AWS verwaltete Anwendungen - AWS IAM Identity Center
Kontrolle des Zugriffs auf AnwendungenWeitergabe von Identitätsinformationen Einschränkung der Verwendung von AWS verwaltete Anwendungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS verwaltete Anwendungen

AWS IAM Identity Center rationalisiert und vereinfacht die Aufgabe, die Benutzer Ihrer Belegschaft miteinander zu verbinden AWS verwaltete Anwendungen wie Amazon Q Developer und Amazon QuickSight. Mit IAM Identity Center können Sie Ihren bestehenden Identitätsanbieter einmalig verbinden und Benutzer und Gruppen aus Ihrem Verzeichnis synchronisieren oder Ihre Benutzer direkt in IAM Identity Center erstellen und verwalten. Durch die Bereitstellung eines zentralen Verbundpunkts entfällt mit IAM Identity Center die Notwendigkeit, einen Verbund oder die Benutzer- und Gruppensynchronisierung für jede Anwendung einzurichten, und Ihr Verwaltungsaufwand wird reduziert. Außerdem erhalten Sie eine gemeinsame Ansicht der Benutzer- und Gruppenzuweisungen.

Für eine Tabelle von AWS Anwendungen, die mit IAM Identity Center funktionieren, finden Sie unterAWS verwaltete Anwendungen, die Sie mit IAM Identity Center verwenden können.

Steuern des Zugriffs auf AWS verwaltete Anwendungen

Zugriff auf AWS verwaltete Anwendungen werden auf zwei Arten gesteuert:

  • Erster Eintrag in die Anwendung

    IAMIdentity Center verwaltet dies durch Zuweisungen an die Anwendung. Standardmäßig sind Zuweisungen erforderlich für AWS verwaltete Anwendungen. Wenn Sie ein Anwendungsadministrator sind, können Sie wählen, ob Zuweisungen zu einer Anwendung erforderlich sind.

    Wenn Zuweisungen erforderlich sind, wenn sich Benutzer bei der AWS-Zugangsportal, können nur Benutzer, die der Anwendung direkt oder über eine Gruppenzuweisung zugewiesen wurden, die Anwendungskachel anzeigen.

    Wenn keine Zuweisungen erforderlich sind, können Sie allen IAM Identity Center-Benutzern den Zugriff auf die Anwendung ermöglichen. In diesem Fall verwaltet die Anwendung den Zugriff auf Ressourcen und die Anwendungskachel ist für alle Benutzer sichtbar, die AWS-Zugangsportal.

    Wichtig

    Wenn Sie ein IAM Identity Center-Administrator sind, können Sie die IAM Identity Center-Konsole verwenden, um Zuweisungen zu entfernen AWS verwaltete Anwendungen. Bevor Sie Zuweisungen entfernen, empfehlen wir, dass Sie sich mit dem Anwendungsadministrator abstimmen. Sie sollten sich auch mit dem Anwendungsadministrator abstimmen, wenn Sie beabsichtigen, die Einstellung zu ändern, die bestimmt, ob Zuweisungen erforderlich sind, oder Anwendungszuweisungen zu automatisieren.

  • Zugriff auf Anwendungsressourcen

    Die Anwendung verwaltet dies durch unabhängige Ressourcenzuweisungen, die sie kontrolliert.

AWS Verwaltete Anwendungen bieten eine administrative Benutzeroberfläche, mit der Sie den Zugriff auf Anwendungsressourcen verwalten können. Beispielsweise können QuickSight Administratoren Benutzern auf der Grundlage ihrer Gruppenmitgliedschaft den Zugriff auf Dashboards zuweisen. Die meisten AWS verwaltete Anwendungen bieten auch eine AWS Management Console Erfahrung, die es Ihnen ermöglicht, der Anwendung Benutzer zuzuweisen. Die Konsolenoberfläche für diese Anwendungen könnte beide Funktionen integrieren, um Funktionen zur Benutzerzuweisung mit der Fähigkeit zu kombinieren, den Zugriff auf Anwendungsressourcen zu verwalten.

Weitergabe von Identitätsinformationen

Überlegungen zum Teilen von Identitätsinformationen in AWS-Konten

IAMIdentity Center unterstützt die am häufigsten verwendeten Attribute in allen Anwendungen. Zu diesen Attributen gehören Vor- und Nachname, Telefonnummer, E-Mail-Adresse, Adresse und bevorzugte Sprache. Überlegen Sie sorgfältig, welche Anwendungen und welche Konten diese personenbezogenen Daten verwenden können.

Sie können den Zugriff auf diese Informationen auf eine der folgenden Arten kontrollieren:

  • Sie können wählen, ob Sie den Zugriff nur in der AWS Organizations Verwaltungskonto oder in allen Konten in AWS Organizations.

  • Alternativ können Sie mithilfe von Dienststeuerungsrichtlinien (SCPs) steuern, welche Anwendungen auf die Informationen in welchen Konten zugreifen können AWS Organizations.

Wenn Sie beispielsweise den Zugriff in der AWS Organizations Nur Verwaltungskonto, dann haben Anwendungen in Mitgliedskonten keinen Zugriff auf die Informationen. Wenn Sie jedoch den Zugriff für alle Konten aktivieren, können Sie damit allen Anwendungen SCPs den Zugriff verbieten, mit Ausnahme derjenigen, die Sie zulassen möchten.

Richtlinien zur Dienstkontrolle sind ein Merkmal von AWS Organizations. Anweisungen zum Anhängen einer SCP finden Sie unter Dienststeuerungsrichtlinien anhängen und trennen in der AWS Organizations Benutzerleitfaden.

IAMIdentity Center für die gemeinsame Nutzung von Identitätsinformationen konfigurieren

IAMIdentity Center bietet einen Identitätsspeicher, der Benutzer- und Gruppenattribute enthält, mit Ausnahme von Anmeldeinformationen. Sie können eine der folgenden Methoden verwenden, um die Benutzer und Gruppen in Ihrem IAM Identity Center-Identitätsspeicher auf dem neuesten Stand zu halten:

  • Verwenden Sie den IAM Identity Center-Identitätsspeicher als Ihre Hauptidentitätsquelle. Wenn Sie diese Methode wählen, verwalten Sie Ihre Benutzer, ihre Anmeldedaten und Gruppen von der IAM Identity Center-Konsole aus oder AWS Command Line Interface (AWS CLI). Weitere Informationen finden Sie unterIdentitäten im IAM Identity Center verwalten.

  • Richten Sie die Bereitstellung (Synchronisation) von Benutzern und Gruppen aus einer der folgenden Identitätsquellen für Ihren Identity IAM Center-Identitätsspeicher ein:

    Wenn Sie diese Bereitstellungsmethode wählen, verwalten Sie Ihre Benutzer und Gruppen weiterhin von Ihrer Identitätsquelle aus, und diese Änderungen werden mit dem IAM Identity Center-Identitätsspeicher synchronisiert.

Für welche Identitätsquelle Sie sich auch entscheiden, IAM Identity Center kann die Benutzer- und Gruppeninformationen mit anderen teilen AWS verwaltete Anwendungen. Auf diese Weise können Sie eine Identitätsquelle einmal mit IAM Identity Center verbinden und dann Identitätsinformationen mit mehreren Anwendungen in der AWS Cloud. Dadurch entfällt die Notwendigkeit, für jede Anwendung den Verbund und die Bereitstellung von Identitäten unabhängig voneinander einzurichten. Diese Funktion zur gemeinsamen Nutzung macht es auch einfach, Ihren Benutzern Zugriff auf viele Anwendungen in verschiedenen Bereichen zu gewähren AWS-Konten.

Einschränkung der Verwendung von AWS verwaltete Anwendungen

Wenn Sie IAM Identity Center zum ersten Mal aktivieren, AWS ermöglicht die Verwendung von AWS verwaltete Anwendungen automatisch in allen Konten in AWS Organizations. Um Anwendungen einzuschränken, müssen Sie Dienststeuerungsrichtlinien (SCPs) implementieren. SCPssind ein Merkmal von AWS Organizations mit dem Sie zentral die maximalen Berechtigungen steuern können, die Identitäten (Benutzer und Rollen) in Ihrer Organisation haben können. Sie können SCPs damit den Zugriff auf die IAM Identity Center-Benutzer- und Gruppeninformationen blockieren und verhindern, dass die Anwendung gestartet wird, außer in bestimmten Konten. Weitere Informationen finden Sie unter Richtlinien zur Dienststeuerung (SCPs) im AWS Organizations Benutzerleitfaden.