Controle de acesso a aplicações Compartilhamento de informações de identidade Restringindo o uso de aplicativos AWS gerenciados

AWS aplicativos gerenciados

AWS IAM Identity Center agiliza e simplifica a tarefa de conectar os usuários da sua força de trabalho a aplicativos AWS gerenciados, como Amazon Q Developer e Amazon. QuickSight Com o IAM Identity Center, você pode conectar seu provedor de identidades existente uma vez e sincronizar usuários e grupos do seu diretório, ou criar e gerenciar os usuários diretamente no IAM Identity Center. Fornecendo um único ponto de federação, o IAM Identity Center elimina a necessidade de configurar a federação ou a sincronização de usuários e grupos para cada aplicação, e reduz seu esforço administrativo. Você também tem uma visão comum das tarefas dos usuários e grupos.

Para obter uma tabela de AWS aplicativos que funcionam com o IAM Identity Center, consulteAWS aplicativos gerenciados que você pode usar com o IAM Identity Center.

Controle do acesso a aplicativos AWS gerenciados

O acesso aos aplicativos AWS gerenciados é controlado de duas maneiras:

Entrada inicial na aplicação

O IAM Identity Center gerencia isso por meio de atribuições à aplicação. Por padrão, as atribuições são necessárias para aplicativos AWS gerenciados. Se você for administrador da aplicação, poderá escolher se deseja exigir atribuições a uma aplicação.

Se forem necessárias atribuições, quando os usuários fizerem login no portal de acesso Portal de acesso da AWS, apenas os usuários atribuídos à aplicação diretamente ou por meio de uma atribuição de grupo poderão visualizar o bloco da aplicação.

Se atribuições não forem necessárias, você poderá permitir que todos os usuários do IAM Identity Center façam login na aplicação. Nesse caso, a aplicação gerencia o acesso aos recursos, e o bloco da aplicação fica visível para todos os usuários que visitam o portal de acesso Portal de acesso da AWS.

Importante
Se você for administrador do IAM Identity Center, poderá usar o console do IAM Identity Center para remover atribuições aos aplicativos AWS gerenciados. Antes de remover as atribuições, recomendamos que você coordene com o administrador da aplicação. Você também deverá coordenar com o administrador da aplicação se planejar modificar a configuração que determina se as atribuições são exigidas ou automatizar as atribuições da aplicação.
Acesso aos recursos da aplicação

A aplicação gerencia isso por meio de atribuições de atribuições de recursos independentes que ela controla.

AWS os aplicativos gerenciados fornecem uma interface de usuário administrativa que você pode usar para gerenciar o acesso aos recursos do aplicativo. Por exemplo, QuickSight os administradores podem designar usuários para acessar painéis com base na associação ao grupo. A maioria dos aplicativos AWS gerenciados também fornece uma AWS Management Console experiência que permite atribuir usuários ao aplicativo. A experiência do console para essas aplicações pode integrar ambas as funções, para combinar os recursos de atribuição de usuários com a capacidade de gerenciar o acesso aos recursos das aplicações.

Compartilhamento de informações de identidade

Considerações sobre o compartilhamento de informações de identidade no Contas da AWS

O IAM Identity Center é compatível com os atributos mais usados em todos as aplicações. Esses atributos incluem nome e sobrenome, número de telefone, endereço de e-mail, endereço e idioma preferido. Considere cuidadosamente quais aplicações e quais contas podem usar essas informações de identificação pessoal.

Você pode controlar o acesso a essas informações de uma dessas duas maneiras:

Você pode optar por ativar o acesso somente na conta AWS Organizations de gerenciamento ou em todas as contas em AWS Organizations.
Como alternativa, você pode usar políticas de controle de serviço (SCPs) para controlar quais aplicativos podem acessar as informações em quais contas estão AWS Organizations.

Por exemplo, se você ativar o acesso somente na conta AWS Organizations de gerenciamento, os aplicativos nas contas dos membros não terão acesso às informações. No entanto, se você habilitar o acesso em todas as contas, poderá usar SCPs para proibir o acesso de todos os aplicativos, exceto aqueles que você deseja permitir.

As políticas de controle de serviços são uma característica do AWS Organizations. Para obter instruções sobre como anexar uma SCP, consulte Attaching and detaching service control policies no AWS Organizations User Guide.

Configurar o IAM Identity Center para compartilhar informações de identidade

Para habilitar esse recurso, o IAM Identity Center fornece um repositório de identidades que contém os atributos dos usuários e dos grupos, exceto as credenciais de login. Você pode usar qualquer um dos métodos a seguir para manter os usuários e grupos em seu armazenamento de identidades do IAM Identity Center atualizados:

Use o armazenamento de identidades do IAM Identity Center como fonte de identidade principal. Se você escolher esse método, gerencie seus usuários, suas credenciais de login e grupos a partir do console do IAM Identity Center ou AWS Command Line Interface ().AWS CLI Para obter mais informações, consulte Gerencie identidades no IAM Identity Center.
Configure o provisionamento (sincronização) de usuários e grupos provenientes de uma das seguintes fontes de identidade para seu armazenamento de identidades do IAM Identity Center:
- Active Directory: para obter mais informações, consulte Conecte-se a um Microsoft AD directory.
- Provedor de identidades externo: para obter mais informações, consulte Gerenciar um provedor de identidades externo.
Se você escolher esse método de provisionamento, continuará gerenciando os usuários e grupos na fonte de identidades, e essas alterações serão sincronizadas com o repositório de identidades do IAM Identity Center.

Seja qual for a fonte de identidade escolhida, o IAM Identity Center pode compartilhar as informações do usuário e do grupo com aplicativos AWS gerenciados. Assim, você pode conectar uma fonte de identidades ao IAM Identity Center uma vez e depois compartilhar as informações de identidade com várias aplicações na Nuvem AWS. Isso elimina a necessidade de configurar a federação e o provisionamento de identidades com cada aplicação separadamente. Esse atributo de compartilhamento também facilita o acesso dos usuários de sua força de trabalho a muitas aplicações em diferentes Contas da AWS.

Restringindo o uso de aplicativos AWS gerenciados

Quando você ativa o IAM Identity Center pela primeira vez, AWS permite o uso automático de aplicativos AWS gerenciados em todas as contas do AWS Organizations. Para restringir aplicativos, você deve implementar políticas de controle de serviço (SCPs). SCPs são um recurso AWS Organizations que você pode usar para controlar centralmente o máximo de permissões que as identidades (usuários e funções) em sua organização podem ter. Você pode usar SCPs para bloquear o acesso às informações de usuários e grupos do IAM Identity Center e impedir que o aplicativo seja iniciado, exceto nas contas designadas. Para obter mais informações, consulte Políticas de controle de serviço (SCPs) no Guia AWS Organizations do usuário.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Acesso à aplicação

Aplicações que você pode usar com o IAM Identity Center