本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Identity Center 可配置 AD 同步
IAM Identity Center 可配置的 Active Directory (AD) 同步使您能够显式配置 Microsoft Active Directory 中的身份,这些身份会自动同步到 IAM Identity Center 并控制同步过程。
先决条件和注意事项
在使用可配置的 AD 同步之前,请注意以下先决条件和注意事项:
-
指定 Active Directory 中要同步的用户和组
在使用 IAM Identity Center 为新用户和群组分配 AWS 托管应用程序或客户托管应用程序的访问权限之前,您必须在 Active Directory 中指定要同步的用户和群组,然后将其同步到 IAM Identity Center 中。 AWS 账户
-
AD 同步——当您使用 IAM Identity Center 控制台或相关分配 API 操作为新用户和组进行分配时,IAM Identity Center 会直接在域控制器中搜索指定的用户或组,完成分配,然后定期同步用户或将元数据分组到 IAM Identity Center。
-
可配置的 AD 同步——IAM Identity Center 不会直接在域控制器中搜索用户和组。相反,您必须首先指定要同步的用户和组的列表。您可以通过以下方式之一配置此列表(也称为同步范围),具体取决于您的用户和组是否已同步到 IAM Identity Center,或者您有新用户和组是首次使用可配置的 AD 同步进行同步。
-
现有用户和组:如果您的用户和组已同步到 IAM Identity Center,则可配置 AD 同步中的同步范围将预先填充这些用户和组的列表。要分配新用户或组,您必须专门将它们添加到同步范围。有关更多信息,请参阅 将用户和组添加到您的同步范围。
-
新用户和组:如果您想要为新用户和组分配对 AWS 账户 和应用程序的访问权限,您必须在可配置的 AD 同步中指定要添加到同步范围的用户和组,然后才能使用 IAM Identity Center 进行分配。有关更多信息,请参阅 将用户和组添加到您的同步范围。
-
-
-
分配到 Active Directory 中的嵌套组
作为其他组成员的组称为嵌套组(或子组)。在对 Active Directory 中包含嵌套组的组进行分配时,这些分配的应用方式取决于您使用 AD 同步还是可配置 AD 同步。
-
AD 同步 – 在对 Active Directory 中包含嵌套组的组进行分配时,只有该组的直接成员才能访问该账户。例如,如果您将访问权限分配给组 A,而组 B 是组 A 的成员,则只有组 A 的直接成员可以访问该帐户。B 组的任何成员都不会继承访问权限。
-
可配置 AD 同步 – 使用可配置 AD 同步分配 Active Directory 中包含嵌套组的组,可能会扩大有权访问 AWS 账户 或应用程序的用户范围。在这种情况下,分配将应用于所有用户,包括嵌套组中的用户。例如,如果您向组 A 分配访问权限,而组 B 是组 A 的成员,则组 B 的成员也会继承此访问权限。
-
-
更新自动化工作流程
如果您有自动化工作流程,其使用 IAM Identity Center 身份存储 API 操作和 IAM Identity Center 分配 API 操作来分配新用户和组对帐户和应用程序的访问权限并将其同步到 IAM Identity Center,您必须通过以下方式调整这些工作流程: 2022 年 4 月 15 日,以便它们通过可配置的 AD 同步按预期运行。可配置的 AD 同步可更改用户和组分配和预置发生的顺序以及执行查询的方式。
-
AD 同步——首先发生分配过程。您可以为用户和群组分配访问 AWS 账户 和访问应用程序的权限。为用户和组分配访问权限后,它们会自动配置(同步到 IAM Identity Center)。如果您有自动化工作流程,这意味着当您将新用户添加到 Active Directory 时,您的自动化工作流程可以使用身份存储
ListUserAPI 操作查询 Active Directory 中的用户,然后使用 IAM Identity Center 分配用户访问权限 分配 API 操作。由于用户有分配,因此该用户会自动配置到 IAM Identity Center。 -
可配置的 AD 同步——首先进行预置,并且不会自动执行。相反,您必须首先通过将用户和组添加到同步范围来明确将用户和组添加到身份存储。有关自动执行同步配置以实现可配置 AD 同步的建议步骤的信息,请参阅 自动执行同步配置以实现可配置的 AD 同步。
-
主题
