Gestione dell'identità della forza lavoro

La gestione dell'identità della forza lavoro, illustrata nel diagramma seguente, si riferisce alla gestione dell'accesso umano alle risorse che aiutano a costruire e gestire le attività all'interno dell'infrastruttura e delle applicazioni cloud. Supporta il provisioning, la gestione e la rimozione dell'accesso in modo sicuro quando i dipendenti entrano a far parte di un'organizzazione, si spostano da un ruolo all'altro e lasciano l'organizzazione. Gli amministratori di identità possono creare identità direttamente in AWS o connettersi a un provider di identità (IdP) esterno per consentire ai dipendenti di utilizzare le proprie credenziali aziendali per accedere in modo sicuro agli account AWS e alle applicazioni aziendali da un'unica posizione.

Gestione delle identità della forza lavoro su AWS

Utilizzando AWS IAM Identity Center per gestire l'accesso alle applicazioni gestite da AWS, puoi trarre vantaggio da nuove funzionalità come la propagazione dell'identità affidabile dalla tua applicazione di query al servizio dati AWS e nuovi servizi come Amazon Q che forniscono un'esperienza utente continua mentre gli utenti passano da un servizio abilitato ad Amazon Q a un altro. L'uso di IAM Identity Center for AWS account access impedisce la creazione e l'utilizzo di utenti IAM, che hanno accesso a lungo termine alle risorse. Al contrario, consente alle identità della forza lavoro di accedere alle risorse negli account AWS utilizzando credenziali temporanee di IAM Identity Center, che è una best practice di sicurezza. I servizi di gestione delle identità della forza lavoro ti consentono di definire un controllo granulare degli accessi per le risorse o le applicazioni AWS nel tuo ambiente AWS multi-account in base a funzioni lavorative o attributi utente specifici. Questi servizi aiutano anche a controllare e rivedere le attività degli utenti all'interno del tuo ambiente AWS.

AWS offre diverse opzioni per la gestione dell'identità e degli accessi della forza lavoro: AWS IAM Identity Center, federazione IAM SAML e AWS Managed Microsoft AD.

AWS IAM Identity Center è il servizio consigliato per gestire l'accesso della forza lavoro alle applicazioni AWS e a più account AWS. È possibile utilizzare questo servizio con un'origine di identità esistente, ad esempio Okta, Microsoft Entra ID o Active Directory locale, oppure creando utenti nella relativa directory. IAM Identity Center fornisce a tutti i servizi AWS una comprensione condivisa degli utenti e dei gruppi della forza lavoro. Le applicazioni gestite da AWS si integrano con esso, quindi non è necessario connettere la fonte di identità individualmente a ciascun servizio e puoi gestire e visualizzare l'accesso alla tua forza lavoro da una posizione centrale. Puoi utilizzare IAM Identity Center per gestire l'accesso alle applicazioni AWS mentre continui a utilizzare la configurazione stabilita per accedere agli account AWS. Per i nuovi ambienti con più account, IAM Identity Center è il servizio consigliato per gestire l'accesso della forza lavoro all'ambiente. Puoi assegnare le autorizzazioni in modo coerente tra gli account AWS e i tuoi utenti riceveranno l'accesso Single Sign-On su AWS.
Un modo alternativo per concedere alla tua forza lavoro l'accesso agli account AWS è utilizzare la federazione IAM SAML 2.0. Ciò comporta la creazione di one-to-one fiducia tra l'IdP dell'organizzazione e ciascun account AWS e non è consigliato per gli ambienti con più account. All'interno dell'organizzazione, è necessario disporre di un IdP che supporti SAML 2.0, ad esempio Microsoft Entra ID, Okta o un altro provider SAML 2.0 compatibile.
Un'altra opzione è utilizzare Microsoft Active Directory (AD) come servizio gestito per eseguire carichi di lavoro compatibili con le directory in AWS. Puoi anche configurare una relazione di trust tra AWS Managed Microsoft AD nel cloud AWS e la tua Microsoft Active Directory locale esistente, per fornire a utenti e gruppi l'accesso alle risorse in entrambi i domini utilizzando AWS IAM Identity Center.

Considerazioni di natura progettuale

Sebbene questa sezione illustri diversi servizi e opzioni, ti consigliamo di utilizzare IAM Identity Center per gestire l'accesso alla forza lavoro, poiché presenta vantaggi rispetto agli altri due approcci. Le sezioni successive illustrano i vantaggi e i casi d'uso dei singoli approcci. Un numero crescente di applicazioni gestite da AWS richiede l'uso di IAM Identity Center. Se attualmente utilizzi la federazione IAM, puoi abilitare e utilizzare IAM Identity Center con le applicazioni AWS senza modificare le configurazioni esistenti.
Per migliorare la resilienza della federazione, ti consigliamo di configurare il tuo IdP e la federazione AWS per supportare più endpoint di accesso SAML. Per i dettagli, consulta il post del blog AWS Come usare gli endpoint SAML regionali per il failover.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestione delle identità

Centro di identità AWS IAM