AWS 账户 访问 - AWS IAM Identity Center
AWS 账户 类型 分配 AWS 账户 访问权限 最终用户体验强制和限制访问权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS 账户 访问

AWS IAM Identity Center 与集成 AWS Organizations,这使您 AWS 账户 无需手动配置每个帐户即可集中管理多个帐户的权限。您可以 AWS 账户 使用 IAM Identity Center 的组织实例定义权限并将这些权限分配给员工用户,以控制他们对特定用户的访问权限。IAM Identity Center 的账户实例不支持账户访问。

AWS 账户 类型

有两种类型 AWS 账户 的 AWS Organizations:

  • 管理账户-用于创建组织的账户。 AWS 账户

  • 成员账户- AWS 账户 属于组织的其余账户。

有关 AWS 账户 类型的更多信息,请参阅《AWS Organizations 用户指南》中的AWS Organizations 术语和概念

您也可以选择将成员帐户注册为 IAM Identity Center 的委派管理员。此帐户中的用户可以执行大多数 IAM Identity Center 管理任务。有关更多信息,请参阅 委派管理

对于每种任务和帐户类型,下表指明了帐户中的用户是否可以执行 IAM Identity Center 管理任务。

IAM Identity Center 管理任务 成员帐户 委托管理员帐户 管理帐户
读取用户或组(阅读组本身和组的成员资格)
添加、编辑或删除用户或组
启用或禁用用户访问权限
启用、禁用或管理传入属性
更改或管理身份源
创建、编辑或删除客户管理型应用程序
创建、编辑或删除 AWS 托管应用程序
配置 MFA
管理管理帐户中未配置的权限集
管理管理帐户中已配置的权限集
启用 IAM Identity Center
删除 IAM Identity Center 配置
在管理帐户中启用或禁用用户访问权限
将成员帐户作为委派管理员注册或取消注册

分配 AWS 账户 访问权限

您可以使用权限集来简化向组织中的用户和组分配 AWS 账户访问权限的方式。权限集存储在 IAM Identity Center 中,定义用户和组对 AWS 账户的访问级别。您可以创建单个权限集并将其分配给组织 AWS 账户 内的多个权限集。您也可以将多个权限集分配给同一个用户。

有关权限集的更多信息,请参阅创建、管理和删除权限集

注意

您还可以为用户分配对应用程序的单点登录访问权限。有关信息,请参阅应用程序访问

最终用户体验

AWS 访问门户为 IAM Identity Center 用户提供通过门户网站对其分配的所有应用程序 AWS 账户 和应用程序的单点登录访问权限。 AWS 访问门户不同于 AWS Management Console,后者是一组用于管理 AWS 资源的服务控制台。

创建权限集时,您为该权限集指定的名称会作为可用角色出现在 AWS 访问门户中。用户登录 AWS 访问门户,选择一个 AWS 账户,然后选择角色。选择角色后,他们可以使用访问 AWS 服务 AWS Management Console 或检索临时凭证以编程方式访问 AWS 服务。

要打开 AWS Management Console 或检索临时凭证以 AWS 编程方式进行访问,用户需要完成以下步骤:

  1. 用户打开浏览器窗口,使用您提供的登录 URL 导航到 AWS 访问门户。

  2. 他们使用其目录凭据登录 AWS 访问门户。

  3. 身份验证后,在 AWS 访问门户页面上,他们选择 “帐户” 选项卡 AWS 账户 以显示他们有权访问的列表。

  4. 然后,用户选择 AWS 账户 他们想要使用的。

  5. 在的名称下方 AWS 账户,向其分配用户的所有权限集都显示为可用角色。例如,如果您john_stiles为用户分配了PowerUser权限集,则该角色在 AWS 访问门户中显示为PowerUser/john_stiles。分配有多个权限集的用户选择要使用的角色。用户可以选择其访问 AWS Management Console的角色。

  6. 除角色外, AWS 访问门户用户还可以通过选择访问密钥来检索命令行或编程访问的临时证书。

有关您可以向员工用户提供的 step-by-step指导,请参阅使用 AWS 访问门户获取 AWS CLI 或的 IAM Identity Center 用户证书 AWS SDKs

强制和限制访问权限

启用 IAM Identity Center 后,IAM Identity Center 会创建一个与服务相关的角色。您也可以使用服务控制策略 (SCPs)。

委派和强制访问权限

服务相关角色是一种直接链接到 AWS 服务的 IAM 角色。启用 IAM Identity Center 后,IAM Identity Center 可以在组织 AWS 账户 中的每个角色中创建一个服务相关角色。此角色提供预定义的权限,允许 IAM Identity Center 委派和强制执行哪些用户对组织 AWS 账户 中的 AWS Organizations特定用户具有单点登录访问权限。您需要分配一个或多个具有帐户访问权限的用户,才能使用此角色。有关更多信息,请参阅 了解 IAM Identity Center 中的服务相关角色使用 IAM Identity Center 的服务相关角色

限制成员帐户对身份存储的访问权限

对于 IAM Identity Center 使用的身份存储服务,有权访问成员帐户的用户可以使用需要读取权限的 API 操作。成员帐户有权访问 sso 目录identitystore 命名空间上的 读取操作。有关更多信息,请参阅《服务授权参考》中的AWS IAM Identity Center 目录的操作、资源和条件密钥以及 Ident AWS ity Store 的操作、资源和条件密钥

为防止成员帐户中的用户在身份存储中使用 API 操作,您可以附加服务控制策略(SCP)。SCP 是一种组织策略,可用于管理组织中的权限。以下示例 SCP 阻止成员帐户中的用户访问身份存储中的任何 API 操作。

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": ["identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
注意

限制成员帐户的访问权限可能会影响启用 IAM Identity Center 的应用程序的功能。

有关更多信息,请参阅《AWS Organizations 用户指南》中的服务控制策略 (SCPs)