什么是IAM身份中心? - AWS IAM Identity Center
为什么要使用IAM身份中心?IAM身份中心重命名

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

什么是IAM身份中心?

AWS IAM Identity Center 是将您的员工用户连接到 Amazon Q Developer 和 Amaz QuickSight on 等 AWS 托管应用程序以及其他 AWS 资源的 AWS 解决方案。您可以连接现有的身份提供商并同步目录中的用户和组,或者直接在 Ident IAM ity Center 中创建和管理您的用户。然后,您可以使用 IAM Identity Center 进行以下任一或两项操作:

  • 用户对应用程序的访问权限

  • 用户访问权限 AWS 账户

已经在使用IAM访问权限了 AWS 账户吗?

您无需对当前 AWS 账户 的工作流程进行任何更改即可使用 Ident IAM ity Center 访问 AWS 托管应用程序。如果您使用联合身份验证IAM或IAM用户进行 AWS 账户 访问,则您的用户可以继续以与往常相同的方式进行访问 AWS 账户 ,并且您可以继续使用现有的工作流程来管理该访问权限。

为什么要使用IAM身份中心?

IAMIdentity Center 通过以下关键功能简化并简化了员工用户对应用程序或 AWS 账户两者的访问。

与 AWS 托管应用程序集成

AWS 托管应用程序,例如 Amazon Q Developer,并与IAM身份中心 Amazon Redshift 集成。IAMIdentity Center 为 AWS 托管应用程序提供了用户和群组的通用视图。

跨应用程序的可信身份传播

借助可信身份传播,诸如 Amazon 之类的托 AWS 管应用程序 QuickSight 可以安全地与其他 AWS 托管应用程序(例如)共享用户的身份, Amazon Redshift 并根据用户的身份授权访问 AWS 资源。您可以更轻松地审计用户活动,因为 CloudTrail 事件是根据用户和用户启动的操作记录的。这样可以更轻松地了解谁访问了什么。有关支持的用例的信息,包括 end-to-end 配置指南,请参阅可信身份传播用例

一站式为多人分配权限 AWS 账户

凭借多账户权限,IAMIdentity Center 为您提供了一个向多个 AWS 账户用户组分配权限的单一位置。您可以根据常见的工作职能创建权限,或定义满足您安全需求的自定义权限。然后,您可以将这些权限分配给员工用户,以控制他们对特定的访问权限 AWS 账户。

此可选功能仅适用于 Ident IAM ity Center 的组织实例

一个联合点可简化用户访问 AWS

通过提供一个联合点,Ident IAM ity Center 减少了使用多个 AWS 托管应用程序所需的管理工作和 AWS 账户。使用 IAM Identity Center,您只需联合一次,并且在使用SAML 2.0身份提供商时只需管理一个证书。IAMIdentity Center 为 AWS 托管应用程序提供用户和群组的通用视图,用于可信身份传播用例,或者当用户与其他人共享 AWS 资源访问权限时。

有关如何配置常用身份提供商以与 Identity Center 配合IAM使用的信息,请参阅IAM身份中心入门教程。如果您没有现有的身份提供商,则可以直接在 Identit IAM y Center 中创建和管理用户

两种部署模式

IAMIdentity Center 支持两种类型的实例:组织实例账户实例。使用组织实例是最佳做法。它是唯一允许您管理访问权限的实例, AWS 账户 建议将其用于应用程序的所有生产用途。组织实例部署在 AWS Organizations 管理账户中,可让您通过单点管理用户访问权限 AWS。

账户实例绑定 AWS 账户 到启用它们的。仅使用 Ident IAM ity Center 的账户实例来支持选定 AWS 托管应用程序的隔离部署。有关更多信息,请参阅 IAM身份中心的组织和账户实例

为您的用户提供用户友好的门户网站访问权限

AWS 访问门户是一个用户友好的门户网站,可让您的用户无缝访问他们分配的所有应用程序 AWS 账户,或两者兼而有之。

IAM身份中心重命名

2022 年 7 月 26 日,“ AWS 单点登录” 更名为。 AWS IAM Identity Center

旧命名空间保持不变

出于向后兼容的目的,ssoidentitystoreAPI命名空间以及以下相关的命名空间保持不变