AWS IAM Identity Center conceitos para o AWS CLI - AWS Command Line Interface

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

AWS IAM Identity Center conceitos para o AWS CLI

Este tópico descreve os principais conceitos do AWS IAM Identity Center (IAMIdentity Center). IAMO Identity Center é um IAM serviço baseado em nuvem que simplifica o gerenciamento do acesso do usuário em vários Contas da AWS aplicativos e ferramentasSDKs, integrando-se aos provedores de identidade (IdP) existentes. Ele permite login único seguro, gerenciamento de permissões e auditoria por meio de um portal de usuário centralizado, simplificando a governança de identidade e acesso para organizações.

O que é o IAM Identity Center

IAMO Identity Center é um serviço de gerenciamento de identidade e acesso (IAM) baseado em nuvem que permite gerenciar centralmente o acesso a vários aplicativos Contas da AWS e aplicativos comerciais.

Ele fornece um portal de usuário onde usuários autorizados podem acessar Contas da AWS os aplicativos para os quais receberam permissão, usando suas credenciais corporativas existentes. Isso permite que as organizações apliquem políticas de segurança consistentes e simplifiquem o gerenciamento do acesso dos usuários.

Independentemente de qual IdP você usa, o IAM Identity Center abstrai essas distinções. Por exemplo, você pode conectar o Microsoft Azure AD conforme descrito no artigo do blog The Next Evolution in IAM Identity Center.

nota

Para obter informações sobre como usar a autenticação do portador, que não usa ID de conta e função, consulte Configuração para usar o AWS CLI with CodeCatalyst no Guia CodeCatalyst do usuário da Amazon.

Termos

Os termos comuns ao usar o IAM Identity Center são os seguintes:

Provedor de identidade (IdP)

Um sistema de gerenciamento de IAM identidade, como Identity Center, Microsoft Azure AD, Okta ou seu próprio serviço de diretório corporativo.

AWS IAM Identity Center

IAMO Identity Center é o serviço AWS de IdP de propriedade. Anteriormente conhecido como AWS Single Sign-On, as ferramentas mantêm SDKs os sso API namespaces para compatibilidade com versões anteriores. Para obter mais informações, consulte Renomear o IAM Identity Center no Guia do AWS IAM Identity Center usuário.

Portal de acesso da AWS

Sua Central de IAM Identidade exclusiva URL para acessar suas autorizações Contas da AWS, serviços e recursos.

Federação

O processo de estabelecer confiança entre o IAM Identity Center e um provedor de identidade para permitir o login único ()SSO.

Contas da AWS

Contas da AWS Aquele ao qual você fornece acesso aos usuários por meio de AWS IAM Identity Center.

Conjuntos de permissões, AWS credenciais, credenciais, credenciais sigv4

Coleções predefinidas de permissões que podem ser atribuídas a usuários ou grupos aos quais conceder acesso Serviços da AWS.

Escopos de registro, escopos de acesso, escopos

Os escopos são um mecanismo na OAuth versão 2.0 para limitar o acesso de um aplicativo à conta de um usuário. Um aplicativo pode solicitar um ou mais escopos, e o token de acesso emitido para o aplicativo está limitado aos escopos concedidos. Para obter informações sobre escopos, consulte Escopos de acesso OAuth 2.0 no Guia do usuário do IAM Identity Center.

Tokens, token de atualização, token de acesso

Os tokens são credenciais de segurança temporárias emitidas para você após a autenticação. Esses tokens contêm informações sobre sua identidade e as permissões que você recebeu.

Quando você acessa um AWS recurso ou aplicativo pelo portal do IAM Identity Center, seu token é apresentado AWS para autenticação e autorização. Isso permite AWS verificar sua identidade e garantir que você tenha as permissões necessárias para realizar as ações solicitadas.

O token de autenticação é armazenado em cache no disco sob o ~/.aws/sso/cache diretório com um nome de JSON arquivo baseado no nome da sessão.

Sessão

Uma sessão do IAM Identity Center se refere ao período em que um usuário é autenticado e autorizado a acessar AWS recursos ou aplicativos. Quando um usuário entra no portal do IAM Identity Center, uma sessão é estabelecida e o token do usuário é válido por um período especificado. Para obter mais informações sobre como definir a duração da sessão, consulte Definir a duração da sessão no Guia do AWS IAM Identity Center usuário.

Durante a sessão, você pode navegar entre AWS contas e aplicativos diferentes sem precisar se autenticar novamente, desde que a sessão permaneça ativa. Quando a sessão expirar, entre novamente para renovar seu acesso.

IAMAs sessões do Identity Center ajudam a fornecer uma experiência de usuário perfeita e, ao mesmo tempo, aplicam as melhores práticas de segurança ao limitar a validade das credenciais de acesso do usuário.

Como funciona o IAM Identity Center

IAMO Identity Center se integra ao provedor de identidade da sua organização, como IAM Identity Center, Microsoft Azure AD ou Okta. Os usuários se autenticam nesse provedor de IAM identidade e, em seguida, o Identity Center mapeia essas identidades com as permissões e o acesso apropriados em seu AWS ambiente.

O seguinte fluxo de trabalho do IAM Identity Center pressupõe que você já tenha configurado o seu AWS CLI para usar o IAM Identity Center:

  1. No seu terminal preferido, execute o aws sso login comando.

  2. Faça login no seu Portal de acesso da AWS para iniciar uma nova sessão.

    • Ao iniciar uma nova sessão, você recebe um token de atualização e um token de acesso que são armazenados em cache.

    • Se você já tiver uma sessão ativa, a sessão existente será reutilizada e expirará quando a sessão existente expirar.

  3. Com base no perfil que você configurou em seu config arquivo, o IAM Identity Center assume os conjuntos de permissões apropriados, concedendo acesso aos aplicativos relevantes Contas da AWS .

  4. As ferramentas AWS CLI,SDKs, e usam sua IAM função assumida para fazer chamadas para, Serviços da AWS como criar buckets do Amazon S3, até que a sessão expire.

  5. O token de acesso do IAM Identity Center é verificado de hora em hora e atualizado automaticamente usando o token de atualização.

    • Se o token de acesso expirar, a ferramenta SDK or usa o token de atualização para obter um novo token de acesso. As durações das sessões desses tokens são então comparadas e, se o token de atualização não expirar, o IAM Identity Center fornece um novo token de acesso.

    • Se o token de atualização tiver expirado, nenhum novo token de acesso será fornecido e sua sessão será encerrada.

  6. As sessões terminam após a expiração dos tokens de atualização ou quando você se desconecta manualmente usando o aws sso logout comando. As credenciais em cache são removidas. Para continuar acessando os serviços usando o IAM Identity Center, você deve iniciar uma nova sessão usando o aws sso login comando.

Recursos adicionais

Os recursos adicionais são os seguintes.