Amazon 托管应用程序 - Amazon IAM Identity Center
控制对应用程序的访问权限共享身份信息 限制 Amazon 托管应用程序的使用
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon 托管应用程序

Amazon IAM Identity Center 简化并简化了将员工用户连接到 Amazon Q Developer 和 Amazon 等 Amazon 托管应用程序的任务。 QuickSight借助 IAM Identity Center,您可以连接现有身份提供者一次并同步目录中的用户和组,或者直接在 IAM Identity Center 中创建和管理用户。通过提供一个联合身份验证点,IAM Identity Center 将免除为每个应用程序设置联合身份验证或用户和组同步的需要,以此减少您的管理工作。您还可以大致查看用户和组分配

有关与 IAM 身份中心配合使用的 Amazon 应用程序表,请参阅Amazon 可与 IAM 身份中心配合使用的托管应用程序

控制对 Amazon 托管应用程序的访问权限

通过两种方式控制对 Amazon 托管应用程序的访问:

  • 应用程序的初始入口

    IAM Identity Center 通过对应用程序的分配对此进行管理。默认情况下, Amazon 托管应用程序需要分配。如果您是应用程序管理员,可以选择是否需要针对应用程序进行分配。

    如果需要分配,当用户登录 Amazon Web Services 访问门户时,只有直接或通过组分配分配至应用程序的用户才能查看应用程序磁贴。

    如果不需要分配,您可以允许所有 IAM Identity Center 用户进入应用程序。在这种情况下,应用程序将管理对资源的访问权限,访问 Amazon Web Services 访问门户的所有用户都可以看到该应用程序磁贴。

    重要

    如果您是 IAM 身份中心管理员,则可以使用 IAM Identity Center 控制台删除对 Amazon 托管应用程序的分配。在删除分配之前,我们建议您与应用程序管理员进行协调。如果您计划修改决定是否需要进行分配的设置,或者计划自动完成应用程序分配,也应该与应用程序管理员进行协调。

  • 对应用程序资源的访问权限

    应用程序通过其控制的独立资源分配对此进行管理。

Amazon 托管应用程序提供了一个管理用户界面,您可以使用该界面来管理对应用程序资源的访问权限。例如, QuickSight 管理员可以根据用户的群组成员资格为其分配访问仪表板的权限。大多数 Amazon 托管应用程序还提供允许您将用户分配给应用程序的 Amazon Web Services Management Console 体验。这些应用程序的控制台体验也许可以整合这两种功能,将用户分配功能与管理应用程序资源访问权限的能力结合起来。

共享身份信息

在中共享身份信息的注意事项 Amazon Web Services 账户

IAM Identity Center 支持各种应用程序中最常用的属性。这些属性包括名字和姓氏、电话号码、电子邮件地址、住址和首选语言。请仔细考虑哪些应用程序和哪些账户可以使用这些个人身份信息。

您可以通过以下任一方式控制对此信息的访问:

  • 您可以选择仅在 Amazon Organizations 管理账户中启用访问权限,也可以选择在中的所有账户中启用访问权限 Amazon Organizations。

  • 或者,您可以使用服务控制策略 (SCPs) 来控制哪些应用程序可以访问哪些账户中的信息 Amazon Organizations。

例如,如果您仅在 Amazon Organizations 管理账户中启用访问权限,则成员账户中的应用程序将无法访问信息。但是,如果您在所有账户中启用访问权限,则可以使用 SCPs 禁止除您想要允许的应用程序之外的所有应用程序进行访问。

服务控制策略是的一项功能 Amazon Organizations。有关附加 SCP 的说明,请参阅 Amazon Organizations 用户指南中的附加和分离服务控制策略

配置 IAM Identity Center 以共享身份信息

IAM Identity Center 提供了身份存储,其中包含用户和组属性,但不包括登录凭证。您可以使用以下任一方法来更新您的 IAM Identity Center 身份存储中的用户和组:

  • 使用 IAM Identity Center 身份存储作为您的主身份源。如果您选择此方法,则可以从 IAM Identity Center 控制台或 Amazon Command Line Interface (Amazon CLI) 中管理您的用户、他们的登录凭证和群组。有关更多信息,请参阅 在 IAM Identity Center 管理身份

  • 将来自以下任一身份源的用户和组预调配(同步)到您的 IAM Identity Center 身份存储:

    如果您选择这种预调配方法,则可以继续从您的身份源中管理您的用户和组,这些更改将同步到 IAM Identity Center 身份存储。

无论您选择哪种身份来源,IAM Identity Center 都可以与 Amazon 托管应用程序共享用户和群组信息。这样,您就可以将身份源连接到 IAM Identity Center 一次,然后与 Amazon Web Services 云中的多个应用程序共享身份信息。这样就无需为每个应用程序单独设置联合身份验证和身份预调配。此共享功能还可以让用户轻松访问不同 Amazon Web Services 账户中的许多应用程序。

限制 Amazon 托管应用程序的使用

首次启用 IAM Identity Center 时, Amazon 允许在中的所有账户中自动使用 Amazon 托管应用程序 Amazon Organizations。要限制应用程序,必须实施服务控制策略 (SCPs)。 SCPs 是其中的 Amazon Organizations 一项功能,可用于集中控制组织中的身份(用户和角色)可以拥有的最大权限。您可以使用 SCPs 来阻止访问 IAM Identity Center 用户和群组信息,并阻止应用程序启动,但指定账户除外。有关更多信息,请参阅《Amazon Organizations 用户指南》中的服务控制策略 (SCPs)