Account AWS accedi - AWS IAM Identity Center
Account AWS tipi Assegnazione Account AWS accedi Esperienza dell'utente finaleFar rispettare e limitare l'accesso

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Account AWS accedi

AWS IAM Identity Center è integrato con AWS Organizations, che consente di gestire centralmente le autorizzazioni su più autorizzazioni Account AWS senza configurare manualmente ciascuno dei tuoi account. Puoi definire le autorizzazioni e assegnarle agli utenti della forza lavoro per controllarne l'accesso a specifiche Account AWS utilizzando un'istanza organizzativa di Identity Center. IAM Le istanze di account di IAM Identity Center non supportano l'accesso all'account.

Account AWS tipi

Esistono due tipi di Account AWS in AWS Organizations:

  • Account di gestione - The Account AWS utilizzato per creare l'organizzazione.

  • Account dei membri - Il resto del Account AWS che appartengono a un'organizzazione.

Per ulteriori informazioni sull' Account AWS tipi, vedi AWS Organizations Terminologia e concetti in AWS Organizations Guida per l'utente.

Puoi anche scegliere di registrare un account membro come amministratore delegato per IAM Identity Center. Gli utenti di questo account possono eseguire la maggior parte delle attività amministrative di IAM Identity Center. Per ulteriori informazioni, consulta Amministrazione delegata.

Per ogni attività e tipo di account, la tabella seguente indica se l'attività amministrativa di IAM Identity Center può essere eseguita dagli utenti dell'account.

IAMAttività amministrative di Identity Center Account membro Account amministratore delegato Gestione dell'account
Leggi utenti o gruppi (lettura del gruppo stesso e dei membri del gruppo)
Aggiungere, modificare o eliminare utenti o gruppi No
Abilita o disabilita l'accesso degli utenti No
Abilita, disabilita o gestisci gli attributi in entrata No
Modifica o gestisci le fonti di identità No
Crea, modifica o elimina applicazioni gestite dai clienti No
Creare, modificare o eliminare AWS applicazioni gestite
Configurare MFA No
Gestisci i set di autorizzazioni non forniti nell'account di gestione No
Gestisci i set di autorizzazioni forniti nell'account di gestione No No
Abilita IAM Identity Center No No
Elimina la configurazione di IAM Identity Center No No
Abilita o disabilita l'accesso degli utenti nell'account di gestione No No
Registrare o annullare la registrazione di un account membro come amministratore delegato No No

Assegnazione Account AWS accedi

È possibile utilizzare i set di autorizzazioni per semplificare il modo in cui si assegna l'accesso a utenti e gruppi dell'organizzazione Account AWS. I set di autorizzazioni sono archiviati in IAM Identity Center e definiscono il livello di accesso di utenti e gruppi a un Account AWS. È possibile creare un singolo set di autorizzazioni e assegnarlo a più Account AWS all'interno della tua organizzazione. Puoi anche assegnare più set di autorizzazioni allo stesso utente.

Per ulteriori informazioni sui set di autorizzazioni, consulta Creare, gestire ed eliminare i set di autorizzazioni.

Nota

Puoi anche assegnare ai tuoi utenti l'accesso Single Sign-On alle applicazioni. Per informazioni, consultare Accesso alle applicazioni.

Esperienza dell'utente finale

Il AWS il portale di accesso fornisce agli utenti di IAM Identity Center l'accesso Single Sign-On a tutti i loro assegnati Account AWS e applicazioni tramite un portale web. Il AWS il portale di accesso è diverso dal AWS Management Console, che è una raccolta di console di servizio per la gestione AWS risorse.

Quando si crea un set di autorizzazioni, il nome specificato per il set di autorizzazioni viene visualizzato nella AWS accedere al portale come ruolo disponibile. Gli utenti accedono al AWS accedi al portale, scegli un Account AWS, quindi scegli il ruolo. Dopo aver scelto il ruolo, possono accedere AWS servizi utilizzando il AWS Management Console o recupera le credenziali temporanee per accedere AWS servizi a livello di codice.

Per aprire il AWS Management Console o recupera le credenziali temporanee per accedere AWS a livello di codice, gli utenti completano i seguenti passaggi:

  1. Gli utenti aprono una finestra del browser e utilizzano l'accesso URL fornito dall'utente per accedere a AWS portale di accesso.

  2. Utilizzando le proprie credenziali di directory, accedono al AWS portale di accesso.

  3. Dopo l'autenticazione, su AWS accedono alla pagina del portale, scelgono la scheda Account per visualizzare l'elenco di Account AWS a cui hanno accesso.

  4. Gli utenti scelgono quindi il Account AWS che vogliono usare.

  5. Di seguito il nome del Account AWS, tutti i set di autorizzazioni a cui sono assegnati gli utenti vengono visualizzati come ruoli disponibili. Ad esempio, se è stato assegnato un utente john_stiles al set di PowerUser autorizzazioni, il ruolo viene visualizzato nella AWS accedi al portale comePowerUser/john_stiles. Gli utenti a cui sono assegnati più set di autorizzazioni scelgono il ruolo da utilizzare. Gli utenti possono scegliere il proprio ruolo per accedere al AWS Management Console.

  6. Oltre al ruolo, AWS gli utenti del portale di accesso possono recuperare le credenziali temporanee per l'accesso da riga di comando o programmatico scegliendo le chiavi di accesso.

Per step-by-step indicazioni da fornire agli utenti della forza lavoro, consulta e. Utilizzo di AWS portale di accesso Ottenere le credenziali utente di IAM Identity Center per AWS CLI oppure AWS SDKs

Far rispettare e limitare l'accesso

Quando si abilita IAM Identity Center, IAM Identity Center crea un ruolo collegato al servizio. È inoltre possibile utilizzare le politiche di controllo del servizio ()SCPs.

Delegare e far rispettare l'accesso

Un ruolo collegato al servizio è un tipo di IAM ruolo collegato direttamente a un AWS servizio. Dopo aver abilitato IAM Identity Center, IAM Identity Center può creare un ruolo collegato al servizio in ogni Account AWS nella tua organizzazione. Questo ruolo fornisce autorizzazioni predefinite che consentono a IAM Identity Center di delegare e stabilire quali utenti dispongono dell'accesso Single Sign-On a determinati utenti Account AWS nella tua organizzazione in AWS Organizations. È necessario assegnare a uno o più utenti l'accesso a un account per utilizzare questo ruolo. Per ulteriori informazioni, consulta Comprensione dei ruoli collegati ai servizi in Identity Center IAM e Utilizzo di ruoli collegati ai servizi per Identity Center IAM.

Limitazione dell'accesso all'archivio di identità dagli account dei membri

Per il servizio di archiviazione delle identità utilizzato da IAM Identity Center, gli utenti che hanno accesso a un account membro possono utilizzare API azioni che richiedono autorizzazioni di lettura. Gli account dei membri hanno accesso alle azioni di lettura sia negli spazi dei nomi sso-directory che identitystore. Per ulteriori informazioni, consulta Azioni, risorse e chiavi di condizione per AWS IAM Identity Center directory e azioni, risorse e chiavi di condizione per AWS Identity Store nel riferimento di autorizzazione del servizio.

Per impedire agli utenti degli account dei membri di utilizzare API le operazioni nell'archivio di identità, puoi allegare una politica di controllo del servizio (SCP). An SCP è un tipo di politica organizzativa che è possibile utilizzare per gestire le autorizzazioni all'interno dell'organizzazione. L'esempio seguente SCP impedisce agli utenti degli account dei membri di accedere a qualsiasi API operazione nell'archivio di identità.

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": "identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
Nota

La limitazione dell'accesso agli account dei membri potrebbe compromettere la funzionalità delle applicazioni abilitate per IAM Identity Center.

Per ulteriori informazioni, vedere Service control policies () SCPs nel AWS Organizations Guida per l'utente.