IAM身份中心 AD 同步 - AWS IAM Identity Center

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM身份中心 AD 同步

通过 Ident IAM ity Center AD 同步,您可以使用IAM身份中心为 Active Directory 中的用户和群组分配访问权限 AWS 账户 并到 AWS 托管应用程序或客户托管的应用程序。所有带有任务的身份都会自动同步到 Ident IAM ity Center。

IAM身份中心 AD 同步的工作原理

IAMIdentity Center 使用以下过程刷新身份存储中基于广告的身份数据。

创建

当您将用户或组分配给时 AWS 账户 或使用以下命令的应用程序 AWS 控制台或任务API调用、有关用户、群组和成员资格的信息会定期同步到 Identity Center IAM 身份存储中。添加到 Ident IAM ity Center 任务的用户或群组通常显示在 AWS 两小时内存储身份。根据同步的数据量,此过程可能需要更长的时间。只有直接分配了访问权限的用户和组,或者是被分配了访问权限的组的成员的用户和组才会被同步。

作为其他组成员的组(称为嵌套组)也会写入身份存储。当您向 Active Directory 中包含嵌套群组的群组分配任务时,分配的应用方式取决于您使用的是广告同步还是可配置的 AD 同步。

  • AD 同步 — 当您向 Active Directory 中包含嵌套群组的群组分配任务时,只有该群组的直接成员才能访问该帐户。例如,如果您将访问权限分配给组 A,而组 B 是组 A 的成员,则只有组 A 的直接成员可以访问该帐户。B 组的任何成员都不会继承访问权限。

  • 可配置的 AD 同步 — 使用可配置的 AD 同步对 Active Directory 中包含嵌套群组的群组进行分配可能会扩大有权访问的用户的范围 AWS 账户 或者到应用程序。在这种情况下,分配适用于所有用户,包括嵌套组中的用户。例如,如果您向组 A 分配访问权限,而组 B 是组 A 的成员,则组 B 的成员也会继承此访问权限。

如果用户在其用户对象首次同步之前访问了 Ident IAM ity Center,则该用户的身份存储对象将使用 just-in-time (JIT) 配置按需创建。通过JIT配置创建的用户除非直接分配或基于群组的 Ident IAM ity Center 授权,否则他们不会同步。在同步完成之前,JIT已设置用户的群组成员资格不可用。

有关如何向用户分配访问权限的说明 AWS 账户,请参阅 单点登录访问 AWS 账户

更新

通过定期从 Active Directory 中的源目录中读取数据,Identity Center IAM 身份存储中的身份数据保持最新。在 Active Directory 中更改的身份数据通常会显示在 AWS 在四小时内存储身份。根据同步的数据量,此过程可能需要更长的时间。

在 Ident IAM ity Center 中创建或更新用户和组对象及其成员资格,以映射到 Active Directory 源目录中的相应对象。对于用户属性,只有在 Ident IAM ity Center 控制台的 “管理访问控制的属性” 部分中列出的属性子集才会在 Ident IAM ity Center 中更新。此外,用户属性会随着每个用户身份验证事件而更新。

删除

从 Active Director IAM y 的源目录中删除相应的用户或组对象时,用户和组将从 Identity Center 身份存储中删除。