Mengelola akses ke Akun AWS - AWS IAM Identity Center
Akun AWS jenis Menetapkan akses Akun AWSPengalaman pengguna akhirMenegakkan dan membatasi akses

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengelola akses ke Akun AWS

AWS IAM Identity Center terintegrasi dengan AWS Organizations, yang memungkinkan Anda mengelola izin secara terpusat di beberapa Akun AWS tanpa mengonfigurasi setiap akun Anda secara manual. Anda dapat menentukan izin dan menetapkan izin ini kepada pengguna tenaga kerja untuk mengontrol akses mereka ke spesifik. Akun AWS

Akun AWS jenis

Ada dua jenis Akun AWS di AWS Organizations:

  • Akun manajemen - Akun AWS Yang digunakan untuk membuat organisasi.

  • Akun anggota - Akun AWS Sisanya milik organisasi.

Untuk informasi selengkapnya tentang Akun AWS jenis, lihat AWS Organizations Terminologi dan Konsep di Panduan AWS Organizations Pengguna.

Anda juga dapat memilih untuk mendaftarkan akun anggota sebagai administrator yang didelegasikan untuk IAM Identity Center. Pengguna di akun ini dapat melakukan sebagian besar tugas administrasi Pusat Identitas IAM. Untuk informasi selengkapnya, lihat Administrator yang didelegasikan.

Untuk setiap tugas dan jenis akun, tabel berikut menunjukkan apakah tugas administratif Pusat Identitas IAM dapat dilakukan oleh pengguna di akun.

Tugas administrasi Pusat Identitas IAM Akun anggota Akun administrator yang didelegasikan Akun manajemen
Membaca pengguna atau grup (membaca grup itu sendiri dan keanggotaan grup) Ya Ya Ya
Menambahkan, mengedit, atau menghapus pengguna atau grup Tidak Ya Ya
Mengaktifkan atau menonaktifkan akses pengguna Tidak Ya Ya
Mengaktifkan, menonaktifkan, atau mengelola atribut yang masuk Tidak Ya Ya
Mengubah atau mengelola sumber identitas Tidak Ya Ya
Membuat, mengedit, atau menghapus aplikasi Tidak Ya Ya
Konfigurasikan MFA Tidak Ya Ya
Mengelola set izin yang tidak disediakan di akun manajemen Tidak Ya Ya
Mengelola set izin yang disediakan di akun manajemen Tidak Tidak Ya
Aktifkan Pusat Identitas IAM Tidak Tidak Ya
Hapus konfigurasi Pusat Identitas IAM Tidak Tidak Ya
Mengaktifkan atau menonaktifkan akses pengguna di akun manajemen Tidak Tidak Ya
Mendaftarkan atau membatalkan pendaftaran akun anggota sebagai administrator yang didelegasikan Tidak Tidak Ya

Menetapkan akses Akun AWS

Anda dapat menggunakan set izin untuk menyederhanakan cara Anda menetapkan pengguna dan grup dalam akses organisasi Anda. Akun AWS Set izin disimpan di Pusat Identitas IAM dan menentukan tingkat akses yang dimiliki pengguna dan grup ke. Akun AWS Anda dapat membuat satu set izin dan menetapkannya ke beberapa Akun AWS dalam organisasi Anda. Anda juga dapat menetapkan beberapa set izin ke pengguna yang sama.

Untuk informasi selengkapnya tentang set izin, lihatMembuat, mengelola, dan menghapus set izin.

catatan

Anda juga dapat menetapkan pengguna Anda akses masuk tunggal ke aplikasi. Untuk informasi, lihat Kelola akses ke aplikasi.

Pengalaman pengguna akhir

Portal AWS akses menyediakan pengguna IAM Identity Center dengan akses masuk tunggal ke semua yang ditugaskan Akun AWS dan aplikasi mereka melalui portal web. Portal AWS akses berbeda dari AWS Management Console, yang merupakan kumpulan konsol layanan untuk mengelola AWS sumber daya.

Saat Anda membuat set izin, nama yang Anda tentukan untuk set izin akan muncul di portal AWS akses sebagai peran yang tersedia. Pengguna masuk ke portal AWS akses, pilih Akun AWS, lalu pilih peran. Setelah mereka memilih peran, mereka dapat mengakses AWS layanan dengan menggunakan AWS Management Console atau mengambil kredensi sementara untuk mengakses AWS layanan secara terprogram.

Untuk membuka AWS Management Console atau mengambil kredensi sementara untuk mengakses AWS secara terprogram, pengguna menyelesaikan langkah-langkah berikut:

  1. Pengguna membuka jendela browser dan menggunakan URL masuk yang Anda berikan untuk menavigasi ke portal AWS akses.

  2. Menggunakan kredensi direktori mereka, mereka masuk ke portal AWS akses.

  3. Setelah otentikasi, pada halaman portal AWS akses, mereka memilih tab Akun untuk menampilkan daftar yang Akun AWS dapat mereka akses.

  4. Pengguna kemudian memilih Akun AWS yang ingin mereka gunakan.

  5. Di bawah nama Akun AWS, setiap set izin yang ditetapkan pengguna muncul sebagai peran yang tersedia. Misalnya, jika Anda menetapkan pengguna john_stiles ke set PowerUser izin, peran akan ditampilkan di portal AWS akses sebagaiPowerUser/john_stiles. Pengguna yang diberi beberapa set izin memilih peran mana yang akan digunakan. Pengguna dapat memilih peran mereka untuk mengakses AWS Management Console.

  6. Selain peran, pengguna portal AWS akses dapat mengambil kredensi sementara untuk baris perintah atau akses terprogram dengan memilih kunci Access.

Untuk step-by-step panduan yang dapat Anda berikan kepada pengguna tenaga kerja Anda, lihat Menggunakan portal AWS akses danMendapatkan kredensi pengguna IAM Identity Center untuk atau SDK AWS CLIAWS.

Menegakkan dan membatasi akses

Saat Anda mengaktifkan Pusat Identitas IAM, Pusat Identitas IAM membuat peran terkait layanan. Anda juga dapat menggunakan kebijakan kontrol layanan (SCP).

Mendelegasikan dan menegakkan akses

Peran terkait layanan adalah jenis peran IAM yang ditautkan langsung ke layanan. AWS Setelah Anda mengaktifkan Pusat Identitas IAM, Pusat Identitas IAM dapat membuat peran terkait layanan di masing-masing Akun AWS di organisasi Anda. Peran ini memberikan izin yang telah ditentukan sebelumnya yang memungkinkan Pusat Identitas IAM untuk mendelegasikan dan menegakkan pengguna mana yang memiliki akses masuk tunggal ke spesifik di organisasi Anda. Akun AWS AWS Organizations Anda perlu menetapkan satu atau beberapa pengguna dengan akses ke akun, untuk menggunakan peran ini. Untuk informasi selengkapnya, lihat Peran terkait layanan dan Menggunakan peran terkait layanan untuk IAM Identity Center.

Membatasi akses ke toko identitas dari akun anggota

Untuk layanan penyimpanan identitas yang digunakan oleh IAM Identity Center, pengguna yang memiliki akses ke akun anggota dapat menggunakan tindakan API yang memerlukan izin Baca. Akun anggota memiliki akses ke tindakan Baca di ruang nama direktori sso-dan identitystore. Untuk informasi selengkapnya, lihat Kunci tindakan, sumber daya, dan kondisi untuk AWS IAM Identity Center direktori dan Tindakan, sumber daya, dan kunci kondisi untuk AWS Identity Store di Referensi Otorisasi Layanan.

Untuk mencegah pengguna di akun anggota menggunakan operasi API di toko identitas, Anda dapat melampirkan kebijakan kontrol layanan (SCP). SCP adalah jenis kebijakan organisasi yang dapat Anda gunakan untuk mengelola izin di organisasi Anda. Contoh SCP berikut mencegah pengguna di akun anggota mengakses operasi API apa pun di toko identitas.

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": "identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
catatan

Membatasi akses akun anggota dapat mengganggu fungsionalitas dalam aplikasi yang diaktifkan IAM Identity Center.

Untuk informasi selengkapnya, lihat Kebijakan Kontrol Layanan (SCP) di Panduan Pengguna AWS Organizations .