单点登录访问权限 AWS 账户 - AWS IAM Identity Center
将用户访问权限分配给 AWS 账户移除用户和组访问权限撤消处于活动状态的权限集会话委派谁可以为管理账号中的用户和组分配单点登录访问权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

单点登录访问权限 AWS 账户

您可以 AWS Organizations 根据常见的工作职能,将已连接目录中的用户分配给组织中的管理账户或成员账户的权限。或者,您可以使用自定义权限,以满足特定的安全需求。例如,您可以向数据库管理员授予开发账户RDS中的 Amazon 的广泛权限,但限制他们在生产账户中的权限。IAMIdentity Center AWS 账户 会自动在中配置所有必要的用户权限。

注意

您可能需要向用户或群组授予使用 AWS Organizations 管理账户进行操作的权限。由于它是高权限帐户,因此其他安全限制要求您拥有IAMFullAccess策略或同等权限才能进行设置。您 AWS 组织中的任何成员账户都不需要这些额外的安全限制。

将用户访问权限分配给 AWS 账户

使用以下过程为已连接目录中的用户和组分配单点登录访问权限,并使用权限集确定其访问级别。

要检查现有用户和群组的访问权限,请参阅查看用户和群组分配

注意

为了简化访问权限的管理,建议您直接向组(而非各个用户)分配访问权限。通过组,您可以授予或拒绝用户组的权限,而不是必须为每个用户应用这些权限。如果用户移动到不同的组织,您只需将该用户移动到不同的组,他们会自动接收新组织所需的权限。

为用户或组分配访问权限 AWS 账户

  1. 打开IAM身份中心控制台

    注意

    在进入下一步之前,请确保 Ident IAM ity Center 控制台使用的是您的 AWS Managed Microsoft AD 目录所在的区域。

  2. 在导航窗格中的多帐户权限下,选择 AWS 账户

  3. AWS 账户 页面上,将显示您的组织的树视图列表。选中您要为其分配单点登录访问权限的一个或多个 AWS 账户 旁边的复选框。

    注意

    向用户和群组分配单点登录访问权限时,每个权限集一次最多可以选择 10 AWS 账户 个。要向同一组用户和组分配 10 个 AWS 账户 以上的用户,请根据需要为其他帐户重复此过程。出现提示时,选择相同的用户、组和权限集。

  4. 选择分配用户或组

  5. 对于步骤 1:选择用户和群组,在 “将用户和群组分配给”AWS-account-name页面,请执行以下操作:

    1. 用户选项卡上,选择一个或多个要向其授予单点登录访问权限的用户。

      要筛选结果,请开始在搜索框中键入所需用户的名称。

    2. 选项卡上,选择一个或多个要向其授予单点登录访问权限的组。

      要筛选结果,请开始在搜索框中键入所需组的名称。

    3. 要显示您选择的用户和组,请选择选定的用户和组旁边的横向三角形。

    4. 确认选择了正确的用户和组后,选择下一步

  6. 对于步骤 2:选择权限集,在 “将权限集分配给”AWS-account-name页面,请执行以下操作:

    1. 选择一个或多个权限集。如有需要,您可以创建和选择新的权限集。

      • 要选择一个或多个现有权限集,请在权限集下,选择要应用于在上一步中选择的用户和组的权限集。

      • 要创建一个或多个新权限集,请选择创建权限集,然后按照 创建权限集 中的步骤操作。创建要应用的权限集后,在 Ident IAM ity Center 控制台中,返回AWS 账户并按照说明进行操作,直到进入步骤 2:选择权限集。完成此步骤后,选择您创建的新权限集,然后继续执行此过程的下一步。

    2. 确认选择了正确的权限集后,选择下一步

  7. 对于第 3 步:审阅并提交,在 “审阅” 中将作业提交给”AWS-account-name页面,请执行以下操作:

    1. 查看选定的用户、组和权限集。

    2. 确认选择了正确的用户、组和权限集之后,选择提交

      重要

      用户和组的分配过程可能需要几分钟才能完成。等到此过程成功完成再关闭该页面。

      注意

      您可能需要向用户或群组授予使用 AWS Organizations 管理账户进行操作的权限。由于它是高权限帐户,因此其他安全限制要求您拥有IAMFullAccess策略或同等权限才能进行设置。您 AWS 组织中的任何成员账户都不需要这些额外的安全限制。

移除用户和组访问权限

使用此过程可以删除所连接目录中一个或多个用户和组 AWS 账户 对的的单点登录访问权限。

删除用户和群组对的访问权限 AWS 账户

  1. 打开IAM身份中心控制台

  2. 在导航窗格中的多帐户权限下,选择 AWS 账户

  3. AWS 账户 页面上,将显示您的组织的树视图列表。选择 AWS 账户 包含要删除其单点登录访问权限的用户和群组的名称。

  4. 在 “概述” 页面的 “分配的用户和组” 下 AWS 账户,选择一个或多个用户或组的名称,然后选择 “移除访问权限”。

  5. 移除访问权限对话框中,确认用户或组的名称是否正确,然后选择移除访问权限

撤消由权限集创建的主动IAM角色会话

以下是撤销 Ident IAM ity Center 用户的活动权限集会话的一般过程。该过程假设您要删除凭证泄露的用户或系统中的不良行为者的所有访问权限。先决条件是必须遵循中的指导准备撤消由权限集创建的活动IAM角色会话。我们假设服务控制策略 (SCP) 中存在 “全部拒绝” 策略。

注意

AWS 建议您构建自动化以处理除仅限控制台的操作之外的所有步骤。

  1. 获取必须撤消其访问权限的人的用户 ID。您可以使用身份存储APIs按用户名查找用户。

  2. 更新 “拒绝” 策略,将步骤 1 中的用户 ID 添加到您的服务控制策略(SCP)中。完成此步骤后,目标用户将失去访问权限,并且无法对受该策略影响的任何角色采取操作。

  3. 移除该用户的所有权限集分配。如果访问权限是通过群组成员资格分配的,请将该用户从所有群组和所有直接权限集分配中移除。此步骤可防止用户扮演任何其他IAM角色。如果用户拥有有效的 AWS 访问门户会话,而您禁用了该用户,则他们可以继续扮演新角色,直到您删除其访问权限。

  4. 如果您使用身份提供商 (IdP) 或 Microsoft Active Directory 作为身份源,请在身份源中禁用该用户。禁用该用户可以防止创建其他 AWS 访问门户会话。使用你的 IdP 或 Microsoft Active Directory API 文档来学习如何自动执行此步骤。如果您使用 Ident IAM ity Center 目录作为身份源,请不要禁用用户访问权限。您将在步骤 6 中禁用用户访问权限。

  5. 在 IAM Identity Center 控制台中,找到该用户并删除其活动会话。

    1. 选择用户

    2. 选择要删除其活动会话的用户。

    3. 在用户的详细信息页面上,选择活动会话选项卡。

    4. 选中要删除的会话旁边的复选框,然后选择删除会话

    这可确保用户的 AWS 访问门户会话在大约 60 分钟内停止。了解会话持续时间

  6. 在IAM身份中心控制台中,禁用用户访问权限。

    1. 选择用户

    2. 选择要禁用其访问权限的用户。

    3. 在用户的详细信息页面上,展开 “常规信息”,然后选择 “禁用用户访问权限” 按钮,以防止该用户进一步登录。

  7. 将 “拒绝” 政策保留至少 12 小时。否则,具有活动IAM角色会话的用户将恢复对该IAM角色的操作。如果您等待 12 小时,则活动会话将过期,用户将无法再次访问该IAM角色。

重要

如果您在停止用户会话之前禁用了用户的访问权限(您在未完成步骤 5 的情况下完成了步骤 6),则无法再通过 Ident IAM ity Center 控制台停止用户会话。如果您在停止用户会话之前无意中禁用了用户访问权限,则可以重新启用用户,停止其会话,然后再次禁用他们的访问权限。

现在,如果用户的密码被泄露,您可以更改其凭据并恢复其分配

委派谁可以为管理账号中的用户和组分配单点登录访问权限

使用 Ident IAM ity Center 控制台为管理账户分配单点登录访问权限是一项特权操作。默认情况下,只有附加 AWS 账户根用户 了AWSSSOMasterAccountAdministratorIAMFullAccess AWS 托管策略的用户才能向管理账户分配单点登录访问权限。AWSSSOMasterAccountAdministratorIAMFullAccess策略管理对 AWS Organizations 组织内管理账户的单点登录访问权限。

使用以下步骤委派权限来管理您的目录中用户和组的单点登录访问权限。

授予权限来管理您的目录中的用户和组的单点登录访问权限

  1. 以管理账户的 root 用户或具有管理账户管理员权限的其他用户IAM身份登录 Identity Center 控制台。

  2. 按照 创建权限集 中的步骤创建权限集,然后执行以下操作:

    1. 创建新权限集页面上,选中创建自定义权限集复选框,然后选择下一步:详细信息

    2. “创建新权限集”页面上,指定自定义权限集的名称和描述(可选)。如果需要,可以修改会话持续时间并指定中继状态URL。

      注意

      对于中继状态URL,必须指定处于URL中继状态的 AWS Management Console。例如:

      https://console.aws.amazon.com/ec2/

      有关更多信息,请参阅 设置中继状态以便快速访问 AWS Management Console

    3. 您要在权限集中包含哪些策略?下,选中附加 AWS 管理型策略复选框。

    4. 在IAM策略列表中,同时选择AWSSSOMasterAccountAdministratorIAMFullAccess AWS 托管策略。这些策略向以后将拥有此权限集的访问权限的任何用户和组授予权限。

    5. 选择下一步:标签

    6. 添加标签(可选)下,指定密钥值(可选)的值,然后选择下一步:查看。有关标签的更多信息,请参阅 为 AWS IAM Identity Center 资源添加标签

    7. 检查您的选择,然后选择创建

  3. 按照 将用户访问权限分配给 AWS 账户 中的步骤将相应的用户和组分配给您刚刚创建的权限集。

  4. 向分配的用户传达以下信息:当他们登录 AWS 访问门户并选择 “帐户” 选项卡时,他们必须选择相应的角色名称才能使用您刚才委派的权限进行身份验证。