本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 托管应用程序
Amazon 托管应用程序与 IAM Identity Center 集成,可以将其用于身份验证和目录服务。
Amazon 托管应用程序与 IAM Identity Center 的集成使您可以更轻松地分配用户访问权限,而无需为每个应用程序设置单独的联合或用户和群组同步。您只需连接一次要用于身份验证的身份源,即可获得用户和群组分配的单一视图。启用可信身份传播的应用程序的管理员可以根据用户或用户的群组成员资格定义和审核对其应用程序资源的访问权限,而无需将其映射到 IAM 角色。
Amazon 托管应用程序提供了一个管理用户界面,您可以使用该界面来管理对应用程序资源的访问权限。例如, QuickSight 管理员可以根据用户的群组成员资格为其分配访问仪表板的权限。大多数 Amazon 托管应用程序还提供允许您将用户分配给应用程序的 Amazon Web Services Management Console 体验。这些应用程序的控制台体验也许可以整合这两种功能,将用户分配功能与管理应用程序资源访问权限的能力结合起来。
Amazon 与 IAM 身份中心集成的托管应用程序包括:
Amazon 与 IAM 身份中心集成的托管应用程序 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| Amazon 托管应用程序 | 与 IAM 身份中心的组织实例集成 | 与 IAM 身份中心的账户实例集成 | 通过 IAM 身份中心启用可信身份传播 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 Athena SQL | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon CodeCatalyst | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 EMR 笔记本电脑 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 EC2 上的亚马逊 EMR | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EMR Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Kendra | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Managed Grafana | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Monitron | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Nimble Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Pinpoint | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Q Business | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Q 开发者版 | |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon QuickSight | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Redshift | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 S3 访问授权 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 亚马逊 SageMaker Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon WorkSpaces Web | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon CLI | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Deadline Cloud | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon IoT Events | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon IoT Fleet Hub | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon IoT SiteWise | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Lake Formation | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Supply Chain | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Systems Manager | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Verified Access | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
* 除非您的用户需要在 Amazon 控制台中访问 Amazon Q,否则支持 IAM 身份中心的账户实例。
主题
控制访问权限
通过两种方式控制对 Amazon 托管应用程序的访问:
-
应用程序的初始入口 - IAM Identity Center 通过对应用程序的分配对此进行管理。默认情况下, Amazon 托管应用程序需要分配。
-
对应用程序资源的访问权限 - 应用程序通过其控制的独立资源分配对此进行管理。
协调管理任务
如果您是应用程序管理员,可以选择是否需要针对应用程序进行分配。如果需要分配,则当用户登录 Amazon Web Services 访问门户时,只有直接或通过小组分配分配到应用程序的用户才能查看应用程序磁贴。或者,如果不需要分配,您可以允许所有 IAM Identity Center 用户进入应用程序。在这种情况下,应用程序管理对资源的访问权限,访问 Amazon Web Services 访问门户的所有用户都可以看到应用程序图块。
如果您是 IAM 身份中心管理员,则可以使用 IAM Identity Center 控制台删除对 Amazon 托管应用程序的分配。在删除分配之前,我们建议您与应用程序管理员进行协调。如果您计划修改决定是否需要进行分配的设置,或者计划自动完成应用程序分配,也应该与应用程序管理员进行协调。
配置 IAM Identity Center 以共享身份信息
IAM Identity Center 提供了身份存储,其中包含用户和组属性,但不包括登录凭证。您可以使用以下任一方法来更新您的 IAM Identity Center 身份存储中的用户和组:
-
使用 IAM Identity Center 身份存储作为您的主身份源。如果您选择此方法,则可以从 IAM Identity Center 控制台或 Amazon Command Line Interface (Amazon CLI) 中管理您的用户、他们的登录凭证和群组。有关更多信息,请参阅 在 IAM Identity Center 管理身份。
-
将来自以下任一身份源的用户和组预调配(同步)到您的 IAM Identity Center 身份存储:
-
Active Directory - 有关更多信息,请参阅 连接到 Microsoft AD 目录。
-
外部身份提供商 - 有关更多信息,请参阅 连接到外部身份提供商。
如果您选择这种预调配方法,则可以继续从您的身份源中管理您的用户和组,这些更改将同步到 IAM Identity Center 身份存储。
-
无论您选择哪种身份来源,IAM Identity Center 都可以与 Amazon 托管应用程序共享用户和群组信息。这样,您就可以将身份源连接到 IAM Identity Center 一次,然后与 Amazon Web Services 云中的多个应用程序共享身份信息。这样就无需为每个应用程序单独设置联合身份验证和身份预调配。此共享功能还可以让用户轻松访问不同 Amazon Web Services 账户中的许多应用程序。
在中共享身份信息的注意事项 Amazon Web Services 账户
IAM Identity Center 支持各种应用程序中最常用的属性。这些属性包括名字和姓氏、电话号码、电子邮件地址、住址和首选语言。请仔细考虑哪些应用程序和哪些账户可以使用这些个人身份信息。
您可以通过以下任一方式控制对这些信息的访问。您可以选择仅在 Amazon Organizations 管理账户中启用访问权限,也可以选择在中的所有账户中启用访问权限 Amazon Organizations。或者,您也可以使用服务控制策略 (SCP) 控制哪些应用程序可以访问 Amazon Organizations中哪些账户的信息。例如,如果您仅在 Amazon Organizations 管理账户中启用访问权限,则成员账户中的应用程序将无法访问信息。但是,如果您在所有账户中启用访问权限,则可以使用 SCP 禁止除您想要授予权限的应用程序之外的其他应用程序进行访问。
启用身份感知控制台会话
控制台的身份感知会话通过提供一些额外的用户上下文来个性化用户的体验,从而增强用户的 Amazon 控制台会话。 Amazon 控制台中 Amazon Q 的用户目前支持此功能。
您可以启用身份感知控制台会话,而无需对现有访问模式进行任何更改,也无需立即与 Amazon 控制台联合。如果您的用户使用 IAM 登录 Amazon 控制台(例如,如果他们以 IAM 用户身份登录或通过 IAM 联合访问登录),则他们可以继续使用这些方法。如果您的用户登录 Amazon Web Services 访问门户,他们可以继续使用他们的 IAM Identity Center 用户证书。
先决条件和注意事项
在启用身份感知控制台会话之前,请查看以下先决条件和注意事项:
-
您必须为需要在控制台中访问 Amazon Q 的用户启用身份感知控制台会话。 Amazon
-
目前仅支持在控制台中使用身份感知控制台会话 Amazon Q。 Amazon
-
身份感知控制台会话需要 IAM Identity Center 的组织实例。
-
如果您选择 Amazon Web Services 区域启用 IAM 身份中心,则不支持与 Amazon Q 集成。
-
启用身份感知控制台会话后,您无法禁用此功能。
要启用身份感知控制台会话,您必须具有以下权限:
sso:CreateApplicationsso:GetSharedSsoConfigurationsso:ListApplicationssso:PutApplicationAssignmentConfigurationsso:PutApplicationAuthenticationMethodsso:PutApplicationGrantsso:PutApplicationAccessScopesignin:CreateTrustedIdentityPropagationApplicationForConsolesignin:ListTrustedIdentityPropagationApplicationForConsole
-
要让您的用户能够使用身份感知控制台会话,您必须在基于身份的策略中向他们授予
sts:setContext权限。有关信息,请参阅向用户授予使用身份感知控制台会话的权限。
如何启用 identity-aware-console 会话
您可以在 Amazon Q 控制台或 IAM 身份中心控制台中启用身份感知控制台会话。
在 Amazon Q 控制台中启用身份感知控制台会话
在启用身份感知控制台会话之前,您必须拥有连接身份源的 IAM Identity Center 组织实例。如果您已经配置了 IAM 身份中心,请跳至步骤 3。
打开 IAM Identity Center 控制台。选择启用,然后创建 IAM 身份中心的组织实例。有关信息,请参阅 启用 Amazon IAM Identity Center。
-
将您的身份源连接到 IAM 身份中心,并将用户配置到 IAM 身份中心。您可以选择默认 IAM Identity Center 目录作为您的身份源,也可以使用其他身份提供商。有关更多信息,请参阅 入门教程。
完成设置 IAM 身份中心后,打开 Amazon Q 控制台,按照《Amaz on Q 开发者用户指南》中订阅中的步骤进行操作。确保启用身份感知控制台会话。
注意
如果您没有足够的权限来启用身份感知控制台会话,则可能需要让 IAM Identity Center 管理员在 IAM Identity Center 控制台中为您执行此任务。有关该过程的更多信息,请参阅接下来的步骤。
在 IAM 身份中心控制台中启用身份感知控制台会话
如果您是 IAM 身份中心管理员,其他管理员可能会要求您在 IAM Identity Center 控制台中启用身份感知控制台会话。
打开 IAM Identity Center 控制台。
在导航窗格中,选择 Settings(设置)。
在 “启用身份感知会话” 下,选择 “启用”。
-
在第二条消息中,选择启用。
启用身份感知控制台会话后,“设置” 页面的顶部会显示一条确认消息。
在 “详细信息” 部分中,身份感知会话的状态为 “已启用”。
身份感知控制台会话的工作原理
通过身份感知控制台会话,控制 Amazon 台中的 Amazon Q 用户可以登录 Amazon、打开 Amazon Web Services Management Console 或其他 Amazon 网站、选择 Amazon Q 图标、开始聊天或使用其他支持的功能。有关更多信息,请参阅《Amazon Q 开发人员用户指南》。
IAM Identity Center 增强了用户当前的控制台会话,使其包含活跃的 IAM 身份中心用户的 ID 和 IAM 身份中心会话 ID。
身份感知控制台会话包括以下三个值:
-
身份存储用户 ID (identitystore:UserId)-此值用于唯一标识连接到 IAM Identity Center 的身份源中的用户。
-
身份存储目录 ARN (identitystore:IdentityStoreArn)-此值是连接到 IAM Identity Center 的身份存储的 ARN,您可以在其中查找属性。
identitystore:UserId -
IAM 身份中心会话 ID-此值表示用户的 IAM 身份中心会话是否仍然有效。
这些值相同,但以不同的方式获得,并在过程的不同时刻添加,具体取决于用户的登录方式:
-
IAM 身份中心(Amazon Web Services 访问门户):在本例中,用户的身份存储用户 ID 和 ARN 值已在活动的 IAM 身份中心会话中提供。IAM 身份中心通过仅添加会话 ID 来增强当前会话。
-
其他登录方法:如果用户以 IAM 用户、IAM 角色或使用 IAM 的联合用户身份登录,则不提供这些值。 Amazon IAM Identity Center 通过添加身份存储用户 ID、身份存储目录 ARN 和会话 ID 来增强当前会话。
限制 Amazon 托管应用程序的使用
首次启用 IAM Identity Center 时, Amazon 允许在中的所有账户中自动使用 Amazon 托管应用程序 Amazon Organizations。要限制应用程序访问,必须采用 SCP。您可以使用 SCP 阻止对 IAM Identity Center 用户和组信息的访问,并阻止除指定账户以外的账户启动应用程序。
查看 Amazon 托管的应用程序的详细信息
使用应用程序的控制台或 API 将 Amazon 托管应用程序连接到 IAM Identity Center 后,该应用程序将在 IAM Identity Center 中注册。应用程序注册到 IAM Identity Center 后,您可以在 IAM Identity Center 控制台查看有关该应用程序的详细信息。
在 IAM 身份中心控制台中查看有关 Amazon 托管应用程序的信息
-
选择应用程序。
-
选择 Amazon 托管的应用程序选项卡。
-
在应用程序列表中,选择要查看其详细信息的应用程序名称。
-
关于应用程序的信息包括是否需要分配用户和组,如果适用,还包括分配的用户和组,以及用于身份传播的可信应用程序。有关可信身份传播的信息,请参阅 跨应用程序的可信身份传播。
禁用 Amazon 托管应用程序
要防止用户对 Amazon 托管应用程序进行身份验证,您可以在 IAM Identity Center 控制台中禁用该应用程序。
警告
禁用应用程序会删除该应用程序的所有用户权限,断开该应用程序与 IAM Identity Center 的连接,并使该应用程序无法访问。如果您是 IAM Identity Center 管理员,我们建议您在执行此任务之前与应用程序管理员进行协调。
禁用 Amazon 托管应用程序
-
选择应用程序。
-
在应用程序页面上的 Amazon 托管的应用程序下,选择要禁用的应用程序。
-
选择应用程序后,选择操作,然后选择禁用。
-
在暂停应用程序对话框中,选择暂停。
-
在 Amazon 托管的应用程序列表中,应用程序的状态会显示为非活动。