IAM身分識別中心 AD 同步 - AWS IAM Identity Center

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM身分識別中心 AD 同步

透過IAM身分識別中心 AD 同步處理,您可以使用IAM身分識別中心將 Active Directory 中的使用者和群組指派給 AWS 帳戶 和到 AWS 受管理應用程式或客戶管理的應用 具有指派的所有身分都會自動同步至身分IAM識別中心。

IAM身分識別中心 AD 同步如何運作

IAM身分識別中心會使用下列程序,重新整理身分識別存放區中的 AD 型身分識別資料

建立

當您將使用者或群組指派給 AWS 帳戶 或使用應用程式 AWS 主控台或指派API呼叫、使用者、群組和成員資格的相關資訊會定期同步至 IAM Identity Center 識別身分存放區。新增至IAM身分識別中心指派的使用者或群組通常會顯示在 AWS 兩小時內的識別身分存放區。視同步處理的資料量而定,此程序可能需要更長的時間。只有直接指派存取權的使用者和群組,或是指派存取權之群組成員的使用者和群組才會進行同步處理。

身為其他群組 (稱為巢狀群組) 成員的群組也會寫入識別身分存放區。當您指派給 Active Directory 中包含巢狀群組的群組時,套用指派的方式取決於您使用 AD 同步還是可設定的 AD 同步。

  • AD 同步 — 當您指派給 Active Directory 中包含巢狀群組的群組時,只有群組的直屬成員可以存取該帳戶。例如,如果您將存取權指派給群組 A,而群組 B 是群組 A 的成員,則只有群組 A 的直屬成員可以存取該帳戶。群組 B 的成員不會繼承存取權。

  • 設定的 AD 同步 — 使用可設定的 AD 同步,將指派給 Active Directory 中包含巢狀群組的群組,可能會增加具有存取權限的使用者範圍 AWS 帳戶 或應用程序。在此情況下,指派會套用至所有使用者,包括巢狀群組中的使用者。例如,如果您將存取權指派給群組 A,而群組 B 是群組 A 的成員,則群組 B 的成員也會繼承此存取權。

如果使用者在第一次同步化其使用者物件之前存取 IAM Identity Center,則會使用 just-in-time (JIT) 佈建視需求建立該使用者的識別身分識別存放區物件。除非直接指派或以群組為基礎的 IAM Identity Center 權利,否則透過JIT佈建建建立的使用者不會同步處理。JIT提供之使用者的群組成員資格在同步之後才能使用。

如需如何將存取權指派給使用者 AWS 帳戶,請參閱對 的單一登入存取權 AWS 帳戶

更新

識別中心身分識別存放區中的IAM身分識別資料會定期讀取 Active Directory 中的來源目錄中的資料,以保持最新狀態。在使用中目錄中變更的身分識別資料通常會出現在 AWS 四小時內的身分識別存放區。視同步處理的資料量而定,此程序可能需要更長的時間。

使用者和群組物件及其成員資格會在IAM識別中心中建立或更新,以對應至 Active Directory 中來源目錄中的對應物件。對於使用者屬性,只有 IAM Identity Center 主控台的 [管理存取控制的屬性] 區段中列出的屬性子集會在 IAM Identity Center 中更新。此外,使用者屬性會隨每個使用者驗證事件更新。

刪除

從 Active Directory 中的來源目錄中IAM刪除對應的使用者或群組物件時,會從識別中心識別身分存放區中刪除使用者和群組。