管理存取 AWS 帳戶 - AWS IAM Identity Center
AWS 帳戶 類型 指派 AWS 帳戶 存取權 使用者體驗強制執行和限制存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

管理存取 AWS 帳戶

AWS IAM Identity Center 與整合 AWS Organizations,可讓您集中管理多個帳戶的權限, AWS 帳戶 而無需手動設定每個帳戶。您可以定義權限並將這些權限指派給員工使用者,以控制他們對特定的存取權限 AWS 帳戶。

AWS 帳戶 類型

AWS 帳戶 中有兩種類型 AWS Organizations:

  • 管理帳戶- AWS 帳戶 用於創建組織。

  • 成員帳戶-屬於組織的其餘部分。 AWS 帳戶

如需有關 AWS 帳戶 類型的詳細資訊,請參閱AWS Organizations 使用指南中的AWS Organizations 術語和概念

您也可以選擇將成員帳戶註冊為 IAM 身分中心的委派管理員。此帳戶中的使用者可以執行大部分的 IAM 身分中心管理任務。如需詳細資訊,請參閱 委派管理

對於每個任務和帳戶類型,下表指出帳戶中的使用者是否可以執行 IAM 身分中心管理任務。

IAM 身分識別中心管理工作 成員帳戶 委派管理員帳戶 管理帳戶
讀取使用者或群組 (讀取群組本身和群組的成員資格)
新增、編輯或刪除使用者或群組
啟用或停用使用者存取
啟用、停用或管理內送屬性
變更或管理身分識別來源
建立、編輯或刪除應用程式
設定 MFA
管理未在管理帳戶中佈建的權限集
管理管理帳戶中佈建的權限集
啟用 IAM Identity Center
刪除 IAM 身分中心組態
啟用或停用管理帳戶中的使用者存取
以委派管理員身分註冊或取消註冊成員帳戶

指派 AWS 帳戶 存取權

您可以使用權限集來簡化組織中的使用者和群組指派存取權的方式 AWS 帳戶。權限集會儲存在 IAM 身分中心,並定義使用者和群組必須存取的存取層級 AWS 帳戶。您可以建立單一權限集,並將其指派給組織 AWS 帳戶 內的多個權限集。您也可以將多個權限集指派給相同的使用者。

如需許可集合的詳細資訊,請參閱建立、管理及刪除權限集

注意

您也可以將應用程式的單一登入存取權指派給使用者。如需相關資訊,請參閱管理應用程式的存取

使用者體驗

AWS 存取入口網站可讓 IAM 身分中心使用者透過入口網站存取其所有指派 AWS 帳戶 和應用程式的單一登入存取權。 AWS 存取入口網站與管理 AWS 資源的服務主控台集合不同。AWS Management Console

當您建立權限集時,您為權限集指定的名稱會以可用角色的形式出現在 AWS 存取入口網站中。使用者登入 AWS 存取入口網站,選擇一個 AWS 帳戶,然後選擇角色。選擇角色之後,他們可以使用 AWS Management Console 或擷取暫時認證以程式設計方式存取 AWS 服務來存取 AWS 服務。

若要開啟 AWS Management Console 或擷取暫時認證以 AWS 程式設計方式存取,使用者必須完成下列步驟:

  1. 使用者會開啟瀏覽器視窗,並使用您提供的登入 URL 導覽至 AWS 存取入口網站。

  2. 他們使用其目錄認證登入 AWS 存取入口網站。

  3. 驗證之後,在 AWS 存取入口網站頁面上,他們選擇 [帳戶] 索引標籤, AWS 帳戶 以顯示他們有權存取的清單。

  4. 然後,用戶選擇 AWS 帳戶 他們想要使用的。

  5. 在名稱下方 AWS 帳戶,將使用者指派給的任何權限集都會顯示為可用角色。例如,如果您john_stiles將使用者指派給PowerUser權限集,則該角色會在 AWS 存取入口網站中顯示為PowerUser/john_stiles。獲得指派多個許可集合的使用者選擇要使用的 角色。使用者可以選擇要存取的角色 AWS Management Console。

  6. 除了角色之外, AWS 存取入口網站使用者還可以選擇 [存取金鑰],擷取命令列或程式設計存取的臨時認證。

如需可 step-by-step 提供給員工使用者的指引,請參閱使用 AWS 存取入口網站取得 AWS CLI 或 AWS SDK 的 IAM 身分中心使用者登入資料

強制執行和限制存取

啟用 IAM 身分中心時,IAM 身分中心會建立服務連結角色。您也可以使用服務控制原則 (SCP)。

委派和強制執行存取

務連結角色是直接連結至 AWS 服務的 IAM 角色類型。啟用 IAM 身分中心後,IAM 身分中心就可以在組織中的每個 AWS 帳戶 角色中建立服務連結角色。此角色提供預先定義的許可,可讓 IAM Identity Center 委派和強制執行哪些使用者對您組織中特定的特 AWS 帳戶 定使用者具有單一登入存取權 AWS Organizations。您必須指派一個或多個可存取帳戶的使用者,才能使用此角色。如需詳細資訊,請參閱 服務連結角色針對 IAM 身分中心使用服務連結角色

限制從成員帳戶存取身分識別存放區

對於 IAM 身分中心使用的身分識別存放區服務,具有成員帳戶存取權限的使用者可以使用需要取權限的 API 動作。成員帳戶可以存取 sso-directory識別存放區命名空間上的「取」動作。如需詳細資訊,請參閱服務授權參考中 AWS 識別身分存放區的 AWS IAM Identity Center 目錄和動作、資源和條件金鑰的動作、資源和條件金鑰。

若要防止成員帳戶中的使用者使用身分識別存放區中的 API 作業,您可以附加服務控制原則 (SCP)。SCP 是一種組織原則,可用來管理組織中的權限。下列範例 SCP 可防止成員帳戶中的使用者存取身分識別存放區中的任何 API 作業。

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": "identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
注意

限制成員帳戶的存取權限可能會損害啟用 IAM 身分中心的應用程式中的功能。

如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的服務控制政策 (SCP)