单点登录访问权限 Amazon Web Services 账户 - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

单点登录访问权限 Amazon Web Services 账户

您可以 Amazon Organizations 根据常见的工作职能,将连接目录中的用户分配给组织中的管理账户或成员账户的权限。或者,您可以使用自定义权限,以满足特定的安全需求。例如,您可以在开发账户中授予数据库管理员广泛的 Amazon RDS 权限,但限制其在生产账户中的权限。IAM Identity Center 自动在您的 Amazon Web Services 账户 账户中配置所有必要的用户权限。

注意

您可能需要向用户或群组授予使用 Amazon Organizations 管理账户进行操作的权限。由于它是高权限账户,因此其他安全限制要求您先拥有 IAM FullAccess 策略或同等权限,然后才能进行设置。您 Amazon 组织中的任何成员账户都不需要这些额外的安全限制。

将用户访问权限分配给 Amazon Web Services 账户

使用以下过程为已连接目录中的用户和组分配单点登录访问权限,并使用权限集确定其访问级别。

要检查现有用户和群组的访问权限,请参阅查看用户和群组分配

注意

为了简化访问权限的管理,建议您直接向组(而非各个用户)分配访问权限。通过组,您可以授予或拒绝用户组的权限,而不是必须为每个用户应用这些权限。如果用户移动到不同的组织,您只需将该用户移动到不同的组,他们会自动接收新组织所需的权限。

为用户或组分配访问权限 Amazon Web Services 账户
  1. 打开 IAM Identity Center 控制台

    注意

    确保 IAM Identity Center 控制台使用的区域是您的 Amazon Managed Microsoft AD 目录所在的区域,然后再继续执行下一步骤。

  2. 在导航窗格中的多账户权限下,选择 Amazon Web Services 账户

  3. Amazon Web Services 账户 页面上,将显示您的组织的树视图列表。选中您要为其分配单点登录访问权限的一个或多个 Amazon Web Services 账户 旁边的复选框。

    注意

    向用户和群组分配单点登录访问权限时,每个权限集一次最多可以选择 10 Amazon Web Services 账户 个。要向同一组用户和组分配 10 个 Amazon Web Services 账户 以上的用户,请根据需要为其他帐户重复此过程。出现提示时,选择相同的用户、组和权限集。

  4. 选择分配用户或组

  5. 对于步骤 1:选择用户和组,在将用户和组分配给“Amazon-account-name页面上,执行以下操作:

    1. 用户选项卡上,选择一个或多个要向其授予单点登录访问权限的用户。

      要筛选结果,请开始在搜索框中键入所需用户的名称。

    2. 选项卡上,选择一个或多个要向其授予单点登录访问权限的组。

      要筛选结果,请开始在搜索框中键入所需组的名称。

    3. 要显示您选择的用户和组,请选择选定的用户和组旁边的横向三角形。

    4. 确认选择了正确的用户和组后,选择下一步

  6. 对于步骤 2:选择权限集,在将权限集分配给“Amazon-account-name页面上,执行以下操作:

    1. 选择一个或多个权限集。如有需要,您可以创建和选择新的权限集。

      • 要选择一个或多个现有权限集,请在权限集下,选择要应用于在上一步中选择的用户和组的权限集。

      • 要创建一个或多个新权限集,请选择创建权限集,然后按照 创建权限集 中的步骤操作。创建要应用的权限集后,在 IAM Identity Center 控制台中,返回到 Amazon Web Services 账户 并按照说明进行操作,直到进入步骤 2:选择权限集。完成此步骤后,选择您创建的新权限集,然后继续执行此过程的下一步。

    2. 确认选择了正确的权限集后,选择下一步

  7. 对于步骤 3:查看并提交,在查看任务并将其提交到“Amazon-account-name页面上,执行以下操作:

    1. 查看选定的用户、组和权限集。

    2. 确认选择了正确的用户、组和权限集之后,选择提交

      重要

      用户和组的分配过程可能需要几分钟才能完成。等到此过程成功完成再关闭该页面。

      注意

      您可能需要向用户或群组授予使用 Amazon Organizations 管理账户进行操作的权限。由于它是高权限账户,因此其他安全限制要求您先拥有 IAM FullAccess 策略或同等权限,然后才能进行设置。您 Amazon 组织中的任何成员账户都不需要这些额外的安全限制。

移除用户和组访问权限

使用此过程可以删除所连接目录中一个或多个用户和组 Amazon Web Services 账户 对的的单点登录访问权限。

删除用户和群组对的访问权限 Amazon Web Services 账户
  1. 打开 IAM Identity Center 控制台

  2. 在导航窗格的多账户权限下,选择 Amazon Web Services 账户

  3. Amazon Web Services 账户 页面上,将显示您的组织的树视图列表。选择 Amazon Web Services 账户 包含要删除其单点登录访问权限的用户和群组的名称。

  4. 在 “概述” 页面的 “分配的用户和组” 下 Amazon Web Services 账户,选择一个或多个用户或组的名称,然后选择 “移除访问权限”。

  5. 移除访问权限对话框中,确认用户或组的名称是否正确,然后选择移除访问权限

撤消由权限集创建的主动 IAM 角色会话

以下是撤销 IAM Identity Center 用户的活动权限集会话的一般程序。该过程假设您要删除凭证泄露的用户或系统中的不良行为者的所有访问权限。先决条件是必须遵循中的指导准备撤消由权限集创建的主动 IAM 角色会话。我们假设服务控制策略 (SCP) 中存在全部拒绝策略。

注意

Amazon 建议您构建自动化以处理除仅限控制台的操作之外的所有步骤。

  1. 获取必须撤消其访问权限的人的用户 ID。您可以使用身份存储 API 通过用户的用户名查找用户。

  2. 更新拒绝策略,将步骤 1 中的用户 ID 添加到您的服务控制策略 (SCP) 中。完成此步骤后,目标用户将失去访问权限,并且无法对受该策略影响的任何角色采取操作。

  3. 移除该用户的所有权限集分配。如果访问权限是通过群组成员资格分配的,请将该用户从所有群组和所有直接权限集分配中移除。此步骤可防止用户担任任何其他 IAM 角色。如果用户拥有有效的 Amazon Web Services 访问门户会话,而您禁用了该用户,则他们可以继续扮演新角色,直到您删除其访问权限。

  4. 如果您使用身份提供商 (IdP) 或 Microsoft Active Directory 作为身份源,请在身份源中禁用该用户。禁用该用户可以防止创建其他 Amazon Web Services 访问门户会话。使用你的 IdP 或 Microsoft Active Directory API 文档来学习如何自动执行此步骤。如果您使用 IAM Identity Center 目录作为身份源,请不要禁用用户访问权限。您将在步骤 6 中禁用用户访问权限。

  5. 在 IAM Identity Center 控制台中,找到该用户并删除其活动会话。

    1. 选择用户

    2. 选择要删除其活动会话的用户。

    3. 在用户的详细信息页面上,选择活动会话选项卡。

    4. 选中要删除的会话旁边的复选框,然后选择删除会话

    这可确保用户的 Amazon Web Services 访问门户会话在大约 60 分钟内停止。了解会话持续时间

  6. 在 IAM 身份中心控制台中,禁用用户访问权限。

    1. 选择用户

    2. 选择要禁用其访问权限的用户。

    3. 在用户的详细信息页面上,展开常规信息,然后选择禁用用户访问权限按钮以防止该用户进一步登录。

  7. 将 “拒绝” 政策保留至少 12 小时。否则,拥有活跃 IAM 角色会话的用户将恢复对 IAM 角色的操作。如果您等待 12 小时,则活动会话将过期,用户将无法再次访问 IAM 角色。

重要

如果您在停止用户会话之前禁用了用户的访问权限(您在未完成步骤 5 的情况下完成了步骤 6),则无法再通过 IAM Identity Center 控制台停止用户会话。如果您在停止用户会话之前无意中禁用了用户访问权限,则可以重新启用用户,停止其会话,然后再次禁用他们的访问权限。

现在,如果用户的密码被泄露,您可以更改其凭据并恢复其分配

委派谁可以为管理账号中的用户和组分配单点登录访问权限

使用 IAM Identity Center 控制台为主账户分配单点登录访问管理账户的权限。默认情况下,只有附加 Amazon Web Services 账户根用户 了AmazonSSOMasterAccountAdministratorIAMFullAccess Amazon 托管策略的用户才能向管理账户分配单点登录访问权限。AmazonSSOMasterAccountAdministratorIAMFullAccess策略管理对 Amazon Organizations 组织内管理账户的单点登录访问权限。

使用以下步骤委派权限来管理您的目录中用户和组的单点登录访问权限。

授予权限来管理您的目录中的用户和组的单点登录访问权限
  1. 以管理账户的根用户身份或具有管理员权限的另一个管理用户的身份登录到 IAM Identity Center 控制台。

  2. 按照 创建权限集 中的步骤创建权限集,然后执行以下操作:

    1. 创建新权限集页面上,选中创建自定义权限集复选框,然后选择下一步:详细信息

    2. “创建新权限集”页面上,指定自定义权限集的名称和描述(可选)。如有需要,可以修改会话持续时间并指定中继状态 URL。

      注意

      对于中继状态 URL,必须指定位于 Amazon Web Services Management Console中的 URL 。例如:

      https://console.aws.amazon.com/ec2/

      有关更多信息,请参阅 设置中继状态

    3. 您要在权限集中包含哪些策略?下,选中附加 Amazon 托管式策略复选框。

    4. 在 IAM 策略列表中,同时选择AWSSSOMasterAccountAdministratorIAMFullAccess Amazon 托管策略。这些策略向以后将拥有此权限集的访问权限的任何用户和组授予权限。

    5. 选择下一步:标签

    6. 添加标签(可选)下,指定密钥值(可选)的值,然后选择下一步:查看。有关标签的更多信息,请参阅 为 Amazon IAM Identity Center 资源添加标签

    7. 检查您的选择,然后选择创建

  3. 按照 将用户访问权限分配给 Amazon Web Services 账户 中的步骤将相应的用户和组分配给您刚刚创建的权限集。

  4. 向分配的用户传达以下信息:当他们登录 Amazon Web Services 访问门户并选择 “帐户” 选项卡时,他们必须选择相应的角色名称才能使用您刚才委派的权限进行身份验证。