审计和协调自动预置的资源
SCIM 使您能够将用户、组和组成员资格从身份源自动预置到 IAM Identity Center。本指南帮助您验证和协调这些资源,以维持准确的同步。
为何要审计您的资源?
定期审计有助于确保您的访问控制保持准确,并且您的身份提供者(IdP)与 IAM Identity Center 保持正确同步。这对于安全合规性和访问管理尤为重要。
您可以审计的资源:
用户
组
组成员资格
您可以使用 Amazon Identity Store API 或 CLI 命令来执行审计和协调。以下示例使用 Amazon CLI 命令。有关 API 替代方案,请参阅《Identity Store API 参考》中的相应操作。
如何审计资源
以下是有关如何使用 Amazon CLI 命令审计这些资源的示例。
在开始之前,请确保您满足以下条件:
对 IAM Identity Center 的管理员访问权限。
Amazon CLI安装并配置了 。有关信息,请参阅 Amazon Command Line Interface 用户指南。
执行 Identity Store 命令所需的 IAM 权限。
步骤 1:列出当前资源
您可以使用 Amazon CLI 查看您当前的资源。
注意
使用 Amazon CLI 时,除非您指定 --no-paginate,否则分页会自动处理。如果您直接调用 API(例如,使用 SDK 或自定义脚本),请处理响应中的 NextToken。这确保您能检索跨多个页面的所有结果。
例 适用于用户
aws identitystore list-users \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
例 适用于组
aws identitystore list-groups \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
例 适用于组成员资格
aws identitystore list-group-memberships \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID--group-idGROUP_ID
步骤 2:与您的身份源进行比较
将列出的资源与您的身份源进行比较,以识别任何差异,例如:
-
缺失了本应在 IAM Identity Center 中预置的资源。
-
应从 IAM Identity Center 中移除的额外资源。
例 适用于用户
# Create missing users aws identitystore create-user \ --identity-store-idIDENTITY_STORE_ID\ --user-nameUSERNAME\ --display-nameDISPLAY_NAME\ --name GivenName=FIRST_NAME,FamilyName=LAST_NAME\ --emails Value=IDENTITY_STORE_ID\ --user-idUSER_ID
例 适用于组
# Create missing groups aws identitystore create-group \ --identity-store-idIDENTITY_STORE_ID\[group attributes]# Delete extra groups aws identitystore delete-group \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID
例 适用于组成员资格
# Add missing members aws identitystore create-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID\ --member-id '{"UserId": "USER_ID"}' # Remove extra members aws identitystore delete-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --membership-idMEMBERSHIP_ID
注意事项
命令受服务配额和 API 节流的约束。
当您在协调过程中发现许多差异时,请对 Amazon Identity Store 进行少量、渐进的更改。这有助于您避免影响多个用户的错误。
-
SCIM 同步可能会覆盖您的手动更改。检查您的 IdP 设置以了解此行为。