本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 审计和协调自动预置的资源 SCIM 使您能够将用户、组和组成员资格从身份源自动预置到 IAM Identity Center。本指南帮助您验证和协调这些资源,以维持准确的同步。 ## 为何要审计您的资源? 定期审计有助于确保您的访问控制保持准确,并且您的身份提供者(IdP)与 IAM Identity Center 保持正确同步。这对于安全合规性和访问管理尤为重要。 您可以审计的资源: + Users + 组 + 组成员资格 您可以使用 Ident Amazon ity Store [APIs](https://docs.amazonaws.cn/singlesignon/latest/IdentityStoreAPIReference/welcome.html)或 [CLI 命令](https://docs.amazonaws.cn/cli/latest/reference/identitystore/)进行审计和对账。以下示例使用 Amazon CLI 命令。有关 API 替代方案,请参阅《*Identity Store API 参考*》中的[相应操作](https://docs.amazonaws.cn/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html)。 ## 如何审计资源 以下是如何使用 Amazon CLI 命令审核这些资源的示例。 在开始之前,请确保您满足以下条件: + 对 IAM Identity Center 的管理员访问权限。 + Amazon CLI 已安装并配置。有关信息,请参阅 [https://docs.amazonaws.cn/cli/latest/userguide/cli-chap-welcome.html](https://docs.amazonaws.cn/cli/latest/userguide/cli-chap-welcome.html)。 + 执行 Identity Store 命令所需的 IAM 权限。 ### 步骤 1:列出当前资源 您可以使用查看您当前的资源 Amazon CLI。 **注意** 使用时 Amazon CLI,除非您指定`--no-paginate`,否则会自动处理分页。如果您直接调用 API(例如,使用 SDK 或自定义脚本),请处理响应中的 `NextToken`。这确保您能检索跨多个页面的所有结果。 **Example 适用于用户** ``` aws identitystore list-users \ --region REGION \ --identity-store-id IDENTITY_STORE_ID ``` **Example 适用于组** ``` aws identitystore list-groups \ --region REGION \ --identity-store-id IDENTITY_STORE_ID ``` **Example 适用于组成员资格** ``` aws identitystore list-group-memberships \ --region REGION \ --identity-store-id IDENTITY_STORE_ID --group-id GROUP_ID ``` ### 步骤 2:与您的身份源进行比较 将列出的资源与您的身份源进行比较,以识别任何差异,例如: + 缺失了本应在 IAM Identity Center 中预置的资源。 + 应从 IAM Identity Center 中移除的额外资源。 **Example 适用于用户** ``` # Create missing users aws identitystore create-user \ --identity-store-id IDENTITY_STORE_ID \ --user-name USERNAME \ --display-name DISPLAY_NAME \ --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \ --emails Value=EMAIL,Primary=true # Delete extra users aws identitystore delete-user \ --identity-store-id IDENTITY_STORE_ID \ --user-id USER_ID ``` **Example 适用于组** ``` # Create missing groups aws identitystore create-group \ --identity-store-id IDENTITY_STORE_ID \ [group attributes] # Delete extra groups aws identitystore delete-group \ --identity-store-id IDENTITY_STORE_ID \ --group-id GROUP_ID ``` **Example 适用于组成员资格** ``` # Add missing members aws identitystore create-group-membership \ --identity-store-id IDENTITY_STORE_ID \ --group-id GROUP_ID \ --member-id '{"UserId": "USER_ID"}' # Remove extra members aws identitystore delete-group-membership \ --identity-store-id IDENTITY_STORE_ID \ --membership-id MEMBERSHIP_ID ``` ## 注意事项 + 命令受[服务配额和 API 节流](limits.md#ssothrottlelimits)的约束。 + 当您在协调过程中发现许多差异时,请逐步对 Ident Amazon ity Store 进行细微的更改。这有助于您避免影响多个用户的错误。 + SCIM 同步可能会覆盖您的手动更改。检查您的 IdP 设置以了解此行为。