Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Account AWS accesso
AWS IAM Identity Center è integrato con AWS Organizations, il che consente di gestire centralmente le autorizzazioni su più account Account AWS senza configurare manualmente ciascuno dei propri account. È possibile definire le autorizzazioni e assegnarle agli utenti della forza lavoro per controllarne l'accesso a risorse specifiche Account AWS utilizzando un'istanza organizzativa di Identity Center. IAM Le istanze di account di IAM Identity Center non supportano l'accesso all'account.
Account AWS tipi
Esistono due tipi di Account AWS ingresso AWS Organizations:
-
Account di gestione: viene utilizzato per creare l'organizzazione. Account AWS
-
Account dei membri: Account AWS il resto appartiene a un'organizzazione.
Per ulteriori informazioni sui Account AWS tipi, vedere AWS Organizations Terminologia e concetti nella Guida per l'AWS Organizations utente.
Puoi anche scegliere di registrare un account membro come amministratore delegato per IAM Identity Center. Gli utenti di questo account possono eseguire la maggior parte delle attività amministrative di IAM Identity Center. Per ulteriori informazioni, consulta Amministrazione delegata.
Per ogni attività e tipo di account, la tabella seguente indica se l'attività amministrativa di IAM Identity Center può essere eseguita dagli utenti dell'account.
| IAMAttività amministrative di Identity Center | Account membro | Account amministratore delegato | Gestione dell'account |
|---|---|---|---|
| Leggi utenti o gruppi (lettura del gruppo stesso e dei membri del gruppo) | |||
| Aggiungere, modificare o eliminare utenti o gruppi | |||
| Abilita o disabilita l'accesso degli utenti | |||
| Abilita, disabilita o gestisci gli attributi in entrata | |||
| Modifica o gestisci le fonti di identità | |||
| Crea, modifica o elimina applicazioni gestite dai clienti | |||
| Creare, modificare o eliminare applicazioni AWS gestite | |||
| Configurare MFA | |||
| Gestisci i set di autorizzazioni non forniti nell'account di gestione | |||
| Gestisci i set di autorizzazioni forniti nell'account di gestione | |||
| Abilita IAM Identity Center | |||
| Elimina la configurazione di IAM Identity Center | |||
| Abilita o disabilita l'accesso degli utenti nell'account di gestione | |||
| Registrare o annullare la registrazione di un account membro come amministratore delegato |
Account AWS Assegnazione dell'accesso
È possibile utilizzare i set di autorizzazioni per semplificare il modo in cui si assegna l'accesso a Account AWS utenti e gruppi dell'organizzazione. I set di autorizzazioni sono archiviati in IAM Identity Center e definiscono il livello di accesso di utenti e gruppi a un Account AWS. È possibile creare un singolo set di autorizzazioni e assegnarlo a più set di autorizzazioni Account AWS all'interno dell'organizzazione. È inoltre possibile assegnare più set di autorizzazioni allo stesso utente.
Per ulteriori informazioni sui set di autorizzazioni, consulta Creare, gestire ed eliminare i set di autorizzazioni.
Nota
Puoi anche assegnare ai tuoi utenti l'accesso Single Sign-On alle applicazioni. Per informazioni, consultare Accesso alle applicazioni.
Esperienza dell'utente finale
Il portale di AWS accesso fornisce agli utenti di IAM Identity Center l'accesso Single Sign-On a tutti i loro assegnati Account AWS e alle applicazioni tramite un portale web. Il portale di AWS accesso è diverso dal AWS Management Console, che è una raccolta di console di servizio per la gestione delle risorse. AWS
Quando si crea un set di autorizzazioni, il nome specificato per il set di autorizzazioni viene visualizzato nel portale di AWS accesso come ruolo disponibile. Gli utenti AWS accedono al portale di accesso, ne scelgono uno Account AWS e quindi scelgono il ruolo. Dopo aver scelto il ruolo, possono accedere ai AWS servizi utilizzando AWS Management Console o recuperare le credenziali temporanee per accedere ai AWS servizi in modo programmatico.
Per aprire AWS Management Console o recuperare le credenziali temporanee per l'accesso AWS programmatico, gli utenti completano i seguenti passaggi:
-
Gli utenti aprono una finestra del browser e utilizzano l'accesso URL fornito dall'utente per accedere al portale di accesso. AWS
-
Utilizzando le proprie credenziali di directory, accedono al portale di AWS accesso.
-
Dopo l'autenticazione, nella pagina del portale di AWS accesso, scelgono la scheda Account per visualizzare l'elenco Account AWS a cui hanno accesso.
-
Gli utenti scelgono quindi Account AWS quello che desiderano utilizzare.
-
Sotto il nome di Account AWS, tutti i set di autorizzazioni a cui sono assegnati gli utenti vengono visualizzati come ruoli disponibili. Ad esempio, se hai assegnato un utente
john_stilesal set diPowerUserautorizzazioni, il ruolo viene visualizzato nel portale di AWS accesso comePowerUser/john_stiles. Gli utenti a cui sono assegnati più set di autorizzazioni scelgono il ruolo da utilizzare. Gli utenti possono scegliere il proprio ruolo per accedere a AWS Management Console. -
Oltre al ruolo, gli utenti del portale di AWS accesso possono recuperare credenziali temporanee per l'accesso da riga di comando o programmatico scegliendo le chiavi di accesso.
Per step-by-step indicazioni da fornire agli utenti della forza lavoro, consulta e. Utilizzo di AWS portale di accesso Ottenere le credenziali utente di IAM Identity Center per AWS CLI oppure AWS SDKs
Far rispettare e limitare l'accesso
Quando si abilita IAM Identity Center, IAM Identity Center crea un ruolo collegato al servizio. È inoltre possibile utilizzare le politiche di controllo del servizio ()SCPs.
Delegare e far rispettare l'accesso
Un ruolo collegato al servizio è un tipo di IAM ruolo collegato direttamente a un servizio. AWS Dopo aver abilitato IAM Identity Center, IAM Identity Center può creare un ruolo collegato al servizio in ciascuno Account AWS dei membri dell'organizzazione. Questo ruolo fornisce autorizzazioni predefinite che consentono a IAM Identity Center di delegare e stabilire quali utenti dispongono dell'accesso Single Sign-On a determinati membri dell'organizzazione. Account AWS AWS OrganizationsÈ necessario assegnare a uno o più utenti l'accesso a un account per utilizzare questo ruolo. Per ulteriori informazioni, consulta Comprensione dei ruoli collegati ai servizi in Identity Center IAM e Utilizzo di ruoli collegati ai servizi per Identity Center IAM.
Limitazione dell'accesso all'archivio di identità dagli account dei membri
Per il servizio di archiviazione delle identità utilizzato da IAM Identity Center, gli utenti che hanno accesso a un account membro possono utilizzare API azioni che richiedono autorizzazioni di lettura. Gli account dei membri hanno accesso alle azioni di lettura sugli spazi dei nomi sso-directory e identitystore. Per ulteriori informazioni, vedere Azioni, risorse e chiavi di condizione per la AWS IAM Identity Center directory e Azioni, risorse e chiavi di condizione per AWS Identity Store nel Service Authorization Reference.
Per impedire agli utenti degli account dei membri di utilizzare API le operazioni nell'archivio di identità, puoi allegare una politica di controllo del servizio (SCP). An SCP è un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. L'esempio seguente SCP impedisce agli utenti degli account dei membri di accedere a qualsiasi API operazione nell'archivio di identità.
{ "Sid": "ExplicitlyBlockIdentityStoreAccess", "Effect": "Deny", "Action": "identitystore:*", "sso-directory:*"], "Resource": "*" }
Nota
La limitazione dell'accesso agli account dei membri potrebbe compromettere la funzionalità delle applicazioni abilitate per IAM Identity Center.
Per ulteriori informazioni, vedere Service control policies (SCPs) nella Guida per l'AWS Organizations utente.
