Gerenciamento de usuários e acesso por meio do AWS IAM Identity Center (successor to AWS Single Sign-On) - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de usuários e acesso por meio do AWS IAM Identity Center (successor to AWS Single Sign-On)

AWS IAM Identity Center (successor to AWS Single Sign-On)O é um serviço baseado em nuvem que simplifica o gerenciamento doIAM Identity Centeracesso aoAWScontas e aplicativos de negócios. Você pode controlarIAM Identity Centeracesso e permissões de usuário em todos osAWScontas emAWS Organizations. Você também pode administrar o acesso a aplicativos de negócios populares e aplicativos personalizados que oferecem suporte ao Security Assertion Markup Language (SAML) 2.0. Além disso,IAM Identity CenterA oferece um portal do usuário no qual seus usuários podem encontrar todos osAWScontas, aplicativos de negócios e aplicativos personalizados em um só lugar. Para obter mais informações, consulte o Guia do usuário do AWS IAM Identity Center (successor to AWS Single Sign-On).

Trabalhar com oAWS IAM Identity Centere AWS Control Tower

Na AWS Control TowerAWS IAM Identity Center (successor to AWS Single Sign-On)permite que os administradores da nuvem central e os usuários finais gerenciem o acesso a váriosAWScontas e aplicativos de negócios. A AWS Control Tower usa esse serviço para configurar e gerenciar o acesso às contas criadas por meio daAWS Service Catalog.

Para obter um breve tutorial sobre como configurar oIAM Identity Centerusuários e permissões na AWS Control Tower, assista a este vídeo (6:23). Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

Sobre a configuração da AWS Control Tower comIAM Identity Center

Quando você configura inicialmente a AWS Control Tower, somente o usuário raiz e todos os usuários do IAM com as permissões corretas podem adicionarIAM Identity Centerusuários. No entanto, depois que os usuários finais forem adicionados aoAWSAccountFactorygrupo, eles podem criar novosIAM Identity Centerusuários do assistente Account Factory. Para obter mais informações, consulte Provisionar e gerenciar contas com o Account Factory.

Sua landing zone é definida com um diretório pré-configurado que ajuda você a gerenciar identidades de usuário e logon único, para que seus usuários tenham acesso federado entre contas. Quando você configura sua landing zone, esse diretório padrão é criado para contergrupos de usuárioseconjuntos de permissões.

Grupos de usuários, funções e conjuntos de permissões

Os grupos de usuários gerenciam funções especializadas definidas nas contas compartilhadas. As funções estabelecem conjuntos de permissões que pertencem umas às outras. Todos os membros de um grupo herdam os conjuntos de permissões, ou funções, associados ao grupo. É possível criar novos grupos para os usuários finais das contas-membro para que você possa atribuir apenas as funções necessárias às tarefas específicas executadas pelo grupo.

Os conjuntos de permissões disponíveis abrangem uma ampla variedade de requisitos distintos de permissões de usuário, como acesso somente leitura, acesso administrativo da AWS Control Tower eAWS Service Catalogacesso ao. Esses conjuntos de permissões permitem que os usuários finais provisionem as própriasAWScontas na landing zone rapidamente e em conformidade com as diretrizes da empresa.

Para obter dicas sobre como planejar suas alocações de usuários, grupos e permissões, consulte Recomendações para configurar grupos, funções e políticas

Para obter mais informações sobre como usar esse serviço no contexto da AWS Control Tower, consulte os tópicos a seguir noAWS IAM Identity Center (successor to AWS Single Sign-On)Guia do usuário do.

Atenção

AWS Control TowerIAM Identity Centerdiretório do na região inicial. Se você configurar sua landing zone em outra região e navegar até aIAM Identity Center, você deve alterar a região para a região inicial. Não exclua a configuração do IAM Identity Center na região inicial.

Coisas a saber sobreIAM Identity CenterContas e AWS Control Tower

Veja a seguir algumas curiosidades ao trabalhar com oIAM Identity Centercontas de usuário no AWS Control Tower.

  • Se suas receitasAWS IAM Identity CenterA conta de usuário está desativada, você receberá uma mensagem de erro ao tentar provisionar novas contas n a Account Factory. Você pode habilitar novamente oIAM Identity Centerusuário noIAM Identity Centerconsole do .

  • Se você especificar um novoIAM Identity CenterQuando você atualiza o produto provisionado associado a uma conta fornecida pela Account Factory, o AWS Control Tower cria um novoIAM Identity Centerconta de usuário. A conta de usuário criada anteriormente não será removida. Se você preferir remover o anteriorIAM Identity Centerendereço de e-mail de usuárioAWS IAM Identity Center, consulteComo desabilitar um usuário.

  • AWS IAM Identity Centerfoiintegrado ao Azure Active Directory, e você pode conectar o Azure Active Directory existente ao AWS Control Tower.

  • Para obter mais informações sobre como o comportamento da AWS Control Tower interage comAWS IAM Identity Centere diferentes fontes de identidade, consulte aConsiderações sobre como alterar sua origem de identidadenoAWS IAM Identity Centerdocumentação.

IAM Identity CenterGrupos para o AWS Control Tower

A AWS Control Tower oferece grupos pré-configurados para organizar os usuários que realizam tarefas específicas nas contas. Você pode adicionar usuários e atribuí-los a esses grupos diretamente em IAM Identity Center. Isso corresponde a conjuntos de permissões para usuários em grupos dentro das contas. Os grupos criados quando você configura sua landing zone são estes.

AWSAccountFactory
Conta Conjuntos de permissões Descrição
Conta de gerenciamento AWSServiceCatalogEndUserAccess Esse grupo só é usado nessa conta para provisionar novas contas que usem a Account Factory.
AWSServiceCatalogAdmins
Conta Conjuntos de permissões Descrição
Conta de gerenciamento AWSServiceCatalogAdminFullAccess Esse grupo só é usado nessa conta para fazer alterações administrativas na Account Factory. Os usuários desse grupo não podem provisionar novas contas, a menos que eles também estejam naAWSAccountFactorygrupo.
AWSControlTowerAdmins
Conta Conjuntos de permissões Descrição
Conta de gerenciamento AWSAdministratorAccess Os usuários desse grupo nessa conta são os únicos que têm acesso ao console da AWS Control Tower.
Conta de arquivamento de logs AWSAdministratorAccess Os usuários dessa conta têm acesso de administrador.
Conta de auditoria AWSAdministratorAccess Os usuários dessa conta têm acesso de administrador.
Contas-membro AWSOrganizationsFullAccess Os usuários dessa conta Organizations acesso total ao.
AWSSecurityAuditPowerUsers
Conta Conjuntos de permissões Descrição
Conta de gerenciamento AWSPowerUserAccess Os usuários podem realizar tarefas de desenvolvimento de aplicativos, criar e configurar recursos e serviços compatíveis comAWSdesenvolvimento de aplicativos conscientes.
Conta de arquivamento de logs AWSPowerUserAccess Os usuários podem realizar tarefas de desenvolvimento de aplicativos, criar e configurar recursos e serviços compatíveis comAWSdesenvolvimento de aplicativos conscientes.
Conta de auditoria AWSPowerUserAccess Os usuários podem realizar tarefas de desenvolvimento de aplicativos, criar e configurar recursos e serviços compatíveis comAWSdesenvolvimento de aplicativos conscientes.
Contas-membro AWSPowerUserAccess Os usuários podem realizar tarefas de desenvolvimento de aplicativos, criar e configurar recursos e serviços compatíveis comAWSdesenvolvimento de aplicativos conscientes.
AWSSecurityAuditors
Conta Conjuntos de permissões Descrição
Conta de gerenciamento AWSReadOnlyAccess Os usuários têm acesso somente leitura a todosAWSserviços e recursos dessa conta.
Conta de arquivamento de logs AWSReadOnlyAccess Os usuários têm acesso somente leitura a todosAWSserviços e recursos dessa conta.
Conta de auditoria AWSReadOnlyAccess Os usuários têm acesso somente leitura a todosAWSserviços e recursos dessa conta.
Contas-membro AWSReadOnlyAccess Os usuários têm acesso somente leitura a todosAWSserviços e recursos dessa conta.
AWSLogArchiveAdmins
Conta Conjuntos de permissões Descrição
Conta de arquivamento de logs AWSAdministratorAccess Os usuários dessa conta têm acesso de administrador.
AWSLogArchiveViewers
Conta Conjuntos de permissões Descrição
Conta de arquivamento de logs AWSReadOnlyAccess Os usuários têm acesso somente leitura a todosAWSserviços e recursos dessa conta.
AWSAuditAccountAdmins
Conta Conjuntos de permissões Descrição
Conta de auditoria AWSAdministratorAccess Os usuários dessa conta têm acesso de administrador.