Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Gestione el acceso a Cuentas de AWS
AWS IAM Identity Center está integrado con AWS Organizations, lo que le permite administrar de forma centralizada los permisos de varias cuentas Cuentas de AWS sin tener que configurar cada una de sus cuentas manualmente. Puede definir permisos y asignarlos a los usuarios de la fuerza laboral para controlar su acceso a determinados permisos Cuentas de AWS.
Cuenta de AWS tipos
Existen dos tipos de Cuentas de AWS entradas AWS Organizations:
-
Cuenta de administración: la Cuenta de AWS que se utiliza para crear la organización.
-
Cuentas de miembros: el resto Cuentas de AWS que pertenecen a una organización.
Para obtener más información sobre Cuenta de AWS los tipos, consulte AWS Organizations Terminología y conceptos en la Guía del AWS Organizations usuario.
También puede optar por registrar una cuenta de miembro como administrador delegado de IAM Identity Center. Los usuarios de esta cuenta pueden realizar la mayoría de las tareas administrativas de IAM Identity Center. Para obtener más información, consulte Administración delegada.
La siguiente tabla indica si los usuarios de la cuenta pueden realizar la tarea administrativa de IAM Identity Center para cada tipo de tarea y cuenta.
| Tareas administrativas de IAM Identity Center | Cuenta miembro | Cuenta de administrador delegado | Cuenta de administración |
|---|---|---|---|
| Lectura de usuarios o grupos (leer el grupo en sí y sus miembros) | |||
| Cómo agregar, editar o eliminar usuarios o grupos | |||
| Cómo habilitar o deshabilitar el acceso de usuarios | |||
| Cómo habilitar, deshabilitar o administrar los atributos entrantes | |||
| Cambio o administración de las fuentes de identidad | |||
| Creación, edición o eliminación de aplicaciones | |||
| Configurarción de MFA | |||
| Administración de conjuntos de permisos no aprovisionados en la cuenta de administración | |||
| Administración de conjuntos de permisos aprovisionados en la cuenta de administración | |||
| Activar IAM Identity Center | |||
| Eliminación de la configuración de IAM Identity Center | |||
| Cómo habilitar o deshabilitar el acceso de los usuarios en la cuenta de administración | |||
| Registro o cancelación de una cuenta miembro como administrador delegado |
Asignación Cuenta de AWS de acceso
Puede usar los conjuntos de permisos para simplificar la forma en que asigna el acceso a los usuarios, grupos y Cuentas de AWS de su organización. Los conjuntos de permisos se guardan en IAM Identity Center y definen el nivel de acceso que tienen los usuarios y grupos en una cuenta Cuenta de AWS. Puede crear un único conjunto de permisos y asignarlo a varios Cuentas de AWS de su organización. También puede asignar varios conjuntos de permisos al mismo usuario.
Para obtener más información sobre los conjuntos de permisos, consulte Creación, administración y eliminación de conjuntos de permisos.
nota
También puede asignar a sus usuarios acceso de inicio de sesión único a las aplicaciones. Para obtener más información, consulte Administración del acceso a las aplicaciones.
La experiencia del usuario final
El portal de AWS acceso proporciona a los usuarios del IAM Identity Center un acceso de inicio de sesión único a todas sus aplicaciones Cuentas de AWS y aplicaciones asignadas a través de un portal web. El portal de AWS acceso es diferente del AWS Management Console, que es un conjunto de consolas de servicio para administrar los recursos. AWS
Al crear un conjunto de permisos, el nombre que especifique para el conjunto de permisos aparece en el portal de AWS acceso como un rol disponible. Los usuarios inician sesión en el portal de AWS acceso, eligen un rol y Cuenta de AWS, a continuación, eligen el rol. Tras elegir el rol, pueden acceder a los AWS servicios mediante el uso de las credenciales temporales AWS Management Console o recuperar las credenciales temporales para acceder a AWS los servicios mediante programación.
Para abrir AWS Management Console o recuperar las credenciales temporales y acceder a ellas AWS mediante programación, los usuarios siguen estos pasos:
-
Los usuarios abren una ventana del navegador y utilizan la URL de inicio de sesión que usted proporciona para ir al AWS portal de acceso.
-
Con sus credenciales de directorio, inician sesión en el portal de AWS acceso.
-
Tras la autenticación, en la página del portal de AWS acceso, eligen la pestaña Cuentas para ver la lista Cuentas de AWS a la que tienen acceso.
-
A continuación, los usuarios eligen lo Cuenta de AWS que quieren usar.
-
Debajo del nombre del Cuenta de AWS, todos los conjuntos de permisos a los que estén asignados los usuarios aparecen como roles disponibles. Por ejemplo, si asignó un usuario
john_stilesal conjunto dePowerUserpermisos, el rol se mostrará en el portal de AWS acceso comoPowerUser/john_stiles. Los usuarios que tienen asignados varios conjuntos de permisos eligen el rol de que quieren utilizar. Los usuarios pueden elegir su rol para acceder al AWS Management Console. -
Además del rol, los usuarios del portal de AWS acceso pueden recuperar credenciales temporales para el acceso mediante línea de comandos o mediante programación seleccionando las teclas de acceso.
Para step-by-step obtener información que puede proporcionar a los usuarios de su plantilla, consulte Uso del portal de AWS acceso yObtener las credenciales de usuario del IAM Identity Center para el AWS CLI o los SDK AWS.
Aplicación y limitación del acceso
Al habilitar IAM Identity Center, este crea un rol vinculado a un servicio. También puede usar políticas de control de servicios (SCP).
Delegación y aplicación del acceso
Un rol vinculado a un servicio es un tipo de rol de IAM que está vinculado directamente a un servicio. AWS Tras activar el Centro de identidad de IAM, el Centro de identidades de IAM puede crear un rol vinculado a un servicio en cada uno de los componentes de la organización. Cuenta de AWS Esta función proporciona permisos predefinidos que permiten al Centro de Identidad de IAM delegar y hacer cumplir qué usuarios tienen acceso de inicio de sesión único a determinados miembros de su organización. Cuentas de AWS AWS Organizations Para utilizar esta característica, debe asignar a uno o más usuarios el acceso a una cuenta. Para obtener más información, consulte Roles vinculados al servicio y Uso de roles vinculados a servicios para IAM Identity Center.
Límite de acceso al almacén de identidades desde las cuentas de los miembros
En el caso del servicio de almacén de identidades utilizado por IAM Identity Center, los usuarios que tienen acceso a una cuenta de miembro pueden utilizar acciones de la API que requieren permisos de lectura. Las cuentas de los miembros tienen acceso a las acciones de lectura en los espacios de nombres sso-directory e identitystore. Para obtener más información, consulte Acciones, recursos y claves de condición del AWS IAM Identity Center directorio y Acciones, recursos y claves de condición de AWS Identity Store en la Referencia de autorización de servicios.
Para evitar que los usuarios de las cuentas de los miembros utilicen las operaciones de la API en el almacén de identidades, puede asociar una política de control de servicio (SCP). Un SCP es un tipo de política de organización que puede utilizar para administrar permisos en su organización. El siguiente ejemplo de SCP impide que los usuarios de las cuentas de los miembros accedan a cualquier operación de la API del almacén de identidades.
{ "Sid": "ExplicitlyBlockIdentityStoreAccess", "Effect": "Deny", "Action": "identitystore:*", "sso-directory:*"], "Resource": "*" }
nota
Limitar el acceso de las cuentas de los miembros puede afectar a la funcionalidad de las aplicaciones habilitadas para IAM Identity Center.
Para obtener más información, consulte Políticas de control de servicios (SCP) en la Guía del usuario de AWS Organizations .
