Controllo dell'accesso alle applicazioni Condivisione delle informazioni sull'identità Limitazione dell'uso di applicazioni gestite AWS

AWS applicazioni gestite

AWS IAM Identity Center semplifica e semplifica il compito di connettere gli utenti della forza lavoro ad applicazioni AWS gestite come Amazon Q Developer e Amazon. QuickSight Con IAM Identity Center, puoi connettere il tuo provider di identità esistente una sola volta e sincronizzare utenti e gruppi dalla tua directory, oppure creare e gestire i tuoi utenti direttamente in Identity Center. IAM Fornendo un punto di federazione, IAM Identity Center elimina la necessità di configurare la federazione o la sincronizzazione di utenti e gruppi per ogni applicazione e riduce il lavoro amministrativo. È inoltre possibile ottenere una visione comune delle assegnazioni di utenti e gruppi.

Per una tabella delle AWS applicazioni compatibili con IAM Identity Center, vedereAWS applicazioni gestite che è possibile utilizzare con IAM Identity Center.

Controllo dell'accesso alle applicazioni AWS gestite

L'accesso alle applicazioni AWS gestite è controllato in due modi:

Accesso iniziale all'applicazione

IAMIdentity Center gestisce questa operazione tramite assegnazioni all'applicazione. Per impostazione predefinita, le assegnazioni sono obbligatorie per le applicazioni AWS gestite. Se sei un amministratore dell'applicazione, puoi scegliere se richiedere assegnazioni a un'applicazione.

Se le assegnazioni sono obbligatorie, quando gli utenti accedono a Portale di accesso AWS, solo gli utenti assegnati all'applicazione direttamente o tramite un'assegnazione di gruppo possono visualizzare il riquadro dell'applicazione.

Se le assegnazioni non sono obbligatorie, è possibile consentire a tutti gli utenti di IAM Identity Center di accedere all'applicazione. In questo caso, l'applicazione gestisce l'accesso alle risorse e il riquadro dell'applicazione è visibile a tutti gli utenti che visitano il Portale di accesso AWS.

Importante
Se sei un amministratore di IAM Identity Center, puoi utilizzare la console IAM Identity Center per rimuovere le assegnazioni alle applicazioni AWS gestite. Prima di rimuovere le assegnazioni, ti consigliamo di coordinarti con l'amministratore dell'applicazione. È inoltre necessario coordinarsi con l'amministratore dell'applicazione se si intende modificare l'impostazione che determina se sono necessarie le assegnazioni o automatizzare le assegnazioni delle applicazioni.
Accesso alle risorse dell'applicazione

L'applicazione gestisce tutto ciò tramite assegnazioni di risorse indipendenti che controlla.

AWS le applicazioni gestite forniscono un'interfaccia utente amministrativa che è possibile utilizzare per gestire l'accesso alle risorse dell'applicazione. Ad esempio, QuickSight gli amministratori possono assegnare agli utenti l'accesso ai dashboard in base all'appartenenza al gruppo. La maggior parte delle applicazioni AWS gestite offre inoltre un' AWS Management Console esperienza che consente di assegnare utenti all'applicazione. L'esperienza da console per queste applicazioni potrebbe integrare entrambe le funzioni, per combinare le funzionalità di assegnazione degli utenti con la capacità di gestire l'accesso alle risorse delle applicazioni.

Condivisione delle informazioni sull'identità

Considerazioni sulla condivisione delle informazioni sull'identità in Account AWS

IAMIdentity Center supporta gli attributi più comunemente utilizzati in tutte le applicazioni. Questi attributi includono nome e cognome, numero di telefono, indirizzo e-mail, indirizzo e lingua preferita. Valuta attentamente quali applicazioni e quali account possono utilizzare queste informazioni di identificazione personale.

È possibile controllare l'accesso a queste informazioni in uno dei seguenti modi:

Puoi scegliere di abilitare l'accesso solo nell'account di AWS Organizations gestione o in tutti gli account in AWS Organizations.
In alternativa, è possibile utilizzare le policy di controllo del servizio (SCPs) per controllare quali applicazioni possono accedere alle informazioni in quali account AWS Organizations.

Ad esempio, se abiliti l'accesso solo nell'account di AWS Organizations gestione, le applicazioni negli account dei membri non avranno accesso alle informazioni. Tuttavia, se si abilita l'accesso in tutti gli account, è possibile utilizzare questa opzione SCPs per impedire l'accesso a tutte le applicazioni ad eccezione di quelle che si desidera autorizzare.

Le politiche di controllo dei servizi sono una funzionalità di. AWS OrganizationsPer istruzioni su come allegare unSCP, vedere Allegare e scollegare le politiche di controllo del servizio nella Guida per l'AWS Organizations utente.

Configurazione di IAM Identity Center per condividere le informazioni sull'identità

IAMIdentity Center fornisce un archivio di identità che contiene gli attributi di utenti e gruppi, escluse le credenziali di accesso. È possibile utilizzare uno dei seguenti metodi per mantenere aggiornati gli utenti e i gruppi nell'archivio di IAM identità di Identity Center:

Utilizza l'archivio di IAM identità di Identity Center come fonte di identità principale. Se scegli questo metodo, gestisci gli utenti, le relative credenziali di accesso e i gruppi dall'interno della console di IAM Identity Center o AWS Command Line Interface ()AWS CLI. Per ulteriori informazioni, consulta Gestisci le identità in IAM Identity Center.
Imposta il provisioning (sincronizzazione) di utenti e gruppi provenienti da una delle seguenti fonti di identità nell'archivio di identità di IAM Identity Center:
- Active Directory: per ulteriori informazioni, vedere. Connect a Microsoft AD directory
- Provider di identità esterno: per ulteriori informazioni, vedereGestire un provider di identità esterno.
Se scegli questo metodo di provisioning, continui a gestire gli utenti e i gruppi dall'interno della tua fonte di identità e tali modifiche vengono sincronizzate con l'archivio di IAM identità di Identity Center.

Qualunque sia la fonte di identità scelta, IAM Identity Center può condividere le informazioni su utenti e gruppi con AWS applicazioni gestite. In questo modo, è possibile connettere una fonte di IAM identità a Identity Center una sola volta e quindi condividere le informazioni sull'identità con più applicazioni in. Cloud AWS Ciò elimina la necessità di configurare in modo indipendente la federazione e il provisioning delle identità con ciascuna applicazione. Questa funzionalità di condivisione semplifica inoltre l'accesso degli utenti a molte applicazioni diverse Account AWS.

Limitazione dell'uso di applicazioni gestite AWS

Quando si attiva IAM Identity Center per la prima volta, AWS consente l'uso automatico delle applicazioni AWS gestite in tutti gli account di. AWS Organizations Per limitare le applicazioni, è necessario implementare le politiche di controllo del servizio (SCPs). SCPssono una funzionalità AWS Organizations che è possibile utilizzare per controllare centralmente le autorizzazioni massime che le identità (utenti e ruoli) dell'organizzazione possono avere. È possibile utilizzare SCPs per bloccare l'accesso alle informazioni sugli utenti e sui gruppi dell'IAMIdentity Center e per impedire l'avvio dell'applicazione, tranne che negli account designati. Per ulteriori informazioni, vedere Service control policies (SCPs) nella Guida per l'AWS Organizations utente.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Accesso alle applicazioni

Applicazioni che è possibile utilizzare con IAM Identity Center