本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
什麼是 IAM 身分中心?
AWS IAM Identity Center 建議用 AWS 服務 於管理人類使用者對 AWS 資源的存取。在單一位置,您可以在其中指派員工使用者,也稱為workforce identities對多個應用程式 AWS 帳戶 和應用程式的一致存取權。IAM 身分中心不收取額外費用。
透過 IAM 身分中心,您可以建立或連結員工使用者,並集中管理其所有使用者 AWS 帳戶 和應用程式的存取權限。您可以使用多帳戶權限將您的員工使用者存取權指派給。 AWS 帳戶您可以使用應用程式指派,為使用者指派 AWS 受管理和客戶管理應用程式的存取權。
注意
雖然服務名稱 Single Sig AWS n-On 已淘汰,但在本指南中仍會使用「單一登入」一詞來描述驗證配置,讓使用者一次登入以存取多個應用程式和網站。
IAM 身分識別中心功能
IAM 身分識別中心包含下列核心功能和功能:
- 管理員工身分
-
在其中建立或操作工作負載的人類使 AWS 用者也稱為勞動力使用者或員工身分識別。員工使用者是指您允許在組織和內部商務應用程式 AWS 帳戶 中存取的員工或承包商。這些人員可能是構建內部和面向客戶的系統的開發人員,或內部數據庫系統和應用程序的用戶。您可以在 IAM Identity Center 中建立員工使用者和群組,或連線並同步至您自己身分識別來源中的一組現有使用者和群組,以便在所有應用程式 AWS 帳戶 和應用程式中使用。如需詳細資訊,請參閱 管理身分識別來源。
- 管理 IAM 身分中心的執行個體
-
IAM 身分中心支援兩種類型的執行個體:組織執行個體和帳戶執行個體。組織執行個體是最佳做法。這是唯一可讓您管理存取權的執行個體 AWS 帳戶 ,建議您用於應用程式的所有生產環境。組織執行個體會部署在 AWS Organizations 管理帳戶中,並提供單一點來管理整個 AWS 環境中的使用者存取權。
帳戶實例綁定 AWS 帳戶 到啟用它們的。僅使用 IAM 身分中心的帳戶執行個體來支援特定 AWS 受管應用程式的隔離部署。如需詳細資訊,請參閱 管理 IAM 身分中心的組織和帳戶執行個體。
- 管理多個存取 AWS 帳戶
-
透過多帳戶權限,您可以一次規劃並集中實作多個 AWS 帳戶 帳戶的權限,而無需手動設定每個帳戶。您可以根據一般工作職能建立權限,或定義符合安全性需求的自訂權限。然後,您可以將這些權限指派給員工使用者,以控制他們對特定帳戶的存取權。
此選用功能僅適用於組織實例。如果您在環境中使用每個帳戶的 IAM 角色管理,則這兩個系統都可以共存。如果您想嘗試使用多帳戶權限,您可以先在有限的基礎上實施此系統,然後隨著時間的推移遷移更多環境以使用此系統。
- 管理應用程式的存取
-
IAM 身分識別中心可讓您簡化應用程式存取管理。透過 IAM 身分中心,您可以在 IAM 身分中心單一登入應用程式授與員工使用者。
- AWS 受管理應用
-
AWS 提供與 IAM 身分中心整合的應用程式,例如 Amazon 受管的 Grafana 和亞馬遜監控。 Amazon Redshift這些應用程式可以使用 IAM 身分中心進行身分驗證、目錄服務和受信任的身分傳播。您的使用者受益於一致的單一登入體驗,而且由於應用程式共用使用者、群組和群組成員資格的共同檢視,因此使用者在與其他人共用應用程式資源時也能獲得一致的體驗。您可以將 AWS 受管應用程式設定為直接從相關應用程式主控台內或透過 API 使用 IAM 身分中心。
- 客戶管理的應用
-
您可以在 IAM 身分中心單一登入授與員工使用者存取支援 SAML 2.0 聯合身分識別的應用程式。許多常用的 SAML 2.0 應用程式 (例如 Salesforce 和 Microsoft 365) 都可以與 IAM 身分識別中心搭配使用,並可在 IAM 身分中心主控台的應用程式目錄中取得。如果您使用這類應用程式,並在 IAM 身分識別中心中建立使用者和群組,或者您使用 Microsoft Active Directory 網域服務做為身分識別來源,這是一項選用功能,可能會很有幫助。
- 跨應用程式的可信身分傳播
-
受信任的身分傳播可為需要存取 AWS 服務中資料的查詢工具和商業智慧 (BI) 應用程式的使用者提供簡化的單一登入體驗。資料存取管理是以使用者的身分為基礎,因此管理員可以根據使用者現有的使用者和群組成員資格授與存取權。使用者對 AWS 服務和其他事件的存取權會記錄在服務特定記錄檔和 CloudTrail 事件中,以便稽核人員知道使用者採取了哪些動作,以及使用者存取的資源。
- AWS 為您的使用者存取入口網站
-
AWS 存取入口網站是一個簡單的入口網站,可讓您的使用者順暢存取所有指派的應用程式 AWS 帳戶 和應用程式。
IAM 身分中心重新命名
2022 年 7 月 26 日,「 AWS 單一登入」已重新命名為 AWS IAM Identity Center。對於現有客戶而言,下表旨在說明本指南中因重新命名而更新的一些較常見的術語變更。
| 舊版術語 | 目前任期 |
|---|---|
| AWS SSO 使用者或 SSO 使用者 | 員工使用者或使用者 |
| AWS SSO 使用者入口網站或用戶入口 | AWS 訪問門戶 |
| AWS SSO 整合式應用程式 | AWS 受管理應用 |
| AWS SSO 目錄 | Identity Center 目錄 |
| AWS SSO 存放區或 AWS SSO 身分識別存放區 | IAM 身分中心使用的身分存放區 |
下表說明此重新命名也發生的適用使用者、開發人員和 API 參考指南名稱變更。
| 舊版指南 | 目前的指南 |
|---|---|
| AWS 單一登入使用者指南 | IAM 身分中心使用者指南 |
| AWS 單一登入 SCIM 實作開發人員指南 | IAM 身分識別中心 SCIM 實作開發人員指南 |
| AWS 單一登入 API 參考指南 | IAM 身分識別中心 API 參考 |
| AWS 單一登入身分識別存放區 API 參考指 | 識別身分存放區 API 參 |
| AWS 單一登入 OIDC API 參考指南 | 身分識別中心 OIDC API 參考 |
| AWS 單一登入入口網站 API 參考指南 | IAM 身分中心入口網站 API 參考 |
舊版命名空間保持不變
出於向後兼容性目的,sso和 identitystore API 命名空間以及以下相關命名空間保持不變。
-
CLI 命令
-
包含
AWSSSO和AWSIdentitySync前置詞的受管理策略 -
包含
sso和的服務端點identitystore -
AWS CloudFormation包含
AWS::SSO前綴的資源 -
服務連結角色:
AWSServiceRoleForSSO -
包含
sso和的主控台 URLsinglesignon -
文件網址包含
singlesignon
