本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM身份中心可配置 AD 同步
IAM身份中心可配置的活动目录 (AD) 同步使您能够在 Microsoft Active Directory 中明确配置自动同步到IAM身份中心的身份并控制同步过程。
先决条件和注意事项
在使用可配置的 AD 同步之前,请注意以下先决条件和注意事项:
-
指定 Active Directory 中要同步的用户和组
在使用 Ident IAM ity Center 为新用户和群组分配对 AWS 账户 AWS 托管应用程序或客户托管应用程序的访问权限之前,必须在 Active Directory 中指定要同步的用户和群组,然后将其同步到 Ident IAM ity Center。
-
AD 同步 — 当您使用 Ident IAM ity Center 控制台或相关分配API操作为新用户和群组分配任务时,Ident IAM ity Center 会直接在域控制器中搜索指定的用户或群组,完成分配,然后定期将用户或组元数据同步到 Ident IAM ity Center。
-
可配置的 AD 同步 — IAM Identity Center 不会直接在您的域控制器中搜索用户和群组。相反,您必须首先指定要同步的用户和组的列表。您可以通过以下方式之一配置此列表(也称为同步范围),具体取决于您的用户和群组是否已同步到 Ident IAM ity Center,或者您有新用户和群组是首次使用可配置的 AD 同步进行同步。
-
现有用户和群组:如果您的用户和群组已同步到 Ident IAM ity Center,则可配置 AD 同步中的同步范围会预先填充这些用户和群组的列表。要分配新用户或组,您必须专门将它们添加到同步范围。有关更多信息,请参阅 将用户和组添加到您的同步范围。
-
新用户和群组:如果要为新用户和群组分配访问和访问应用程序的权限,则必须先在可配置的 AD 同步中指定要将哪些用户和群组添加到同步范围,然后才能使用 Ident IAM ity Center 进行分配。 AWS 账户 有关更多信息,请参阅 将用户和组添加到您的同步范围。
-
-
-
分配到 Active Directory 中的嵌套组
作为其他组成员的组称为嵌套组(或子组)。在对 Active Directory 中包含嵌套组的组进行分配时,这些分配的应用方式取决于您使用 AD 同步还是可配置 AD 同步。
-
AD 同步 – 在对 Active Directory 中包含嵌套组的组进行分配时,只有该组的直接成员才能访问该账户。例如,如果您将访问权限分配给组 A,而组 B 是组 A 的成员,则只有组 A 的直接成员可以访问该帐户。B 组的任何成员都不会继承访问权限。
-
可配置 AD 同步 – 使用可配置 AD 同步分配 Active Directory 中包含嵌套组的组,可能会扩大有权访问 AWS 账户 或应用程序的用户范围。在这种情况下,分配将应用于所有用户,包括嵌套组中的用户。例如,如果您向组 A 分配访问权限,而组 B 是组 A 的成员,则组 B 的成员也会继承此访问权限。
-
-
更新自动化工作流程
如果您的自动化工作流程使用 Identity Center IAM 身份存储API操作和 Ident IAM ity Center 分配API操作来分配新用户和群组对帐户和应用程序的访问权限,并将其同步到 Ident IAM ity Center,则必须在 2022 年 4 月 15 日之前调整这些工作流程,使其在可配置的 AD 同步中按预期运行。可配置的 AD 同步可更改用户和组分配和预置发生的顺序以及执行查询的方式。
-
AD 同步——首先发生分配过程。您可以为用户和群组分配访问 AWS 账户 和访问应用程序的权限。在为用户和群组分配访问权限后,系统会自动对其进行配置(同步到 Ident IAM ity Center)。如果您使用的是自动化工作流程,这意味着当您将新用户添加到 Active Directory 时,您的自动工作流程可以使用身份存储
ListUserAPI操作为用户查询 Active Directory,然后使用IAM身份中心分配API操作为用户分配访问权限。由于用户有分配,因此该用户会自动配置到 Ident IAM ity Center。 -
可配置的 AD 同步——首先进行预置,并且不会自动执行。相反,您必须首先通过将用户和组添加到同步范围来明确将用户和组添加到身份存储。有关自动执行同步配置以实现可配置 AD 同步的建议步骤的信息,请参阅 自动执行同步配置以实现可配置的 AD 同步。
-
主题
