utenti su più Account AWS applicazioni e strumenti integrandosi con gli identity provider (IdP) esistenti. SDKs Consente il single sign-on sicuro, la gestione delle autorizzazioni e il controllo attraverso un portale utenti centralizzato, semplificando la governance delle identità e degli accessi per le organizzazioni.

IAMChe cos'è Identity Center

IAMIdentity Center è un servizio di gestione delle identità e degli accessi (IAM) basato sul cloud che consente di gestire centralmente l'accesso a più applicazioni Account AWS aziendali.

Fornisce un portale utenti in cui gli utenti autorizzati possono accedere alle applicazioni per Account AWS le quali hanno ottenuto l'autorizzazione, utilizzando le credenziali aziendali esistenti. Ciò consente alle organizzazioni di applicare politiche di sicurezza coerenti e semplificare la gestione degli accessi degli utenti.

Indipendentemente dall'IdP utilizzato, IAM Identity Center elimina tali distinzioni. Ad esempio, puoi connettere Microsoft Azure AD come descritto nell'articolo del blog The Next Evolution in IAM Identity Center.

Nota

Per informazioni sull'utilizzo dell'autenticazione del portatore, che non utilizza l'ID e il ruolo dell'account, consulta Configurazione per l'utilizzo di AWS CLI with CodeCatalyst nella Amazon CodeCatalyst User Guide.

Termini

I termini più comuni per l'utilizzo di IAM Identity Center sono i seguenti:

Provider di identità

Un sistema di gestione delle IAM identità come Identity Center, Microsoft Azure AD, Okta o il tuo servizio di directory aziendale.

AWS IAM Identity Center

IAMIdentity Center è il servizio IdP di AWS proprietà. Conosciuti in precedenza come AWS Single Sign-On, gli strumenti mantengono i namespace per garantire SDKs la compatibilità con le versioni precedenti ssoAPI. Per ulteriori informazioni, vedere IAM Identity Center rename nella Guida per l'utente.AWS IAM Identity Center

Portale di accesso AWS

Il tuo IAM Identity Center esclusivo URL per accedere ai tuoi servizi e risorse autorizzati Account AWS.

Federazione

Il processo di creazione di un rapporto di fiducia tra IAM Identity Center e un provider di identità per abilitare il Single Sign-On ()SSO.

Account AWS

Il tramite Account AWS il quale fornisci l'accesso agli utenti. AWS IAM Identity Center

Set di autorizzazioni, AWS credenziali, credenziali sigv4

Raccolte predefinite di autorizzazioni che possono essere assegnate a utenti o gruppi a cui concedere l'accesso. Servizi AWS

Ambiti di registrazione, ambiti di accesso, ambiti

Gli ambiti sono un meccanismo della OAuth versione 2.0 per limitare l'accesso di un'applicazione all'account di un utente. Un'applicazione può richiedere uno o più ambiti e il token di accesso rilasciato all'applicazione è limitato agli ambiti concessi. Per informazioni sugli ambiti, vedere OAuth2.0 Access scopes nella Guida per l'utente di IAMIdentity Center.

Token, token di aggiornamento, token di accesso

I token sono credenziali di sicurezza temporanee che ti vengono rilasciate al momento dell'autenticazione. Questi token contengono informazioni sulla tua identità e sulle autorizzazioni che ti sono state concesse.

Quando accedi a una AWS risorsa o a un'applicazione tramite il portale IAM Identity Center, il token viene utilizzato AWS per l'autenticazione e l'autorizzazione. Ciò consente di AWS verificare la tua identità e assicurarti di disporre delle autorizzazioni necessarie per eseguire le azioni richieste.

Il token di autenticazione viene memorizzato nella cache su disco nella ~/.aws/sso/cache directory con un nome di JSON file basato sul nome della sessione.

Sessione

Una sessione di IAM Identity Center si riferisce al periodo di tempo in cui un utente è autenticato e autorizzato ad accedere AWS a risorse o applicazioni. Quando un utente accede al portale IAM Identity Center, viene stabilita una sessione e il token dell'utente è valido per una durata specificata. Per ulteriori informazioni sull'impostazione della durata delle sessioni, vedere Impostare la durata della sessione nella Guida per l'AWS IAM Identity Center utente.

Durante la sessione, puoi navigare tra diversi AWS account e applicazioni senza dover effettuare nuovamente l'autenticazione, purché la sessione rimanga attiva. Quando la sessione scade, accedi nuovamente per rinnovare l'accesso.

IAMLe sessioni di Identity Center aiutano a fornire un'esperienza utente senza interruzioni, rafforzando al contempo le migliori pratiche di sicurezza limitando la validità delle credenziali di accesso degli utenti.

Come funziona Identity Center IAM

IAMIdentity Center si integra con il provider di identità dell'organizzazione, come IAM Identity Center, Microsoft Azure AD o Okta. Gli utenti si autenticano con questo provider di identità e IAM Identity Center associa quindi tali identità alle autorizzazioni e agli accessi appropriati all'interno dell'ambiente. AWS

Il seguente flusso di lavoro di IAM Identity Center presuppone che l'utente abbia già configurato l'utilizzo AWS CLI di Identity Center: IAM

  1. Nel tuo terminale preferito, esegui il aws sso login comando.

  2. Accedi al tuo Portale di accesso AWS per iniziare una nuova sessione.

    • Quando inizi una nuova sessione, ricevi un token di aggiornamento e un token di accesso che vengono memorizzati nella cache.

    • Se hai già una sessione attiva, la sessione esistente viene riutilizzata e scade quando scade la sessione esistente.

  3. In base al profilo che hai impostato nel config file, IAM Identity Center presuppone i set di autorizzazioni appropriati, garantendo l'accesso ai pertinenti e alle applicazioni. Account AWS

  4. Gli AWS CLI SDKs, and Tools utilizzano il IAM ruolo che assumi per effettuare chiamate, ad Servizi AWS esempio la creazione di bucket Amazon S3, fino alla scadenza della sessione.

  5. Il token di accesso di IAM Identity Center viene controllato ogni ora e viene aggiornato automaticamente utilizzando il token di aggiornamento.

    • Se il token di accesso è scaduto, lo strumento SDK or utilizza il token di aggiornamento per ottenere un nuovo token di accesso. Le durate delle sessioni di questi token vengono quindi confrontate e, se il token di aggiornamento non è scaduto, IAM Identity Center fornisce un nuovo token di accesso.

    • Se il token di aggiornamento è scaduto, non vengono forniti nuovi token di accesso e la sessione è terminata.

  6. Le sessioni terminano dopo la scadenza dei token di aggiornamento o quando ci si disconnette manualmente utilizzando il comando. aws sso logout Le credenziali memorizzate nella cache vengono rimosse. Per continuare ad accedere ai servizi utilizzando IAM Identity Center, è necessario avviare una nuova sessione utilizzando il aws sso login comando.

Risorse aggiuntive

Le risorse aggiuntive sono le seguenti.