本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
什么是IAM身份中心?
AWS IAM Identity Center 是将您的员工用户连接到 Amazon Q Developer 和 Amaz QuickSight on 等 AWS 托管应用程序以及其他 AWS 资源的 AWS 解决方案。您可以连接现有的身份提供商并同步目录中的用户和组,或者直接在 Ident IAM ity Center 中创建和管理您的用户。然后,您可以使用 IAM Identity Center 进行以下任一或两项操作:
用户对应用程序的访问权限
用户访问权限 AWS 账户
已经在使用IAM访问权限了 AWS 账户吗?
您无需对当前 AWS 账户 的工作流程进行任何更改即可使用 Ident IAM ity Center 访问 AWS 托管应用程序。如果您使用联合身份验证IAM或IAM用户进行 AWS 账户 访问,则您的用户可以继续以与往常相同的方式进行访问 AWS 账户 ,并且您可以继续使用现有的工作流程来管理该访问权限。
为什么要使用IAM身份中心?
IAMIdentity Center 通过以下关键功能简化并简化了员工用户对应用程序或 AWS 账户两者的访问。
- 与 AWS 托管应用程序集成
-
AWS 托管应用程序,例如 Amazon Q Developer,并与IAM身份中心 Amazon Redshift 集成。IAMIdentity Center 为 AWS 托管应用程序提供了用户和群组的通用视图。
- 跨应用程序的可信身份传播
-
借助可信身份传播,诸如 Amazon 之类的托 AWS 管应用程序 QuickSight 可以安全地与其他 AWS 托管应用程序(例如)共享用户的身份, Amazon Redshift 并根据用户的身份授权访问 AWS 资源。您可以更轻松地审计用户活动,因为 CloudTrail 事件是根据用户和用户启动的操作记录的。这样可以更轻松地了解谁访问了什么。有关支持的用例的信息,包括 end-to-end 配置指南,请参阅可信身份传播用例。
- 一站式为多人分配权限 AWS 账户
-
凭借多账户权限,IAMIdentity Center 为您提供了一个向多个 AWS 账户用户组分配权限的单一位置。您可以根据常见的工作职能创建权限,或定义满足您安全需求的自定义权限。然后,您可以将这些权限分配给员工用户,以控制他们对特定的访问权限 AWS 账户。
此可选功能仅适用于 Ident IAM ity Center 的组织实例。
- 一个联合点可简化用户访问 AWS
-
通过提供一个联合点,Ident IAM ity Center 减少了使用多个 AWS 托管应用程序所需的管理工作和 AWS 账户。使用 IAM Identity Center,您只需联合一次,并且在使用
SAML 2.0
身份提供商时只需管理一个证书。IAMIdentity Center 为 AWS 托管应用程序提供用户和群组的通用视图,用于可信身份传播用例,或者当用户与其他人共享 AWS 资源访问权限时。 有关如何配置常用身份提供商以与 Identity Center 配合IAM使用的信息,请参阅IAM身份中心入门教程。如果您没有现有的身份提供商,则可以直接在 Identit IAM y Center 中创建和管理用户。
- 两种部署模式
-
IAMIdentity Center 支持两种类型的实例:组织实例和账户实例。使用组织实例是最佳做法。它是唯一允许您管理访问权限的实例, AWS 账户 建议将其用于应用程序的所有生产用途。组织实例部署在 AWS Organizations 管理账户中,可让您通过单点管理用户访问权限 AWS。
账户实例绑定 AWS 账户 到启用它们的。仅使用 Ident IAM ity Center 的账户实例来支持选定 AWS 托管应用程序的隔离部署。有关更多信息,请参阅 IAM身份中心的组织和账户实例。
- 为您的用户提供用户友好的门户网站访问权限
-
AWS 访问门户是一个用户友好的门户网站,可让您的用户无缝访问他们分配的所有应用程序 AWS 账户,或两者兼而有之。
IAM身份中心重命名
2022 年 7 月 26 日,“ AWS 单点登录” 更名为。 AWS IAM Identity Center
旧命名空间保持不变
出于向后兼容的目的,sso
和identitystore
API命名空间以及以下相关的命名空间保持不变。
-
CLI命令
-
包含
AWSSSO
和AWSIdentitySync
前缀的管理型策略 -
包含
sso
和identitystore
的服务端点 -
包含
AWS::SSO
前缀的 AWS CloudFormation 资源 -
包含
AWSServiceRoleForSSO
的服务相关角色 -
控制台URLs包含
sso
和singlesignon
-
URLs包含以下内容的文档
singlesignon