本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 托管应用程序
Amazon 托管应用程序与 IAM Identity Center 集成,可以将其用于身份验证和目录服务。
Amazon 托管应用程序与 IAM Identity Center 的集成使您可以更轻松地分配用户访问权限,而无需为每个应用程序设置单独的联合或用户和群组同步。您只需连接一次要用于身份验证的身份源,即可获得用户和群组分配的单一视图。启用可信身份传播的应用程序的管理员可以根据用户或用户的群组成员资格定义和审核对其应用程序资源的访问权限,而无需将其映射到 IAM 角色。
Amazon 托管应用程序提供了一个管理用户界面,可用于管理对应用程序资源的访问。例如, QuickSight 管理员可以根据用户的群组成员资格为其分配访问仪表板的权限。大多数 Amazon 托管应用程序还提供允许您将用户分配给应用程序的 Amazon Web Services Management Console 体验。这些应用程序的控制台体验也许可以整合这两种功能,将用户分配功能与管理应用程序资源访问权限的能力结合起来。
Amazon 与 IAM 身份中心集成的托管应用程序包括:
Amazon 与 IAM 身份中心集成的托管应用程序 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Amazon 托管应用程序 | 与 IAM 身份中心的组织实例集成 | 与 IAM 身份中心的账户实例集成 | 通过 IAM 身份中心启用可信身份传播 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 Athena SQL | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon CodeCatalyst | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon CodeWhisperer | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 EMR 笔记本电脑 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 EC2 上的亚马逊 EMR | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EMR Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Kendra | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Managed Grafana | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Monitron | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Nimble Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Pinpoint | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon QuickSight | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Redshift | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 S3 访问授权 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 SageMaker Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon WorkSpaces Web | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon CLI | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon IoT Events | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon IoT Fleet Hub | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon IoT SiteWise | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Lake Formation | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Supply Chain | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Systems Manager | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Verified Access | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
主题
控制访问权限
通过两种方式控制对 Amazon 托管应用程序的访问:
-
应用程序的初始入口 - IAM Identity Center 通过对应用程序的分配对此进行管理。默认情况下, Amazon 托管应用程序需要分配。
-
对应用程序资源的访问权限 - 应用程序通过其控制的独立资源分配对此进行管理。
协调管理任务
如果您是应用程序管理员,可以选择是否需要针对应用程序进行分配。如果需要分配,则当用户登录 Amazon Web Services 访问门户时,只有直接或通过小组分配分配到应用程序的用户才能查看应用程序磁贴。或者,如果不需要分配,您可以允许所有 IAM Identity Center 用户进入应用程序。在这种情况下,应用程序管理对资源的访问权限,访问 Amazon Web Services 访问门户的所有用户都可以看到应用程序图块。
如果您是 IAM 身份中心管理员,则可以使用 IAM 身份中心控制台删除对 Amazon 托管应用程序的分配。在删除分配之前,我们建议您与应用程序管理员进行协调。如果您计划修改决定是否需要进行分配的设置,或者计划自动完成应用程序分配,也应该与应用程序管理员进行协调。
配置 IAM Identity Center 以共享身份信息
IAM Identity Center 提供了身份存储,其中包含用户和组属性,但不包括登录凭证。您可以使用以下任一方法来更新您的 IAM Identity Center 身份存储中的用户和组:
-
使用 IAM Identity Center 身份存储作为您的主身份源。如果您选择此方法,则可以从 IAM Identity Center 控制台或 Amazon Command Line Interface (Amazon CLI) 中管理您的用户、他们的登录凭证和群组。有关更多信息,请参阅 在 IAM Identity Center 管理身份。
-
将来自以下任一身份源的用户和组预调配(同步)到您的 IAM Identity Center 身份存储:
-
Active Directory - 有关更多信息,请参阅 连接到 Microsoft AD 目录。
-
外部身份提供商 - 有关更多信息,请参阅 连接到外部身份提供商。
如果您选择这种预调配方法,则可以继续从您的身份源中管理您的用户和组,这些更改将同步到 IAM Identity Center 身份存储。
-
无论您选择哪种身份来源,IAM Identity Center 都可以与 Amazon 托管应用程序共享用户和群组信息。这样,您就可以将身份源连接到 IAM Identity Center 一次,然后与 Amazon Web Services 云中的多个应用程序共享身份信息。这样就无需为每个应用程序单独设置联合身份验证和身份预调配。此共享功能还可以让用户轻松访问不同 Amazon Web Services 账户中的许多应用程序。
在中共享身份信息的注意事项 Amazon Web Services 账户
IAM Identity Center 支持各种应用程序中最常用的属性。这些属性包括名字和姓氏、电话号码、电子邮件地址、住址和首选语言。请仔细考虑哪些应用程序和哪些账户可以使用这些个人身份信息。
您可以通过以下任一方式控制对这些信息的访问。您可以选择仅在 Amazon Organizations 管理账户中启用访问权限,也可以选择在中的所有账户中启用访问权限 Amazon Organizations。或者,您也可以使用服务控制策略 (SCP) 控制哪些应用程序可以访问 Amazon Organizations中哪些账户的信息。例如,如果您仅在 Amazon Organizations 管理账户中启用访问权限,则成员账户中的应用程序将无法访问信息。但是,如果您在所有账户中启用访问权限,则可以使用 SCP 禁止除您想要授予权限的应用程序之外的其他应用程序进行访问。
限制 Amazon 托管应用程序的使用
首次启用 IAM Identity Center 时, Amazon 允许在中的所有账户中自动使用 Amazon 托管应用程序 Amazon Organizations。要限制应用程序访问,必须采用 SCP。您可以使用 SCP 阻止对 IAM Identity Center 用户和组信息的访问,并阻止除指定账户以外的账户启动应用程序。
查看 Amazon 托管的应用程序的详细信息
使用应用程序的控制台或 API 将 Amazon 托管应用程序连接到 IAM Identity Center 后,该应用程序将在 IAM Identity Center 中注册。应用程序注册到 IAM Identity Center 后,您可以在 IAM Identity Center 控制台查看有关该应用程序的详细信息。
在 IAM 身份中心控制台中查看有关 Amazon 托管应用程序的信息
-
选择应用程序。
-
选择 Amazon 托管的应用程序选项卡。
-
在应用程序列表中,选择要查看其详细信息的应用程序名称。
-
关于应用程序的信息包括是否需要分配用户和组,如果适用,还包括分配的用户和组,以及用于身份传播的可信应用程序。有关可信身份传播的信息,请参阅 跨应用程序的可信身份传播。
禁用 Amazon 托管应用程序
要防止用户对 Amazon 托管应用程序进行身份验证,您可以在 IAM Identity Center 控制台中禁用该应用程序。
警告
禁用应用程序会删除该应用程序的所有用户权限,断开该应用程序与 IAM Identity Center 的连接,并使该应用程序无法访问。如果您是 IAM Identity Center 管理员,我们建议您在执行此任务之前与应用程序管理员进行协调。
禁用 Amazon 托管应用程序
-
选择应用程序。
-
在应用程序页面上的 Amazon 托管的应用程序下,选择要禁用的应用程序。
-
选择应用程序后,选择操作,然后选择禁用。
-
在暂停应用程序对话框中,选择暂停。
-
在 Amazon 托管的应用程序列表中,应用程序的状态会显示为非活动。