SEC02-BP04 仰賴集中式身分提供者 - AWS 建構良好的架構
實作指引資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SEC02-BP04 仰賴集中式身分提供者

人力身分 (員工和承包商) 可仰賴身分供應商來集中管理身分。由於您是從單一位置建立、指派、管理、撤銷和稽核存取權,因此這樣一來可以更好管理多個應用程式和系統中的存取權。

預期成果:擁有集中式身分提供者,可集中管理員工使用者、身分驗證政策 (例如,要求多重要素驗證 (MFA)),以及對系統和應用程式進行授權 (例如,根據使用者的群組成員資格或屬性指派存取權)。您的員工使用者登入集中身分提供者並聯合 (單一登入) 至內部和外部應用程式,如此一來,使用者就不需記住多個憑證。您的身分提供者與您的人力資源 (HR) 系統整合,因此人事變更會自動同步至您的身分提供者。例如,若有人離開您的組織,您可以自動撤銷聯合應用程式和系統 (包括 AWS) 的存取權。您已在身分提供者中啟用詳細稽核日誌記錄,並監控這些日誌以找出不尋常的使用者行為。

常見的反模式:

  • 您未使用聯合和單一登入。您的員工使用者在多個應用程式和系統中建立了不同的使用者帳戶和憑證。

  • 您尚未將員工使用者的身分生命週期自動化,例如透過整合身分提供者與您的 HR 系統。使用者離開您的組織或變更職務時,您採取手動程序在多個應用程式和系統中刪除或更新記錄。

建立此最佳實務的優勢:透過使用集中式身分提供者,您就可以從單一位置管理員工使用者身分和政策,而且能夠將應用程式存取權指派給使用者和群組,並監控使用者登入活動。透過與您的人力資源 (HR) 系統整合,使用者變更職務時,這些變更就會同步至身分提供者,並自動更新指派的應用程式和許可。使用者離開您的組織時,系統會自動停用他們在身分提供者中的身分,並撤銷他們對聯合應用程式和系統的存取權。

未建立此最佳實務時的風險暴露等級:高

實作指引

員工使用者存取 AWS 的指引:員工使用者 (例如組織中的員工和承包商) 可能需要使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI) 存取 AWS 來執行其工作職能。您可以透過從集中式身分提供者,在兩個層級聯合至 AWS 的方式,將 AWS 存取權授予員工使用者:直接聯合至各個 AWS 帳戶,或聯合至您的 AWS 組織中的多個帳戶。

若要將您的員工使用者直接與各個 AWS 帳戶 聯合,您可以使用集中式身分提供者來聯合至該帳戶中的 AWS Identity and Access Management。IAM 的彈性可讓您啟用單獨的 SAML 2.0Open ID Connect (OIDC) 身分提供者用於各個 AWS 帳戶,並使用聯合身分使用者屬性進行存取控制。您的員工使用者將透過提供憑證 (例如密碼和 MFA 字符代碼) 的方式,使用自己的 Web 瀏覽器登入身分提供者。身分提供者會向其瀏覽器發出 SAML 聲明,並提交至 AWS Management Console 登入 URL,以允許使用者透過擔任 IAM 角色對 AWS Management Console 進行單一登入。您的使用者也可以取得暫時 AWS API 憑證,以便在 AWS CLIAWS SDK (從 AWS STS) 中使用,方法是使用來自身分提供者的 SAML 聲明擔任 IAM 角色

若要將您的員工使用者與 AWS 組織中的多個帳戶聯合,您可以使用 AWS IAM Identity Center 集中管理員工使用者對 AWS 帳戶 和應用程式的存取權。您可以為組織啟用 Identity Center,並設定您的身分來源。IAM Identity Center 提供了預設身分來源目錄,您可以使用此目錄來管理您的使用者和群組。或者,您可以選擇外部身分來源,方法是使用 SAML 2.0 連線至您的外部身分提供者,並使用 SCIM 自動佈建使用者和群組,或是使用 AWS Directory Service 連線至您的 Microsoft AD 目錄。身分來源設定後,您可以透過在您的許可集中定義最低許可政策的方式,指派使用者和群組對 AWS 帳戶 的存取權。您的員工使用者可以進行身分驗證的方式包括:透過您的集中身分提供者登入 AWS 存取入口網站以及對 AWS 帳戶 和指派給他們的雲端應用程式進行單一登入。您的使用者可以設定 AWS CLI v2 以透過 Identity Center 進行身分驗證,並取得憑證來執行 AWS CLI 命令。Identity Center 也允許透過單一登入方式存取 AWS 應用程式,例如 Amazon SageMaker AI StudioAWS IoT IoT Sitewise Monitor 入口網站

依照上述指引進行後,您的員工使用者在 AWS 上管理工作負載時,將不再需要使用 IAM 使用者 和群組,可直接正常操作。反之,您的使用者和群組將在 AWS 外部進行管理,而且使用者能夠以聯合身分存取 AWS 資源。聯合身分會使用您的集中式身分提供者所定義的群組。您應該識別並移除您的 AWS 帳戶 中不再需要的 IAM 群組、IAM 使用者和長期存在的使用者憑證 (密碼和存取金鑰)。您可以使用 IAM 憑證報告找到未使用的憑證刪除相應的 IAM 使用者刪除 IAM 群組。您可以對組織套用服務控制政策 (SCP) 以協助防止建立新的 IAM 使用者和群組,並強制透過聯合身分存取 AWS。

注意

您負責處理 SCIM 存取權杖的輪換,如自動佈建文件中所述。此外,您也負責輪換支援您的聯合身分的憑證。

應用程式使用者的指引:您可以使用 Amazon Cognito 做為您的集中式身分提供者,來管理應用程式 (例如行動應用程式) 使用者的身分。Amazon Cognito 可為您的 Web 和行動應用程式啟用身分驗證、授權和使用者管理功能。Amazon Cognito 提供了可擴展至數百萬使用者的身分存放區、可支援社交與企業聯合身分,並且提供進階安全功能來協助保護您的使用者和業務。您可以將自訂 Web 或行動應用程式與 Amazon Cognito 整合,在幾分鐘內就能在應用程式中新增使用者身分驗證和存取控制。Amazon Cognito 是以 SAML 和 Open ID Connect (OIDC) 等開放身分標準為基礎所建置,可支援各種不同的合規法規,並與前端和後端開發資源整合。

實作步驟

員工使用者存取 AWS 的步驟

  • 使用下列其中一種方法,透過集中式身分提供者將您的員工使用者聯合至 AWS:

    • 使用 IAM Identity Center 透過與您的身分提供者聯合,對您的 AWS 組織中的多個 AWS 帳戶 啟用單一登入。

    • 使用 IAM 將您的身分提供者直接連接到各個 AWS 帳戶,以實現聯合的精細存取。

  • 識別並移除已由聯合身分取代的 IAM 使用者和群組。

應用程式使用者的步驟

  • 使用 Amazon Cognito 作為應用程式的集中式身分提供者。

  • 使用 OpenID Connect 和 OAuth 將您的自訂應用程式與 Amazon Cognito 整合。您可以使用 Amplify 程式庫來開發自訂應用程式,這些程式庫提供了簡單的介面,可與各種不同的 AWS 服務進行整合,例如用於身分驗證的 Amazon Cognito。

資源

相關的最佳實務:

相關文件:

相關影片:

相關範例:

相關工具: