Account AWS accesso - AWS IAM Identity Center
Account AWS tipiAccount AWS Assegnazione dell'accesso Esperienza dell'utente finaleFar rispettare e limitare l'accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Account AWS accesso

AWS IAM Identity Center è integrato con AWS Organizations, il che ti consente di gestire centralmente le autorizzazioni su più account Account AWS senza configurare manualmente ciascuno dei tuoi account. Puoi definire le autorizzazioni e assegnarle agli utenti della forza lavoro per controllarne l'accesso a risorse specifiche Account AWS utilizzando un'istanza organizzativa di IAM Identity Center. Le istanze di account di IAM Identity Center non supportano l'accesso all'account.

Account AWS tipi

Esistono due tipi di Account AWS ingresso AWS Organizations:

  • Account di gestione: viene utilizzato per creare l'organizzazione. Account AWS

  • Account dei membri: Account AWS il resto appartiene a un'organizzazione.

Per ulteriori informazioni sui Account AWS tipi, vedere AWS Organizations Terminologia e concetti nella Guida per l'AWS Organizations utente.

Puoi anche scegliere di registrare un account membro come amministratore delegato per IAM Identity Center. Gli utenti di questo account possono eseguire la maggior parte delle attività amministrative di IAM Identity Center. Per ulteriori informazioni, consulta Amministrazione delegata.

Per ogni attività e tipo di account, la tabella seguente indica se l'attività amministrativa di IAM Identity Center può essere eseguita dagli utenti dell'account.

Attività amministrative di IAM Identity Center Account membro Account amministratore delegato Gestione dell'account
Leggi utenti o gruppi (lettura del gruppo stesso e dei membri del gruppo)
Aggiungere, modificare o eliminare utenti o gruppi No
Abilita o disabilita l'accesso degli utenti No
Abilita, disabilita o gestisci gli attributi in entrata No
Modifica o gestisci le fonti di identità No
Crea, modifica o elimina applicazioni gestite dai clienti No
Creare, modificare o eliminare applicazioni AWS gestite
Configurazione MFA No
Gestisci i set di autorizzazioni non forniti nell'account di gestione No
Gestisci i set di autorizzazioni forniti nell'account di gestione No No
Abilita IAM Identity Center No No
Elimina la configurazione di IAM Identity Center No No
Abilita o disabilita l'accesso degli utenti nell'account di gestione No No
Registrare o annullare la registrazione di un account membro come amministratore delegato No No

Account AWS Assegnazione dell'accesso

È possibile utilizzare i set di autorizzazioni per semplificare il modo in cui si assegna l'accesso a Account AWS utenti e gruppi dell'organizzazione. I set di autorizzazioni sono archiviati in IAM Identity Center e definiscono il livello di accesso che utenti e gruppi hanno a un Account AWS. Puoi creare un singolo set di autorizzazioni e assegnarlo a più set Account AWS all'interno della tua organizzazione. È inoltre possibile assegnare più set di autorizzazioni allo stesso utente.

Per ulteriori informazioni sui set di autorizzazioni, consulta Crea, gestisci ed elimina i set di autorizzazioni.

Nota

Puoi anche assegnare ai tuoi utenti l'accesso Single Sign-On alle applicazioni. Per informazioni, consultare Accesso alle applicazioni.

Esperienza dell'utente finale

Il portale di AWS accesso fornisce agli utenti di IAM Identity Center l'accesso Single Sign-On a tutti i loro assegnati Account AWS e alle applicazioni tramite un portale web. Il portale di AWS accesso è diverso dal AWS Management Console, che è una raccolta di console di servizio per la gestione delle risorse. AWS

Quando si crea un set di autorizzazioni, il nome specificato per il set di autorizzazioni viene visualizzato nel portale di AWS accesso come ruolo disponibile. Gli utenti AWS accedono al portale di accesso, ne scelgono uno Account AWS e quindi scelgono il ruolo. Dopo aver scelto il ruolo, possono accedere ai AWS servizi utilizzando AWS Management Console o recuperare le credenziali temporanee per accedere ai AWS servizi in modo programmatico.

Per aprire AWS Management Console o recuperare le credenziali temporanee per l'accesso AWS programmatico, gli utenti completano i seguenti passaggi:

  1. Gli utenti aprono una finestra del browser e utilizzano l'URL di accesso fornito dall'utente per accedere al portale di accesso. AWS

  2. Utilizzando le proprie credenziali di directory, accedono al portale di AWS accesso.

  3. Dopo l'autenticazione, nella pagina del portale di AWS accesso, scelgono la scheda Account per visualizzare l'elenco Account AWS a cui hanno accesso.

  4. Gli utenti scelgono quindi Account AWS quello che desiderano utilizzare.

  5. Sotto il nome di Account AWS, tutti i set di autorizzazioni a cui sono assegnati gli utenti vengono visualizzati come ruoli disponibili. Ad esempio, se hai assegnato un utente john_stiles al set di PowerUser autorizzazioni, il ruolo viene visualizzato nel portale di AWS accesso comePowerUser/john_stiles. Gli utenti a cui sono assegnati più set di autorizzazioni scelgono il ruolo da utilizzare. Gli utenti possono scegliere il proprio ruolo per accedere a AWS Management Console.

  6. Oltre al ruolo, gli utenti del portale di AWS accesso possono recuperare credenziali temporanee per l'accesso da riga di comando o programmatico scegliendo le chiavi di accesso.

Per step-by-step indicazioni da fornire agli utenti della forza lavoro, consulta e. Utilizzo del portale di AWS accesso Ottenere le credenziali utente di IAM Identity Center per o AWS CLIAWS SDKs

Far rispettare e limitare l'accesso

Quando abiliti IAM Identity Center, IAM Identity Center crea un ruolo collegato al servizio. Puoi anche utilizzare le policy di controllo del servizio ()SCPs.

Delegare e far rispettare l'accesso

Un ruolo collegato al servizio è un tipo di ruolo IAM collegato direttamente a un servizio. AWS Dopo aver abilitato IAM Identity Center, IAM Identity Center può creare un ruolo collegato ai servizi in ciascuno Account AWS dei membri dell'organizzazione. Questo ruolo fornisce autorizzazioni predefinite che consentono a IAM Identity Center di delegare e stabilire quali utenti hanno accesso Single Sign-On a determinati membri dell'organizzazione. Account AWS AWS OrganizationsÈ necessario assegnare a uno o più utenti l'accesso a un account per utilizzare questo ruolo. Per ulteriori informazioni, consulta Comprensione dei ruoli collegati ai servizi in IAM Identity Center e Utilizzo di ruoli collegati ai servizi per IAM Identity Center.

Limitazione dell'accesso all'archivio di identità dagli account dei membri

Per il servizio di archiviazione delle identità utilizzato da IAM Identity Center, gli utenti che hanno accesso a un account membro possono utilizzare azioni API che richiedono autorizzazioni di lettura. Gli account dei membri hanno accesso alle azioni di lettura sugli spazi dei nomi sso-directory e identitystore. Per ulteriori informazioni, vedere Azioni, risorse e chiavi di condizione per la AWS IAM Identity Center directory e Azioni, risorse e chiavi di condizione per AWS Identity Store nel Service Authorization Reference.

Per impedire agli utenti degli account dei membri di utilizzare le operazioni API nell'archivio di identità, puoi allegare una policy di controllo del servizio (SCP). Un SCP è un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. L'esempio seguente SCP impedisce agli utenti degli account dei membri di accedere a qualsiasi operazione API nell'archivio di identità.

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": ["identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
Nota

La limitazione dell'accesso agli account dei membri potrebbe compromettere la funzionalità delle applicazioni abilitate per IAM Identity Center.

Per ulteriori informazioni, consulta Service control policies (SCPs) nella Guida per l'AWS Organizations utente.