SEC02-BP04 依赖集中式身份提供者
对于员工身份,依赖身份提供商,使您能够在集中位置管理身份。这样,您就可以更轻松地管理跨多个应用程序和服务的访问权限,因为您在从单一位置创建、管理和撤销访问权限。例如,如果有人离开了您的组织,您可以从一个位置撤销此人对所有应用程序和服务(包括 AWS)的访问权限。这样就降低了对多个凭证的需求,并提供了与现有的人力资源 (HR) 流程集成的机会。
要与单独的 AWS 账户联合,您可以将用于 AWS 的集中身份与基于 SAML 2.0 并支持 AWS Identity and Access Management 的提供程序结合使用。无论是由您在 AWS 中托管的提供程序、AWS 外部的提供程序还是由 AWS Partner 提供的提供程序,您都可以使用,只要这些提供程序与 SAML 2.0 协议兼容。您可以使用您的 AWS 账户与您选择的提供程序之间的联合,为用户或应用程序授予访问权限,以使他们能通过使用 SAML 断言获得临时安全凭证,以调用 AWS API 操作。基于 Web 的单点登录同样受支持,因此允许用户从您的登录网站登录到 AWS Management Console。
要与您的 AWS Organizations 中的多个账户联合,您可以在 AWS IAM Identity Center (IAM Identity Center)
IAM Identity Center 与 AWS Organizations 集成,这样,您就可以配置您的身份提供程序,然后为您的组织中管理的 现有账户和新账户授予访问权限 。IAM Identity Center 为您提供了一个默认存储库,您可以使用它来管理您的用户和组。如果您选择使用 IAM Identity Center 存储库,请创建您的用户和组,并为他们分配对您的 AWS 账户和应用程序的访问权限级别,同时铭记最低权限最佳实践。您也可以选择使用 SAML 2.0 连接到您的外部身份提供程序 ,或 连接到您的 Microsoft AD 目录 (使用 AWS Directory Service)。配置之后,您可以通过您的中央身份提供者进行身份验证,以登录到 AWS Management Console或 AWS 移动应用程序。
要管理您的工作负载的最终用户或消费者,例如移动应用程序,您可以使用
Amazon Cognito
未建立此最佳实践暴露的风险等级: 高
实施指导
-
集中管理访问:创建 Identity and Access Management(IAM)身份提供者实体,以在您的 AWS 账户与身份提供者(IdP)之间建立信任关系。IAM 支持与 OpenID Connect(OIDC)或 SAML 2.0(Security Assertion Markup Language 2.0,安全断言标记语言 2.0)兼容的 IdP。
-
集中应用程序访问:考虑使用 Amazon Cognito 实现应用程序集中式访问。借助 Amazon Cognito,您可以快速轻松地将用户注册、登录和访问控制添加到 Web 和移动应用程序中。 Amazon Cognito
可扩展至数百万用户,并支持使用社交身份提供者(如 Facebook、Google 和 Amazon)登录,以及通过企业身份提供者使用 SAML 2.0 登录。
资源
相关文档:
相关视频:
