Gerenciamento de usuários e acesso por meio do Logon único da AWS - AWS Control Tower

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de usuários e acesso por meio do Logon único da AWS

O Logon único da AWS é um serviço baseado em nuvem que simplifica o gerenciamento do acesso SSO a contas da AWS e aplicativos comerciais. Você pode controlar o acesso SSO e as permissões do usuário em todas as contas da AWS no AWS Organizations. Você também pode administrar o acesso a aplicativos de negócios populares e aplicativos personalizados que oferecem suporte ao Security Assertion Markup Language (SAML) 2.0. Além disso, o AWS SSO oferece um portal do usuário no qual seus usuários podem encontrar todas as contas da AWS, aplicativos de negócios e aplicativos personalizados em um só lugar. Para obter mais informações, consulte Guia do usuário do Logon único da AWS.

Trabalhar com SSO da AWS e AWS Control Tower

No AWS Control Tower, o Logon único da AWS permite que os administradores centrais e os usuários finais da nuvem gerenciem o acesso a várias contas e aplicativos de negócios da AWS. O AWS Control Tower usa esse serviço para configurar e gerenciar o acesso às contas criadas pelo AWS Service Catalog.

Para um breve tutorial sobre como configurar seus usuários e permissões do SSO no AWS Control Tower, assista a este vídeo (6:23). Para uma melhor visualização, selecione o ícone no canto inferior direito do vídeo para ampliá-lo em tela cheia. A legenda está disponível.

Quando você configura inicialmente o AWS Control Tower, somente o usuário raiz e todos os usuários do IAM com as permissões corretas podem adicionar usuários do AWS SSO. No entanto, depois que os usuários finais forem adicionados ao grupo AWSAccountFactory, eles poderão criar novos usuários SSO no assistente da Fábrica de contas. Para obter mais informações, consulte Fornecer e gerir contas junto da Fábrica de Contas.

A zona de destino é definida com um diretório pré-configurado que ajuda você a gerenciar identidades de usuário e logon único, para que seus usuários tenham acesso federado entre contas. Quando você configura a zona de destino, esse diretório padrão é criado para conter grupos de usuários e conjuntos de permissões.

Grupos de usuários, funções e conjuntos de permissões

Os grupos de usuários gerenciam funções especializadas definidas nas contas compartilhadas. As funções estabelecem conjuntos de permissões que pertencem umas às outras. Todos os membros de um grupo herdam os conjuntos de permissões, ou funções, associados ao grupo. É possível criar novos grupos para os usuários finais das contas-membro para que você possa atribuir apenas as funções necessárias às tarefas específicas executadas pelo grupo.

Os conjuntos de permissões disponíveis abrangem uma ampla variedade de requisitos distintos de permissões de usuário, como acesso somente leitura, acesso administrativo do AWS Control Tower e acesso do AWS Service Catalog. Esses conjuntos de permissões permitem que os usuários finais provisionem suas próprias contas da AWS na zona de destino rapidamente e em conformidade com as diretrizes da empresa.

Para obter dicas sobre como planejar suas alocações de usuários, grupos e permissões, consulte Recomendações para configurar grupos, funções e políticas

Para obter mais informações sobre como usar esse serviço no contexto da AWS Control Tower, consulte os tópicos a seguir no Guia do usuário do Logon único da AWS.

Atenção

O AWS Control Tower configura o diretório do AWS SSO na região inicial. Se você configurar a zona de destino em outra região e navegar até o console do AWS SSO, será necessário alterar a região para a região inicial. Não exclua a configuração do AWS SSO na região inicial.

Curiosidades sobre as contas SSO e o AWS Control Tower

Veja a seguir algumas curiosidades ao trabalhar com contas de usuário AWS SSO no AWS Control Tower.

  • Se sua conta de usuário SSO da AWS estiver desativada, você receberá uma mensagem de erro ao tentar provisionar novas contas n a fábrica de contas. Você pode reabilitar o usuário SSO no console AWS SSO.

  • Se você especificar um novo endereço de e-mail de usuário do SSO ao atualizar o produto provisionado associado a uma conta fornecida pela fábrica de contas, o AWS Control Tower criará uma conta de usuário do SSO. A conta de usuário criada anteriormente não será removida. Se você preferir remover o endereço de e-mail de usuário anterior do AWS SSO, consulte Desabilitar um usuário.

  • O AWS SSO foi integrado ao Azure Active Directory, e é possível conectar o Azure Active Directory existente ao AWS Control Tower. Saiba mais nesta postagem do blog.

  • Para obter mais informações sobre como o comportamento do AWS Control Tower interage com o AWS SSO e diferentes fontes de identidade, consulte Considerações sobre a alteração da fonte de identidade na documentação do AWS SSO.

Grupos AWS SSO de AWS Control Tower

A AWS Control Tower oferece grupos pré-configurados para organizar os usuários que realizam tarefas específicas nas contas. Você pode adicionar usuários e atribuí-los a esses grupos diretamente em AWS SSO. Isso corresponde a conjuntos de permissões para usuários em grupos dentro das contas. Os grupos criados quando você configura a zona de destino são estes.

AWSAccountFactory
Conta Conjuntos de permissões Description (Descrição)
Conta de gerenciamento AWSServiceCatalogEndUserAccess Esse grupo só é usado nessa conta para provisionar novas contas que usem a Fábrica de contas.
AWSServiceCatalogAdmins
Conta Conjuntos de permissões Description (Descrição)
Conta de gerenciamento AWSServiceCatalogAdminFullAccess Esse grupo só é usado nessa conta para fazer alterações administrativas na Fábrica de contas. Os usuários desse grupo não podem provisionar novas contas, a menos que eles também estejam no grupo AWSAccountFactory.
AWSControlTowerAdmins
Conta Conjuntos de permissões Description (Descrição)
Conta de gerenciamento AWSAdministratorAccess Os usuários desse grupo nessa conta são os únicos que têm acesso ao console do AWS Control Tower.
Conta de arquivamento de logs AWSAdministratorAccess Os usuários dessa conta têm acesso de administrador.
Conta de auditoria AWSAdministratorAccess Os usuários dessa conta têm acesso de administrador.
Contas-membro AWSOrganizationsFullAccess Os usuários dessa conta têm acesso total ao Organizações.
AWSSecurityAuditPowerUsers
Conta Conjuntos de permissões Description (Descrição)
Conta de gerenciamento AWSPowerUserAccess Os usuários podem realizar tarefas de desenvolvimento de aplicativos, criar e configurar recursos e serviços compatíveis com o desenvolvimento consciente de aplicativos da AWS.
Conta de arquivamento de logs AWSPowerUserAccess Os usuários podem realizar tarefas de desenvolvimento de aplicativos, criar e configurar recursos e serviços compatíveis com o desenvolvimento consciente de aplicativos da AWS.
Conta de auditoria AWSPowerUserAccess Os usuários podem realizar tarefas de desenvolvimento de aplicativos, criar e configurar recursos e serviços compatíveis com o desenvolvimento consciente de aplicativos da AWS.
Contas-membro AWSPowerUserAccess Os usuários podem realizar tarefas de desenvolvimento de aplicativos, criar e configurar recursos e serviços compatíveis com o desenvolvimento consciente de aplicativos da AWS.
AWSSecurityAuditors
Conta Conjuntos de permissões Description (Descrição)
Conta de gerenciamento AWSReadOnlyAccess Os usuários têm acesso somente leitura a todos os serviços da AWS e recursos nessa conta.
Conta de arquivamento de logs AWSReadOnlyAccess Os usuários têm acesso somente leitura a todos os serviços da AWS e recursos nessa conta.
Conta de auditoria AWSReadOnlyAccess Os usuários têm acesso somente leitura a todos os serviços da AWS e recursos nessa conta.
Contas-membro AWSReadOnlyAccess Os usuários têm acesso somente leitura a todos os serviços da AWS e recursos nessa conta.
AWSLogArchiveAdmins
Conta Conjuntos de permissões Description (Descrição)
Conta de arquivamento de logs AWSAdministratorAccess Os usuários dessa conta têm acesso de administrador.
AWSLogArchiveViewers
Conta Conjuntos de permissões Description (Descrição)
Conta de arquivamento de logs AWSReadOnlyAccess Os usuários têm acesso somente leitura a todos os serviços da AWS e recursos nessa conta.
AWSAuditAccountAdmins
Conta Conjuntos de permissões Description (Descrição)
Conta de auditoria AWSAdministratorAccess Os usuários dessa conta têm acesso de administrador.