Amazon Web Services 账户 访问 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

Amazon Web Services 账户 访问

通过将 Amazon IAM Identity Center 与 Amazon Organizations 集成,您可以集中管理多个 Amazon Web Services 账户 帐户的权限,而无需手动配置每个帐户。通过 IAM Identity Center 的组织实例,您可以定义权限并将这些权限分配给员工用户,控制他们对特定 Amazon Web Services 账户 的访问权限。IAM Identity Center 的账户实例不支持账户访问。

Amazon Web Services 账户 类型

在 Amazon Organizations 中,共有两种类型的 Amazon Web Services 账户:

  • 管理帐户 - 您用于创建组织的帐户 Amazon Web Services 账户。

  • 成员帐户 - 属于组织的其他帐户 Amazon Web Services 账户。

有关 Amazon Web Services 账户 帐户类型的更多信息,请参阅 Amazon Organizations用户指南 中的 Amazon Organizations术语和概念

您也可以选择将成员帐户注册为 IAM Identity Center 的委派管理员。此帐户中的用户可以执行大多数 IAM Identity Center 管理任务。有关更多信息,请参阅 委派管理

对于每种任务和帐户类型,下表指明了帐户中的用户是否可以执行 IAM Identity Center 管理任务。

IAM Identity Center 管理任务 成员帐户 委托管理员帐户 管理帐户
读取用户或组(阅读组本身和组的成员资格)
添加、编辑或删除用户或组
启用或禁用用户访问权限
启用、禁用或管理传入属性
更改或管理身份源
创建、编辑或删除客户管理型应用程序
创建、编辑或删除 Amazon 托管应用程序
配置 MFA
管理管理帐户中未配置的权限集
管理管理帐户中已配置的权限集
启用 IAM Identity Center
删除 IAM Identity Center 配置
在管理帐户中启用或禁用用户访问权限
将成员帐户作为委派管理员注册或取消注册

正在分配 Amazon Web Services 账户 访问权限

您可以使用权限集来简化向组织中的用户和组分配 Amazon Web Services 账户 访问权限的方式。权限集存储在 IAM Identity Center 中,定义用户和组对 Amazon Web Services 账户 的访问级别。您可以创建单个权限集并将其分配给组织内的多个 Amazon Web Services 账户。您也可以将多个权限集分配给同一个用户。

有关权限集的更多信息,请参阅创建、管理和删除权限集

注意

您还可以为用户分配对应用程序的单点登录访问权限。有关信息,请参阅应用程序访问

最终用户体验

Amazon Web Services访问门户为 IAM Identity Center 用户提供通过 Web 门户对所有分配的 Amazon Web Services 账户 和应用程序的单点登录访问权限。Amazon Web Services 访问门户不同于 Amazon Web Services Management Console,后者是一组用于管理 Amazon 资源的服务控制台。

当您创建权限集时,您为此权限集指定的名称将作为可用角色出现在 Amazon Web Services 访问门户中。用户登录 Amazon Web Services 访问门户,选择一个 Amazon Web Services 账户,然后选择角色。选择角色后,他们可以使用 Amazon Web Services Management Console 或检索临时凭证访问 Amazon 服务,以便以编程方式访问 Amazon服 务。

要打开 Amazon Web Services Management Console 或检索临时凭证以便以编程方式访问 Amazon,用户需要完成以下步骤:

  1. 用户打开浏览器窗口,使用您提供的登录 URL 导航到 Amazon Web Services 访问门户。

  2. 使用其目录凭证登录 Amazon Web Services 访问门户。

  3. 验证身份后,在 Amazon Web Services 访问门户页面上选择账户选项卡,显示用户有权访问的 Amazon Web Services 账户 的列表。

  4. 然后,选择他们想要使用的 Amazon Web Services 账户。

  5. 在 Amazon Web Services 账户 的名称下方,向其分配用户的所有权限集都显示为可用角色。例如,若将用户 john_stiles 分配到 PowerUser 权限集,则该角色在 Amazon Web Services 访问门户中显示为 PowerUser/john_stiles。分配有多个权限集的用户选择要使用的角色。用户可以选择其访问 Amazon Web Services Management Console 的角色。

  6. 除角色外,Amazon Web Services 访问门户用户还可以通过选择访问密钥检索临时凭证来执行命令行或编程访问。

有关您可以向员工用户提供的分步指导,请参阅 使用 Amazon Web Services 访问门户获取 Amazon CLI 或 Amazon 软件开发工具包 (SDK) 的 IAM Identity Center 用户证书

强制和限制访问权限

启用 IAM Identity Center 后,IAM Identity Center 会创建一个与服务相关的角色。您还可以在服务控制策略(SCP)中使用。

委派和强制访问权限

服务相关角色是一种独特类型的 IAM 角色,它与 Amazon 服务直接相关。启用 IAM Identity Center 后,IAM Identity Center 可以在组织的每个 Amazon Web Services 账户 中创建一个服务相关角色。此角色提供预定义的权限,允许 IAM Identity Center 委派和强制哪些用户对 Amazon Organizations 中组织中的特定 Amazon Web Services 账户 具有单点登录访问权限。您需要分配一个或多个具有帐户访问权限的用户,才能使用此角色。有关更多信息,请参阅 了解 IAM Identity Center 中的服务相关角色使用 IAM Identity Center 的服务相关角色

限制成员帐户对身份存储的访问权限

对于 IAM Identity Center 使用的身份存储服务,有权访问成员帐户的用户可以使用需要读取权限的 API 操作。成员帐户有权访问 sso 目录identitystore 命名空间上的 读取操作。有关更多信息,请参阅《服务授权参考》中 Amazon IAM Identity Center 目录的操作、资源和条件键Amazon 身份存储的操作、资源和条件键

为防止成员帐户中的用户在身份存储中使用 API 操作,您可以附加服务控制策略(SCP)。SCP 是一种组织策略,可用于管理组织中的权限。以下示例 SCP 阻止成员帐户中的用户访问身份存储中的任何 API 操作。

{ "Sid": "ExplicitlyBlockIdentityStoreAccess", "Effect": "Deny", "Action": "identitystore:*", "sso-directory:*"], "Resource": "*" }
注意

限制成员帐户的访问权限可能会影响启用 IAM Identity Center 的应用程序的功能。

有关更多信息,请参阅《Amazon Organizations 用户指南》中的服务控制策略(SCP)