AWS 托管应用程序 - AWS IAM Identity Center
控制对应用程序的访问权限共享身份信息 限制 AWS 托管应用程序的使用

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 托管应用程序

AWS IAM Identity Center 简化并简化了将员工用户连接到 Amazon Q Developer 和 Amazon 等 AWS 托管应用程序的任务。 QuickSight借助 IAM Identity Center,您只需连接现有的身份提供商即可同步目录中的用户和群组,或者直接在 Ident IAM ity Center 中创建和管理您的用户。通过提供一个联合点,Ident IAM ity Center 无需为每个应用程序设置联合或用户和组同步,并减少了您的管理工作。您还可以大致查看用户和组分配

有关与 Identity Center 配合IAM使用的 AWS 应用程序表,请参阅AWS 您可以与 Ident IAM ity Center 一起使用的托管应用程序

控制对 AWS 托管应用程序的访问权限

通过两种方式控制对 AWS 托管应用程序的访问:

  • 应用程序的初始入口

    IAMIdentity Center 通过分配给应用程序来管理这一点。默认情况下, AWS 托管应用程序需要分配。如果您是应用程序管理员,可以选择是否需要针对应用程序进行分配。

    如果需要分配,当用户登录 AWS 访问门户时,只有直接或通过组分配分配至应用程序的用户才能查看应用程序磁贴。

    如果不需要分配,则可以允许所有 Ident IAM ity Center 用户进入应用程序。在这种情况下,应用程序将管理对资源的访问权限,访问 AWS 访问门户的所有用户都可以看到该应用程序磁贴。

    重要

    如果您是 Ident IAM ity Center 管理员,则可以使用 Ident IAM ity Center 控制台删除对 AWS 托管应用程序的分配。在删除分配之前,我们建议您与应用程序管理员进行协调。如果您计划修改决定是否需要进行分配的设置,或者计划自动完成应用程序分配,也应该与应用程序管理员进行协调。

  • 对应用程序资源的访问权限

    应用程序通过其控制的独立资源分配对此进行管理。

AWS 托管应用程序提供了一个管理用户界面,您可以使用该界面来管理对应用程序资源的访问权限。例如, QuickSight 管理员可以根据用户的群组成员资格为其分配访问仪表板的权限。大多数 AWS 托管应用程序还提供允许您将用户分配给应用程序的 AWS Management Console 体验。这些应用程序的控制台体验也许可以整合这两种功能,将用户分配功能与管理应用程序资源访问权限的能力结合起来。

共享身份信息

在中共享身份信息的注意事项 AWS 账户

IAMIdentity Center 支持应用程序中最常用的属性。这些属性包括名字和姓氏、电话号码、电子邮件地址、住址和首选语言。请仔细考虑哪些应用程序和哪些账户可以使用这些个人身份信息。

您可以通过以下任一方式控制对此信息的访问:

  • 您可以选择仅在 AWS Organizations 管理账户中启用访问权限,也可以选择在中的所有账户中启用访问权限 AWS Organizations。

  • 或者,您可以使用服务控制策略 (SCPs) 来控制哪些应用程序可以访问哪些账户中的信息 AWS Organizations。

例如,如果您仅在 AWS Organizations 管理账户中启用访问权限,则成员账户中的应用程序将无法访问信息。但是,如果您在所有账户中启用访问权限,则可以使用SCPs禁止除您想要允许的应用程序之外的所有应用程序进行访问。

服务控制策略是的一项功能 AWS Organizations。有关附加的说明SCP,请参阅《用户指南》中的附加和分离服务控制策略。AWS Organizations

配置IAM身份中心以共享身份信息

IAMIdentity Center 提供包含用户和群组属性的身份存储,不包括登录凭据。您可以使用以下任一方法来更新您的 Identity Center IAM 身份存储中的用户和群组:

  • 使用IAM身份中心身份存储作为您的主要身份来源。如果您选择此方法,则可以从 Identity Center 控制台或 AWS Command Line Interface (AWS CLI) 中管理您的用户、他们的登录凭IAM证和群组。有关更多信息,请参阅 在 IAM Identity Center 管理身份

  • 设置来自以下任一身份源的用户和群组到您的 Identity Center IAM 身份存储的配置(同步):

    如果您选择这种配置方法,则可以继续从您的身份源中管理您的用户和群组,这些更改将同步到 Identity Center IAM 身份存储。

无论您选择哪种身份来源,Ident IAM ity Center 都可以与 AWS 托管应用程序共享用户和群组信息。这样,您就可以将身份源连接到 Ident IAM ity Center 一次,然后与中的多个应用程序共享身份信息 AWS Cloud。这样就无需为每个应用程序单独设置联合身份验证和身份预调配。此共享功能还可以让用户轻松访问不同 AWS 账户中的许多应用程序。

限制 AWS 托管应用程序的使用

首次启用 IAM Identity Center 时, AWS 允许在中的所有账户中自动使用 AWS 托管应用程序 AWS Organizations。要限制应用程序,必须实施服务控制策略 (SCPs)。 SCPs是其中的 AWS Organizations 一项功能,可用于集中控制组织中的身份(用户和角色)可以拥有的最大权限。您可以使用SCPs来阻止对 Ident IAM ity Center 用户和群组信息的访问以及阻止应用程序启动,但指定账户除外。有关更多信息,请参阅《AWS Organizations 用户指南》中的服务控制策略 (SCPs)