Amministrazione delegata

L'amministrazione delegata offre agli utenti assegnati in un account membro registrato un modo pratico per eseguire la maggior parte delle attività amministrative di IAM Identity Center. Quando abiliti IAM Identity Center, per impostazione predefinita, l'istanza IAM Identity Center viene AWS Organizations creata nell'account di gestione. Originariamente è stato progettato in questo modo per consentire a IAM Identity Center di effettuare il provisioning, il de-provisioning e l'aggiornamento dei ruoli in tutti gli account dei membri dell'organizzazione. Anche se l'istanza IAM Identity Center deve sempre risiedere nell'account di gestione, puoi scegliere di delegare l'amministrazione di IAM Identity Center a un account membro in AWS Organizations, estendendo così la capacità di gestire IAM Identity Center dall'esterno dell'account di gestione.

L'abilitazione dell'amministrazione delegata offre i seguenti vantaggi:

• Riduce al minimo il numero di persone che richiedono l'accesso all'account di gestione per contribuire a mitigare i problemi di sicurezza

• Consente ad amministratori selezionati di assegnare utenti e gruppi alle applicazioni e agli account dei membri dell'organizzazione

Per ulteriori informazioni su come funziona IAM Identity Center AWS Organizations, consulta. Gestisci l'accesso a Account AWS Per ulteriori informazioni e per esaminare uno scenario aziendale di esempio che mostra come configurare l'amministrazione delegata, consulta Guida introduttiva all'amministrazione delegata di IAM Identity Center nel AWS Security Blog.

Best practice

Ecco alcune best practice da considerare prima di configurare l'amministrazione delegata.

• Concedi il privilegio minimo all'account di gestione: sapendo che l'account di gestione è un account con privilegi elevati e per rispettare il principio del privilegio minimo, consigliamo vivamente di limitare l'accesso all'account di gestione al minor numero di persone possibile. La funzionalità di amministratore delegato ha lo scopo di ridurre al minimo il numero di persone che richiedono l'accesso all'account di gestione.

• Crea set di autorizzazioni da utilizzare solo nell'account di gestione: ciò semplifica l'amministrazione dei set di autorizzazioni personalizzati solo per gli utenti che accedono all'account di gestione e aiuta a differenziarli dai set di autorizzazioni gestiti dall'account amministratore delegato.

• Considera la tua posizione in Active Directory: se prevedi di utilizzare Active Directory come fonte di identità di IAM Identity Center, individua la directory nell'account membro in cui hai abilitato la funzionalità di amministratore delegato di IAM Identity Center. Se decidi di modificare l'origine dell'identità di IAM Identity Center da qualsiasi altra fonte ad Active Directory o di cambiarla da Active Directory a qualsiasi altra fonte, la directory deve risiedere (essere di proprietà di) l'account membro amministratore delegato di IAM Identity Center, se esistente; in caso contrario, deve essere nell'account di gestione.

• Crea assegnazioni utente solo nell'account di gestione: l'amministratore delegato non può modificare i set di autorizzazioni forniti nell'account di gestione. Tuttavia, gli amministratori delegati possono aggiungere, modificare ed eliminare gruppi e assegnazioni di gruppo.

Prerequisiti

Prima di poter registrare un account come amministratore delegato, è necessario disporre del seguente ambiente:

• AWS Organizations deve essere abilitato e configurato con almeno un account membro oltre all'account di gestione predefinito.

• Se l'origine dell'identità è impostata su Active Directory, la Sincronizzazione AD configurabile con IAM Identity Center funzionalità deve essere abilitata.

Registra un account membro

Per configurare l'amministrazione delegata, devi prima registrare un account membro nella tua organizzazione come amministratore delegato. Gli utenti di quell'account membro che dispongono di autorizzazioni sufficienti avranno accesso amministrativo a IAM Identity Center. Dopo che un account membro è stato registrato con successo per l'amministrazione delegata, viene denominato account amministratore delegato. Per ulteriori informazioni sulle attività che l'account amministratore delegato può eseguire, consulta. Account AWS tipi

IAM Identity Center supporta la registrazione di un solo account membro come amministratore delegato alla volta. Puoi registrare un account membro solo dopo aver effettuato l'accesso con le credenziali dell'account di gestione.

Utilizza la seguente procedura per concedere l'accesso amministrativo a IAM Identity Center registrando un account membro specifico nella tua AWS organizzazione come amministratore delegato.

Importante

Questa operazione delega l'accesso amministrativo di IAM Identity Center agli utenti amministratori di questo account membro. Tutti gli utenti che dispongono di autorizzazioni sufficienti per questo account amministratore delegato possono eseguire tutte le attività amministrative di IAM Identity Center dall'account, ad eccezione di:

• Abilitazione di IAM Identity Center

• Eliminazione delle configurazioni di IAM Identity Center

• Gestione dei set di autorizzazioni forniti nell'account di gestione

• Registrazione o cancellazione degli account di altri membri come amministratori delegati

• Abilitazione o disabilitazione dell'accesso utente nell'account di gestione

L'amministratore delegato può modificare l'appartenenza al gruppo.

Per registrare un account membro

1. Accedi AWS Management Console utilizzando le credenziali del tuo account di gestione in AWS Organizations. Le credenziali dell'account di gestione sono necessarie per eseguire l'RegisterDelegatedAdministratorAPI.

2. Seleziona la regione in cui è abilitato IAM Identity Center, quindi apri la console IAM Identity Center.

3. Scegli Impostazioni, quindi seleziona la scheda Gestione.

4. Nella sezione Amministratore delegato, scegli Registra account.

5. Nella pagina Registra amministratore delegato, seleziona l'account Account AWS che desideri registrare, quindi scegli Registra account.

Annullamento della registrazione di un account membro

Puoi annullare la registrazione di un account membro solo dopo aver effettuato l'accesso con le credenziali dell'account di gestione.

Utilizza la seguente procedura per rimuovere l'accesso amministrativo da IAM Identity Center annullando la registrazione di un account membro AWS dell'organizzazione che era stato precedentemente designato come amministratore delegato.

Importante

Quando annulli la registrazione di un account, rimuovi di fatto la possibilità per tutti gli utenti amministratori di gestire IAM Identity Center da quell'account. Di conseguenza, non possono più amministrare le identità di IAM Identity Center, la gestione degli accessi, l'autenticazione o l'accesso alle applicazioni da questo account. Questa operazione non influirà sulle autorizzazioni o sulle assegnazioni configurate in IAM Identity Center e pertanto non avrà alcun impatto sugli utenti finali, che continueranno ad avere accesso alle loro app e Account AWS dall'interno del portale di accesso. AWS

Per annullare la registrazione di un account membro

1. Accedi AWS Management Console utilizzando le credenziali del tuo account di gestione in. AWS Organizations Le credenziali dell'account di gestione sono necessarie per eseguire l'DeregisterDelegatedAdministratorAPI.

2. Seleziona la regione in cui è abilitato IAM Identity Center, quindi apri la console IAM Identity Center.

3. Scegli Impostazioni, quindi seleziona la scheda Gestione.

4. Nella sezione Amministratore delegato, scegli Annulla registrazione account.

5. Nella finestra di dialogo Annulla registrazione account, esamina le implicazioni sulla sicurezza, quindi inserisci il nome dell'account membro per confermare di aver compreso.

6. Scegli Annulla registrazione account.

Visualizza quale account membro è stato registrato come amministratore delegato

Utilizza la seguente procedura per trovare quale account membro del tuo AWS Organizations è stato configurato come amministratore delegato per IAM Identity Center.

Per visualizzare il tuo account di membro registrato

1. Apri la console IAM Identity Center.

2. Seleziona Impostazioni.

3. Nella sezione Dettagli, individua il nome dell'account registrato in Amministratore delegato. È inoltre possibile individuare queste informazioni selezionando la scheda Gestione e visualizzandole nella sezione Amministratore delegato.