IAM Identity Center 是什么? - Amazon IAM Identity Center
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM Identity Center 是什么?

Amazon IAM Identity Center 是管理人类用户访问 Amazon 资源的推荐 Amazon Web Service。您可以在这一个位置为员工用户(也称为 workforce identities)分配对多个 Amazon Web Services 账户 和应用程序的一致访问权限。

通过 IAM Identity Center,您可以创建或连接员工用户,并集中管理他们对所有 Amazon Web Services 账户 和应用程序的访问。您可以使用多帐户权限来分配您的员工用户对 Amazon Web Services 账户 的访问权限。您可以使用应用程序分配为用户分配对 Amazon 托管应用程序和客户托管应用程序的访问权限。

IAM Identity Center 功能

IAM Identity Center 包括以下核心功能和特性:

管理员工身份

在 Amazon 中构建或操作工作负载的人类用户也称为员工用户或员工身份。员工用户是指您允许其访问组织中的 Amazon Web Services 账户 以及内部业务应用程序的员工或承包商。这些个人可能是开发人员,负责构建内部系统和面向客户的系统,也可能是内部数据库系统和应用程序的用户。您可以在 IAM Identity Center 中创建员工用户和组,或者连接并同步到您自己的身份源中的一组现有用户和组,以便在您的所有 Amazon Web Services 账户 和应用程序中使用。有关更多信息,请参阅 管理您的身份源

管理 IAM Identity Center 的实例

IAM Identity Center 支持两种类型的实例:组织实例账户实例。使用组织实例是最佳做法。只有此类实例允许您管理对 Amazon Web Services 账户 的访问,建议将其用于所有生产用途的应用程序。组织实例在 Amazon Organizations 管理账户中部署,让您可以通过单个位置管理整个 Amazon 环境中的用户访问权限。

账户实例会绑定至启用了账户实例的 Amazon Web Services 账户。IAM Identity Center 账户实例仅用于支持特定 Amazon 托管应用程序的孤立部署。有关更多信息,请参阅 管理 IAM Identity Center 的组织实例和账户实例

管理对多个 Amazon Web Services 账户 的访问

借助多账户权限,您可以一次规划并集中实施多个 Amazon Web Services 账户 的权限,无需手动配置每个账户。您可以根据常见的工作职能创建权限,或定义满足您安全需求的自定义权限。然后,您可以将这些权限分配给员工用户,以控制他们对特定帐户的访问权限。

此可选功能仅适用于组织实例。如果您在环境中使用按账户的 IAM 角色管理,那么两个系统可以共存。如果您想尝试使用多账户权限,可以先在有限的范围实施此系统,然后逐渐将更多环境迁移到此系统。

管理对应用程序的访问

IAM Identity Cente 允许您简化应用程序的访问管理。通过 IAM Identity Center,您可以在 IAM Identity Center 中授予员工用户对应用程序的单点登录访问权限。

Amazon 托管的应用程序

Amazon 提供与 IAM Identity Center 集成的应用程序,如 Amazon Redshift、Amazon Managed Grafana 和 Amazon Monitron。这些应用程序可以使用 IAM Identity Center 实现身份验证、目录服务和可信身份传播。您的用户将受益于一致的单点登录体验,而且由于这些应用程序以共同的视角看待用户、组和组成员身份,用户在与其他人共享应用程序资源时也会具有一致的体验。您可以直接通过相关应用程序的控制台或通过 API,将 Amazon 托管的应用程序配置为与 IAM Identity Center 协同工作。

客户托管的应用程序

您可以在 IAM Identity Center 授予员工用户对应用程序(支持 SAML 2.0 身份联合验证)的单点登录访问权限。Salesforce 和 Microsoft 365 等许多常用的 SAML 2.0 应用程序都可以与 IAM Identity Center 协同工作,您可以在 IAM Identity Center 控制台的应用程序目录中找到它们。这是一项可选功能,如果您使用此类应用程序,并在 IAM Identity Center 中创建用户和组,或使用 Microsoft Active Directory 域服务作为身份源,该功能会很有帮助。

跨应用程序的可信身份传播

如果用户的查询工具和商业智能 (BI) 应用程序需要访问 Amazon 服务数据,可信身份传播将为用户提供简化的单点登录体验。对数据访问的管理基于用户身份,因此,管理员可以根据用户的现有用户和组成员资格,授予访问权限。用户对 Amazon 服务的访问和其他事件会被记录在特定于服务的日志和 CloudTrail 事件中,以便审计人员知道用户采取了哪些操作,访问了哪些资源。

用户对
Amazon Web Services 访问门户的访问权限

Amazon Web Services 访问门户是一个简单的网络门户,可让用户无缝访问所有分配给他们的 Amazon Web Services 账户 和应用程序。