本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
SEC02-BP04 仰賴集中式身分提供者
人力身分 (員工和承包商) 可仰賴身分供應商來集中管理身分。由於您是從單一位置建立、指派、管理、撤銷和稽核存取權,因此這樣一來可以更好管理多個應用程式和系統中的存取權。
預期成果:擁有集中式身分提供者,可集中管理員工使用者、身分驗證政策 (例如,要求多重要素驗證 (MFA)),以及對系統和應用程式進行授權 (例如,根據使用者的群組成員資格或屬性指派存取權)。您的員工使用者登入集中身分提供者並聯合 (單一登入) 至內部和外部應用程式,如此一來,使用者就不需記住多個憑證。您的身分提供者與您的人力資源 (HR) 系統整合,因此人事變更會自動同步至您的身分提供者。例如,若有人離開您的組織,您可以自動撤銷聯合應用程式和系統 (包括 AWS) 的存取權。您已在身分提供者中啟用詳細稽核日誌記錄,並監控這些日誌以找出不尋常的使用者行為。
常見的反模式:
-
您未使用聯合和單一登入。您的員工使用者在多個應用程式和系統中建立了不同的使用者帳戶和憑證。
-
您尚未將員工使用者的身分生命週期自動化,例如透過整合身分提供者與您的 HR 系統。使用者離開您的組織或變更職務時,您採取手動程序在多個應用程式和系統中刪除或更新記錄。
建立此最佳實務的優勢:透過使用集中式身分提供者,您就可以從單一位置管理員工使用者身分和政策,而且能夠將應用程式存取權指派給使用者和群組,並監控使用者登入活動。透過與您的人力資源 (HR) 系統整合,使用者變更職務時,這些變更就會同步至身分提供者,並自動更新指派的應用程式和許可。使用者離開您的組織時,系統會自動停用他們在身分提供者中的身分,並撤銷他們對聯合應用程式和系統的存取權。
未建立此最佳實務時的風險暴露等級:高
實作指引
員工使用者存取 AWS 的指引:員工使用者 (例如組織中的員工和承包商) 可能需要使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 存取 AWS 來執行其工作職能。您可以透過從集中式身分提供者,在兩個層級聯合至 AWS 的方式,將 AWS 存取權授予員工使用者:直接聯合至各個 AWS 帳戶,或聯合至您的 AWS 組織中的多個帳戶。
若要將您的員工使用者直接與各個 AWS 帳戶 聯合,您可以使用集中式身分提供者來聯合至該帳戶中的 AWS Identity and Access Management
若要將您的員工使用者與 AWS 組織中的多個帳戶聯合,您可以使用 AWS IAM Identity Center
依照上述指引進行後,您的員工使用者在 AWS 上管理工作負載時,將不再需要使用 IAM 使用者 和群組,可直接正常操作。反之,您的使用者和群組將在 AWS 外部進行管理,而且使用者能夠以聯合身分存取 AWS 資源。聯合身分會使用您的集中式身分提供者所定義的群組。您應該識別並移除您的 AWS 帳戶 中不再需要的 IAM 群組、IAM 使用者和長期存在的使用者憑證 (密碼和存取金鑰)。您可以使用 IAM 憑證報告找到未使用的憑證,刪除相應的 IAM 使用者和刪除 IAM 群組。您可以對組織套用服務控制政策 (SCP) 以協助防止建立新的 IAM 使用者和群組,並強制透過聯合身分存取 AWS。
注意
您負責處理 SCIM 存取權杖的輪換,如自動佈建文件中所述。此外,您也負責輪換支援您的聯合身分的憑證。
應用程式使用者的指引:您可以使用 Amazon Cognito
實作步驟
員工使用者存取 AWS 的步驟
-
使用下列其中一種方法,透過集中式身分提供者將您的員工使用者聯合至 AWS:
-
使用 IAM Identity Center 透過與您的身分提供者聯合,對您的 AWS 組織中的多個 AWS 帳戶 啟用單一登入。
-
使用 IAM 將您的身分提供者直接連接到各個 AWS 帳戶,以實現聯合的精細存取。
-
-
識別並移除已由聯合身分取代的 IAM 使用者和群組。
應用程式使用者的步驟
-
使用 Amazon Cognito 作為應用程式的集中式身分提供者。
-
使用 OpenID Connect 和 OAuth 將您的自訂應用程式與 Amazon Cognito 整合。您可以使用 Amplify 程式庫來開發自訂應用程式,這些程式庫提供了簡單的介面,可與各種不同的 AWS 服務進行整合,例如用於身分驗證的 Amazon Cognito。
資源
相關的最佳實務:
相關文件:
相關影片:
相關範例:
相關工具: