Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
AWS applicazioni gestite
AWS le applicazioni gestite si integrano con IAM Identity Center e le utilizzano per i servizi di autenticazione e directory.
L'integrazione delle applicazioni AWS gestite con IAM Identity Center offre un percorso più semplice per assegnare l'accesso agli utenti, senza la necessità di configurare una federazione o una sincronizzazione di utenti e gruppi separate per ciascuna applicazione. È possibile connettere la fonte di identità che si desidera utilizzare per l'autenticazione una sola volta e ottenere una visualizzazione unica delle assegnazioni di utenti e gruppi. Gli amministratori delle applicazioni che consentono la propagazione affidabile delle identità sono in grado di definire e controllare l'accesso alle risorse delle applicazioni in base all'appartenenza di un utente o al gruppo dell'utente, senza la necessità di mapparle ai ruoli. IAM
AWS le applicazioni gestite forniscono un'interfaccia utente amministrativa che è possibile utilizzare per gestire l'accesso alle risorse delle applicazioni. Ad esempio, QuickSight gli amministratori possono assegnare agli utenti l'accesso ai dashboard in base all'appartenenza al gruppo. La maggior parte delle applicazioni AWS gestite offre inoltre un' AWS Management Console esperienza che consente di assegnare utenti all'applicazione. L'esperienza da console per queste applicazioni potrebbe integrare entrambe le funzioni, per combinare le funzionalità di assegnazione degli utenti con la capacità di gestire l'accesso alle risorse delle applicazioni.
AWS le applicazioni gestite integrate con IAM Identity Center includono:
AWS applicazioni gestite che si integrano con IAM Identity Center | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS applicazione gestita | Integrato con l'istanza organizzativa di IAM Identity Center | Integrato con le istanze di account di IAM Identity Center | Consente la propagazione affidabile dell'identità tramite IAM Identity Center | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Athena SQL | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon CodeCatalyst | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| EMRNotebook Amazon | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EMR su Amazon EC2 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EMR Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Kendra | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Grafana gestito da Amazon | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Monitron | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Nimble Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Pinpoint | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Q Business | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Sviluppatore Amazon Q | |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon QuickSight | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Redshift | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Concessioni di accesso ad Amazon S3 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon SageMaker Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon WorkSpaces Web | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS CLI | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Deadline Cloud | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS IoT Events | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS IoT Fleet Hub | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS IoT SiteWise | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Lake Formation | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Catena di approvvigionamento di AWS | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Systems Manager | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Accesso verificato da AWS | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
* Le istanze di account di IAM Identity Center sono supportate a meno che gli utenti non richiedano l'accesso al set completo di funzionalità di Amazon Q Developer sui AWS siti Web. Per ulteriori informazioni, consulta Configurazione di Amazon Q Developer nella Amazon Q Developer User Guide.
Argomenti
- Controllo dell'accesso
- Coordinamento delle attività amministrative
- Configurazione di IAM Identity Center per condividere le informazioni sull'identità
- Considerazioni sulla condivisione delle informazioni sull'identità in Account AWS
- Attivazione di sessioni di console con riconoscimento dell'identità
- Limitazione dell'uso di applicazioni gestite AWS
- Visualizzazione e aggiornamento dei dettagli su un'applicazione AWS gestita
- Disabilitazione di un'applicazione gestita AWS
Controllo dell'accesso
L'accesso alle applicazioni AWS gestite è controllato in due modi:
-
Accesso iniziale all'applicazione: IAM Identity Center lo gestisce tramite assegnazioni all'applicazione. Per impostazione predefinita, le assegnazioni sono obbligatorie per le applicazioni AWS gestite.
-
Accesso alle risorse dell'applicazione: l'applicazione lo gestisce tramite assegnazioni di risorse indipendenti che controlla.
Coordinamento delle attività amministrative
Se sei un amministratore dell'applicazione, puoi scegliere se richiedere assegnazioni a un'applicazione. Se sono richieste assegnazioni, quando gli utenti AWS accedono al portale di accesso, solo gli utenti assegnati all'applicazione direttamente o tramite un'assegnazione di gruppo possono visualizzare il riquadro dell'applicazione. In alternativa, se le assegnazioni non sono obbligatorie, è possibile consentire a tutti gli utenti di IAM Identity Center di accedere all'applicazione. In questo caso, l'applicazione gestisce l'accesso alle risorse e il riquadro dell'applicazione è visibile a tutti gli utenti che visitano il portale di AWS accesso.
Se sei un amministratore di IAM Identity Center, puoi utilizzare la console IAM Identity Center per rimuovere le assegnazioni alle applicazioni AWS gestite. Prima di rimuovere le assegnazioni, ti consigliamo di coordinarti con l'amministratore dell'applicazione. È inoltre necessario coordinarsi con l'amministratore dell'applicazione se si intende modificare l'impostazione che determina se sono necessarie le assegnazioni o automatizzare le assegnazioni delle applicazioni.
Configurazione di IAM Identity Center per condividere le informazioni sull'identità
IAMIdentity Center fornisce un archivio di identità che contiene gli attributi di utenti e gruppi, escluse le credenziali di accesso. È possibile utilizzare uno dei seguenti metodi per mantenere aggiornati gli utenti e i gruppi nell'archivio di IAM identità di Identity Center:
-
Utilizza l'archivio di IAM identità di Identity Center come fonte di identità principale. Se scegli questo metodo, gestisci gli utenti, le relative credenziali di accesso e i gruppi dall'interno della console di IAM Identity Center o AWS Command Line Interface ()AWS CLI. Per ulteriori informazioni, consulta Gestisci le identità in IAM Identity Center.
-
Imposta il provisioning (sincronizzazione) di utenti e gruppi provenienti da una delle seguenti fonti di identità nell'archivio di identità di IAM Identity Center:
-
Active Directory: per ulteriori informazioni, vedere. Connect a una Microsoft AD directory
-
Provider di identità esterno: per ulteriori informazioni, vedereGestire un provider di identità esterno.
Se scegli questo metodo di provisioning, continui a gestire gli utenti e i gruppi dall'interno della tua fonte di identità e tali modifiche vengono sincronizzate con l'archivio di IAM identità di Identity Center.
-
Qualunque sia la fonte di identità scelta, IAM Identity Center può condividere le informazioni su utenti e gruppi con AWS applicazioni gestite. In questo modo, è possibile connettere una fonte di IAM identità a Identity Center una sola volta e quindi condividere le informazioni sull'identità con più applicazioni in. Cloud AWS Ciò elimina la necessità di configurare in modo indipendente la federazione e il provisioning delle identità con ciascuna applicazione. Questa funzionalità di condivisione semplifica inoltre l'accesso degli utenti a molte applicazioni diverse Account AWS.
Considerazioni sulla condivisione delle informazioni sull'identità in Account AWS
IAMIdentity Center supporta gli attributi più comunemente utilizzati in tutte le applicazioni. Questi attributi includono nome e cognome, numero di telefono, indirizzo e-mail, indirizzo e lingua preferita. Valuta attentamente quali applicazioni e quali account possono utilizzare queste informazioni di identificazione personale.
È possibile controllare l'accesso a queste informazioni in uno dei seguenti modi. Puoi scegliere di abilitare l'accesso solo nell'account di AWS Organizations gestione o in tutti gli account in AWS Organizations. In alternativa, è possibile utilizzare le policy di controllo del servizio (SCPs) per controllare quali applicazioni possono accedere alle informazioni in quali account AWS Organizations. Ad esempio, se si abilita l'accesso solo nell'account di AWS Organizations gestione, le applicazioni negli account dei membri non hanno accesso alle informazioni. Tuttavia, se si abilita l'accesso in tutti gli account, è possibile utilizzare questa opzione SCPs per impedire l'accesso a tutte le applicazioni ad eccezione di quelle che si desidera autorizzare.
Attivazione di sessioni di console con riconoscimento dell'identità
Una sessione con riconoscimento dell'identità per la console migliora la sessione di AWS console di un utente fornendo un contesto utente aggiuntivo per personalizzare l'esperienza dell'utente. Questa funzionalità è attualmente supportata per gli utenti Amazon Q Developer Pro di Amazon Q su AWS app e siti Web.
Puoi abilitare sessioni di console con riconoscimento dell'identità senza apportare modifiche ai modelli di accesso o alla federazione esistenti nella console. AWS Se gli utenti accedono alla AWS console con IAM (ad esempio, se accedono come IAM utenti o tramite accesso federato conIAM), possono continuare a utilizzare questi metodi. Se gli utenti accedono al portale di AWS accesso, possono continuare a utilizzare le proprie credenziali utente di IAM Identity Center.
Argomenti
Prerequisiti e considerazioni
Prima di abilitare le sessioni della console con riconoscimento dell'identità, esamina i prerequisiti e le considerazioni seguenti:
-
Se i tuoi utenti accedono ad Amazon Q da AWS app e siti Web tramite un abbonamento Amazon Q Developer Pro, devi abilitare le sessioni di console con riconoscimento dell'identità.
Nota
Gli utenti di Amazon Q Developer possono accedere ad Amazon Q senza sessioni con riconoscimento dell'identità, ma non avranno accesso ai loro abbonamenti Amazon Q Developer Pro.
-
L'integrazione con Amazon Q non è supportata se abiliti IAM Identity Center in un opt-in Regione AWS.
-
Dopo aver abilitato le sessioni di console con riconoscimento dell'identità, non puoi disabilitare questa funzionalità.
-
Per abilitare le sessioni di console con riconoscimento dell'identità, devi disporre delle seguenti autorizzazioni:
-
sso:CreateApplication -
sso:GetSharedSsoConfiguration -
sso:ListApplications -
sso:PutApplicationAssignmentConfiguration -
sso:PutApplicationAuthenticationMethod -
sso:PutApplicationGrant -
sso:PutApplicationAccessScope -
signin:CreateTrustedIdentityPropagationApplicationForConsole -
signin:ListTrustedIdentityPropagationApplicationsForConsole
-
-
Per consentire agli utenti di utilizzare sessioni di console con riconoscimento dell'identità, è necessario concedere loro l'autorizzazione in base a una politica basata sull'identità.
sts:setContextPer informazioni, consulta Concessione agli utenti delle autorizzazioni per l'utilizzo di sessioni di console con riconoscimento dell'identità.
Come abilitare le sessioni identity-aware-console
Puoi abilitare sessioni di console con riconoscimento dell'identità nella console Amazon Q o nella console IAM Identity Center.
Abilita sessioni di console con riconoscimento dell'identità nella console Amazon Q
Prima di abilitare le sessioni di console con riconoscimento dell'identità, è necessario disporre di un'istanza organizzativa di IAM Identity Center con una fonte di identità connessa. Se hai già configurato IAM Identity Center, vai al passaggio 3.
-
Apri la console IAM Identity Center. Scegli Abilita e crea un'istanza organizzativa di IAM Identity Center. Per informazioni, consultare Abilitazione AWS IAM Identity Center.
-
Connetti la tua fonte di IAM identità a Identity Center e fornisci agli utenti IAM Identity Center. Puoi connettere la tua fonte di identità esistente a IAM Identity Center o utilizzare la directory Identity Center se non stai già utilizzando un'altra fonte di identità. Per ulteriori informazioni, consulta Tutorial introduttivi.
-
Dopo aver completato la configurazione di IAM Identity Center, apri la console Amazon Q e segui i passaggi in Abbonamenti nella Amazon Q Developer User Guide. Assicurati di abilitare le sessioni di console con riconoscimento dell'identità.
Nota
Se non disponi di autorizzazioni sufficienti per abilitare le sessioni di console con riconoscimento dell'identità, potresti dover chiedere a un amministratore IAM dell'Identity Center di eseguire questa operazione per te nella console di Identity Center. IAM Per ulteriori informazioni, consulta la procedura successiva.
Abilita le sessioni di console con riconoscimento dell'identità nella console di Identity Center IAM
Se sei un amministratore di IAM Identity Center, un altro amministratore potrebbe chiederti di abilitare le sessioni di console con riconoscimento dell'identità nella console di Identity Center. IAM
-
Apri la console IAM Identity Center.
-
Nel pannello di navigazione scegli Impostazioni.
-
In Abilita sessioni con riconoscimento dell'identità, scegli Abilita.
-
Nel secondo messaggio, scegli Abilita.
-
Dopo aver abilitato le sessioni della console con riconoscimento dell'identità, viene visualizzato un messaggio di conferma nella parte superiore della pagina Impostazioni.
-
Nella sezione Dettagli, lo stato delle sessioni con riconoscimento dell'identità è Abilitato.
Come funzionano le sessioni di console con riconoscimento dell'identità
IAMIdentity Center migliora la sessione corrente della console di un utente per includere l'ID dell'utente attivo di IAM Identity Center e l'ID di sessione di IAM Identity Center.
Le sessioni di console con riconoscimento dell'identità includono i tre valori seguenti:
-
Identity Store user ID (archivio di identità: UserId): questo valore viene utilizzato per identificare in modo univoco un utente nella fonte di identità connessa a Identity Center. IAM
-
Identity Store directory ARN (archivio di identità: IdentityStoreArn): questo valore è l'archivio ARN di identità connesso a IAM Identity Center e in cui è possibile cercare gli attributi.
identitystore:UserId -
IAMID di sessione di Identity Center: questo valore indica se la sessione di IAM Identity Center dell'utente è ancora valida.
I valori sono gli stessi, ma ottenuti in modi diversi e aggiunti in diversi punti del processo, a seconda di come l'utente accede:
-
IAMIdentity Center (portale di AWS accesso): in questo caso, l'ID utente e ARN i valori dell'archivio di identità dell'utente sono già forniti nella sessione attiva di IAM Identity Center. IAMIdentity Center migliora la sessione corrente aggiungendo solo l'ID di sessione.
-
Altri metodi di accesso: se l'utente accede AWS come IAM utente, con un IAM ruolo o come utente federato conIAM, non viene fornito nessuno di questi valori. IAMIdentity Center migliora la sessione corrente aggiungendo l'ID utente dell'archivio di identità, la directory ARN dell'archivio di identità e l'ID della sessione.
Limitazione dell'uso di applicazioni gestite AWS
Quando si attiva IAM Identity Center per la prima volta, AWS consente l'uso automatico delle applicazioni AWS gestite in tutti gli account di. AWS Organizations Per limitare le applicazioni, è necessario implementareSCPs. È possibile SCPs utilizzarlo per bloccare l'accesso alle informazioni su utenti e gruppi di IAM Identity Center e impedire l'avvio dell'applicazione, tranne che negli account designati.
Visualizzazione e aggiornamento dei dettagli su un'applicazione AWS gestita
Dopo aver connesso un'applicazione AWS gestita a IAM Identity Center utilizzando la console o APIs per l'applicazione, l'applicazione viene registrata con IAM Identity Center. Dopo aver registrato un'applicazione con IAM Identity Center, è possibile visualizzare e aggiornare informazioni dettagliate sull'applicazione nella console di IAM Identity Center.
Per visualizzare informazioni su un'applicazione AWS gestita nella console di IAM Identity Center
-
Aprire la console IAM Identity Center
. -
Selezionare Applications (Applicazioni).
-
Scegli la scheda AWS gestita.
-
Scegli il link per l'applicazione gestita che desideri aprire e visualizzare.
-
Le informazioni sull'applicazione includono se sono necessarie le assegnazioni di utenti e gruppi e, se applicabile, utenti e gruppi assegnati e applicazioni affidabili per la propagazione delle identità. Per informazioni sulla propagazione delle identità affidabili, vedere. Propagazione delle identità attendibili tra le applicazioni
Per aggiornare le informazioni su un'applicazione AWS gestita nella console di IAM Identity Center
-
Aprire la console IAM Identity Center
. -
Selezionare Applications (Applicazioni).
-
Scegli la scheda AWS gestita.
-
Scegli il link per l'applicazione gestita che desideri aprire e aggiornare.
-
Scegli Azione, quindi scegli Modifica dettagli.
-
È possibile modificare il nome visualizzato, la descrizione dell'applicazione e il metodo di assegnazione di utenti e gruppi.
-
Per modificare il nome visualizzato, immettete il nome desiderato nel campo Nome visualizzato e scegliete Salva modifiche.
-
Per modificare la descrizione, inserisci la descrizione desiderata nel campo Descrizione e scegli Salva modifiche.
-
Per modificare il metodo di assegnazione di utenti e gruppi, apporta la modifica desiderata e scegli Salva modifiche. Per ulteriori informazioni, consulta Utenti, gruppi e provisioning.
-
Disabilitazione di un'applicazione gestita AWS
Per impedire agli utenti di autenticarsi su un'applicazione AWS gestita, è possibile disabilitare l'applicazione nella console di IAM Identity Center.
avvertimento
La disabilitazione di un'applicazione comporta l'eliminazione di tutte le autorizzazioni utente relative all'applicazione, la disconnette da IAM Identity Center e la rende inaccessibile. Se sei un amministratore di IAM Identity Center, ti consigliamo di coordinarti con l'amministratore dell'applicazione prima di eseguire questa attività.
Per disabilitare un'applicazione AWS gestita
-
Aprire la console IAM Identity Center
. -
Selezionare Applications (Applicazioni).
-
Nella pagina Applicazioni, in Applicazioni AWS gestite, scegli l'applicazione che desideri disabilitare.
-
Con l'applicazione selezionata, scegli Azioni, quindi scegli Disabilita.
-
Nella finestra di dialogo Disattiva applicazione, scegliete Disabilita.
-
Nell'elenco delle applicazioni AWS gestite, lo stato dell'applicazione appare come Inattivo.
