AWS 受管應用程式 - AWS IAM Identity Center
控制對應用程式的存取共用身分資訊 限制使用 AWS 受管應用程式

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 受管應用程式

AWS IAM Identity Center 簡化了將人力資源使用者連接到 Amazon Q Developer 和 Amazon 等 AWS 受管應用程式的任務 QuickSight。使用 IAM Identity Center,您可以連接現有的身分提供者一次,並從目錄中同步使用者和群組,或直接在 IAM Identity Center 中建立和管理使用者。透過提供聯合的一個點, IAM Identity Center 不再需要為每個應用程式設定聯合或使用者和群組同步,並減少您的管理工作。您也可以取得使用者和群組指派 的通用檢視

如需使用 IAM Identity Center AWS 的應用程式資料表,請參閱 AWS 您可以搭配 IAM Identity Center 使用的受管應用程式

控制受 AWS 管應用程式的存取

受 AWS 管應用程式的存取有兩種控制方式:

  • 應用程式的初始項目

    IAM Identity Center 透過指派應用程式來管理此作業。根據預設,受 AWS 管應用程式需要指派。如果您是應用程式管理員,您可以選擇是否需要對應用程式進行指派。

    如果需要指派,當使用者登入 時 AWS 存取入口網站,只有直接或透過群組指派指派給應用程式的使用者才能檢視應用程式動態磚。

    如果不需要指派,您可以允許所有 IAM Identity Center 使用者進入應用程式。在此情況下,應用程式會管理 資源的存取權,而造訪 的所有使用者都可看見應用程式動態磚 AWS 存取入口網站。

    重要

    如果您是 IAM Identity Center 管理員,您可以使用 IAM Identity Center 主控台來移除受 AWS 管應用程式的指派。在您移除指派之前,建議您與應用程式管理員協調。如果您打算修改決定是否需要指派的設定,或自動執行應用程式指派,您也應該與應用程式管理員協調。

  • 存取應用程式資源

    應用程式會透過其控制的獨立資源指派來管理此任務。

AWS 受管應用程式提供管理使用者介面,可用來管理對應用程式資源的存取。例如, QuickSight 管理員可以根據使用者的群組成員資格,指派使用者存取儀表板。大多數 AWS 受管應用程式也提供可讓您將使用者指派給應用程式 AWS Management Console 的體驗。這些應用程式的主控台體驗可能會整合這兩個函數,以結合使用者指派功能與管理應用程式資源存取的能力。

共用身分資訊

在 中共享身分資訊的考量 AWS 帳戶

IAM Identity Center 支援跨應用程式最常用的屬性。這些屬性包括名字和姓氏、電話號碼、電子郵件地址、地址和偏好的語言。仔細考慮哪些應用程式和哪些帳戶可以使用此個人身分資訊。

您可以透過下列任一方式控制對此資訊的存取:

  • 您可以選擇僅在 AWS Organizations 管理帳戶或 中的所有帳戶中啟用存取權 AWS Organizations。

  • 或者,您可以使用服務控制政策 (SCPs) 來控制哪些應用程式可以存取 中帳戶的資訊 AWS Organizations。

例如,如果您只啟用 AWS Organizations 管理帳戶中的存取,則成員帳戶中的應用程式無法存取資訊。不過,如果您在所有帳戶中啟用存取,您可以使用 SCPs 來禁止除您想要允許的應用程式以外的所有應用程式存取。

服務控制政策是 的一項功能 AWS Organizations。如需連接 的指示SCP,請參閱 使用者指南中的連接和分離服務控制政策AWS Organizations

設定 IAM Identity Center 以共用身分資訊

IAM Identity Center 提供包含使用者和群組屬性的身分存放區,但不包括登入憑證。您可以使用下列其中一種方法,讓 IAM Identity Center 身分存放區中的使用者和群組保持最新狀態:

  • 使用 IAM Identity Center 身分存放區作為主要身分來源。如果您選擇此方法,您可以從 IAM Identity Center 主控台或 AWS Command Line Interface () 中管理使用者、登入憑證和群組AWS CLI。如需詳細資訊,請參閱在身分識別中IAM心管理身分

  • 設定從下列任一身分來源到 IAM Identity Center 身分存放區的使用者和群組佈建 (同步):

    如果您選擇此佈建方法,您將繼續從身分來源中管理使用者和群組,並將這些變更同步到IAM身分中心身分存放區。

無論您選擇哪個身分來源, IAM Identity Center 都可以與 AWS 受管應用程式共用使用者和群組資訊。如此一來,您可以將身分來源連線至 IAM Identity Center 一次,然後與 中的多個應用程式共用身分資訊 AWS 雲端。這樣就不需要為每個應用程式獨立設定聯合和身分佈建。此共用功能也可讓您的使用者輕鬆存取不同 中的許多應用程式 AWS 帳戶。

限制使用 AWS 受管應用程式

當您第一次啟用 IAM Identity Center 時, 會 AWS 允許在 中的所有帳戶中自動使用 AWS 受管應用程式 AWS Organizations。若要限制應用程式,您必須實作服務控制政策 (SCPs)。SCPs 是 的一項功能 AWS Organizations ,您可以使用 來集中控制組織中身分 (使用者和角色) 可以擁有的最大許可。您可以使用 SCPs 來封鎖 IAM Identity Center 使用者和群組資訊的存取權,並防止應用程式啟動,但在指定的帳戶中除外。如需詳細資訊,請參閱 使用者指南中的服務控制政策 (SCPs)AWS Organizations