SEC02-BP04 依賴集中式身分提供者

人力身分 (員工和承包商) 可仰賴身分供應商來集中管理身分。由於您是從單一位置建立、指派、管理、撤銷和稽核存取權，因此這樣一來可以更好管理多個應用程式和系統中的存取權。

預期結果：您擁有集中式身分提供者，可讓您集中管理人力資源使用者、身分驗證政策（例如需要多重要素身分驗證（MFA）），以及系統和應用程式的授權（例如根據使用者的群組成員資格或屬性指派存取權）。您的員工使用者登入集中身分提供者並聯合 (單一登入) 至內部和外部應用程式，如此一來，使用者就不需記住多個憑證。您的身分提供者與您的人力資源 (HR) 系統整合，因此人事變更會自動同步至您的身分提供者。例如，如果有人離開您的組織，您可以自動撤銷對聯合應用程式和系統的存取權（包括 AWS）。您已在身分提供者中啟用詳細稽核日誌記錄，並監控這些日誌以找出不尋常的使用者行為。

常見的反模式：

您未使用聯合和單一登入。您的員工使用者在多個應用程式和系統中建立了不同的使用者帳戶和憑證。
您尚未將員工使用者的身分生命週期自動化，例如透過整合身分提供者與您的 HR 系統。使用者離開您的組織或變更職務時，您採取手動程序在多個應用程式和系統中刪除或更新記錄。

建立此最佳實務的優勢：透過使用集中式身分提供者，您就可以從單一位置管理員工使用者身分和政策，而且能夠將應用程式存取權指派給使用者和群組，並監控使用者登入活動。透過與您的人力資源 (HR) 系統整合，使用者變更職務時，這些變更就會同步至身分提供者，並自動更新指派的應用程式和許可。使用者離開您的組織時，系統會自動停用他們在身分提供者中的身分，並撤銷他們對聯合應用程式和系統的存取權。

未建立此最佳實務時的風險暴露等級：高

實作指引

員工使用者存取 AWS的指引

組織中的員工和承包商這類人力使用者可能需要 AWS 使用 AWS Management Console 或 AWS Command Line Interface （AWS CLI）來執行其工作職能。您可以透過從您的集中式身分提供者聯合到 AWS 兩個層級，將 AWS 存取權授予您的人力資源使用者：將聯合導向至組織中的每個帳戶， AWS 帳戶或聯合至AWS 組織中的多個帳戶。

若要將人力資源使用者直接與每個聯合 AWS 帳戶，您可以使用集中身分提供者在該AWS Identity and Access Management帳戶中聯合到。的彈性IAM可讓您為每個啟用單獨的 SAML 2.0 或 Open ID Connect （OIDC） Identity Provider， AWS 帳戶並使用聯合使用者屬性進行存取控制。您的人力資源使用者將使用其 Web 瀏覽器，提供其憑證（例如密碼和MFA權杖代碼）來登入身分提供者。身分提供者會向其瀏覽器發出SAML宣告，並提交至 AWS Management Console 登入，URL以允許使用者AWS Management Console 透過擔任IAM角色進行單一登入。您的使用者也可以透過使用身分提供者的SAML聲明來擔任IAM角色，取得臨時 AWS API憑證，以便在 AWS CLI或AWS SDKs來自 AWS STS 使用。
若要將人力資源使用者與 AWS 組織中的多個帳戶聯合，您可以使用 AWS IAM Identity Center 來集中管理人力資源使用者對 AWS 帳戶和應用程式的存取權。您可以為組織啟用 Identity Center，並設定您的身分來源。IAM Identity Center 提供預設的身分來源目錄，可用來管理使用者和群組。或者，您可以使用 2.0 SAML 連接至外部身分提供者，並使用自動佈建使用者和群組，或使用連接至 Microsoft AD Directory，以選擇外部身分來源。 https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html SCIM https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html AWS Directory Service設定身分來源後，您可以透過在許可集中 AWS 帳戶定義最低權限政策，將存取權指派給使用者和群組。您的員工使用者可以進行身分驗證的方式包括：透過您的集中身分提供者登入 AWS 存取入口網站以及對 AWS 帳戶和指派給他們的雲端應用程式進行單一登入。您的使用者可以將 AWS CLI v2 設定為與 Identity Center 進行身分驗證，並取得憑證來執行 AWS CLI 命令。Identity Center 也允許在存取 Amazon SageMaker Studio 和 AWS IoT Sitewise Monitor 入口網站等 AWS 應用程式時進行單一登入。

遵循上述指引之後，您的人力資源使用者在管理上的工作負載時，不再需要將IAM使用者和群組用於一般操作 AWS。反之，您的使用者和群組是在外部進行管理， AWS 使用者能夠以聯合身分 的形式存取 AWS 資源。聯合身分會使用您的集中式身分提供者所定義的群組。您應該識別並移除不再需要的IAM群組、IAM使用者和長期使用者憑證（密碼和存取金鑰） AWS 帳戶。您可以使用憑證報告找到未使用的 IAM憑證、刪除對應的IAM使用者，以及刪除IAM群組。您可以將 Service Control 政策（SCP）套用至您的組織，以協助防止建立新的IAM使用者和群組，強制執行存取 AWS 是透過聯合身分。

應用程式使用者的指引

您可以使用 Amazon Cognito 作為您的集中式身分提供者來管理應用程式 (例如行動應用程式) 使用者的身分。Amazon Cognito 可為您的 Web 和行動應用程式啟用身分驗證、授權和使用者管理功能。Amazon Cognito 提供了可擴展至數百萬使用者的身分存放區、可支援社交與企業聯合身分，並且提供進階安全功能來協助保護您的使用者和業務。您可以將自訂 Web 或行動應用程式與 Amazon Cognito 整合，在幾分鐘內就能在應用程式中新增使用者身分驗證和存取控制。Amazon Cognito 以開放式身分標準為基礎，例如 SAML和 Open ID Connect （OIDC），支援各種合規法規，並與前端和後端開發資源整合。

實作步驟

員工使用者存取 AWS的步驟

使用下列其中一種方法，聯合您的人力資源使用者 AWS 使用集中式身分提供者：
- 使用 IAM Identity Center 透過與您的身分提供者聯合，啟用 AWS 帳戶 AWS 組織中的多個單一登入。
- 使用 IAM將您的身分提供者直接連接到每個 AWS 帳戶，啟用聯合精細存取。
識別並移除被聯合身分取代IAM的使用者和群組。

應用程式使用者的步驟

使用 Amazon Cognito 作為應用程式的集中式身分提供者。
使用 OpenID Connect 和將自訂應用程式與 Amazon Cognito 整合OAuth。您可以使用 Amplify 程式庫來開發自訂應用程式，該程式庫提供簡單的介面來與各種 AWS 服務整合，例如 Amazon Cognito 進行身分驗證。

資源

相關 Well-Architected 的最佳實務：

相關文件：

相關影片：

相關範例：

相關工具：

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

SEC02-BP03 安全地存放和使用秘密

SEC02-BP05 定期稽核和輪換憑證