本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
IAM Identity Center AD 同步
通过 IAM Identity Center AD 同步,您可以使用 IAM 身份中心为 Active Directory 中的用户 Amazon Web Services 账户 和群组分配 Amazon 托管应用程序或客户托管应用程序的访问权限。所有分配的身份都会自动同步到 IAM Identity Center。
IAM Identity Center AD 同步的工作原理
IAM Identity Center 使用以下过程刷新身份存储中基于 AD 的身份数据。
创建
当您使用 Amazon 控制台或分配 API 调用将用户 Amazon Web Services 账户 或组分配给或应用程序时,有关用户、群组和成员资格的信息会定期同步到 IAM Identity Center 身份存储中。添加到 IAM Identity Center 分配的用户或群组通常会在两小时内出现在 Amazon 身份存储中。根据同步的数据量,此过程可能需要更长的时间。只有直接分配了访问权限的用户和组,或者是被分配了访问权限的组的成员的用户和组才会被同步。
作为其他组成员的组(称为嵌套组)也会写入身份存储。当您向 Active Directory 中包含嵌套群组的群组分配任务时,分配的应用方式取决于您使用的是广告同步还是可配置的 AD 同步。
-
AD 同步 — 当您向 Active Directory 中包含嵌套群组的群组分配任务时,只有该群组的直接成员才能访问该帐户。例如,如果您将访问权限分配给组 A,而组 B 是组 A 的成员,则只有组 A 的直接成员可以访问该帐户。B 组的任何成员都不会继承访问权限。
-
可配置的 AD 同步 — 使用可配置的 AD 同步将任务分配给 Active Directory 中包含嵌套群组的群组,可能会扩大有权访问 Amazon Web Services 账户 或访问应用程序的用户范围。在这种情况下,分配适用于所有用户,包括嵌套组中的用户。例如,如果您向组 A 分配访问权限,而组 B 是组 A 的成员,则组 B 的成员也会继承此访问权限。
如果用户在其用户对象首次同步之前访问了 IAM Identity Center,则该用户的身份存储对象将使用 just-in-time (JIT) 配置按需创建。通过 JIT 预置创建的用户除非直接分配或基于组的 IAM Identity Center 权限,否则他们不会同步。JIT 配置的用户的组成员身份在同步之后才可用。
有关如何向用户分配访问权限的说明 Amazon Web Services 账户,请参阅单点登录访问权限 Amazon Web Services 账户。
更新
通过定期从 Active Directory 中的源目录读取数据,IAM Identity Center 身份存储中的身份数据保持最新。在 Active Directory 中更改的 Amazon 身份数据通常会在四小时内出现在身份存储中。根据同步的数据量,此过程可能需要更长的时间。
用户和组对象及其成员身份在 IAM Identity Center 中创建或更新,以映射到 Active Directory 源目录中的相应对象。对于用户属性,仅在 IAM Identity Center 控制台的管理访问控制属性部分中列出的属性子集会在 IAM Identity Center 中更新。此外,用户属性会随着每个用户身份验证事件而更新。
删除
当从 Active Directory 中的源目录中删除相应的用户或组对象时,用户和组将从 IAM Identity Center 身份存储中删除。