Gerenciamento de identidade da força de trabalho - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerenciamento de identidade da força de trabalho

O gerenciamento de identidade da força de trabalho, ilustrado no diagrama a seguir, refere-se ao gerenciamento do acesso humano aos recursos que ajudam a criar e gerenciar seus negócios em sua infraestrutura e aplicativos em nuvem. Ele oferece suporte ao provisionamento, gerenciamento e remoção de acesso seguros, à medida que os funcionários ingressam em uma organização, alternam entre funções e saem de uma organização. Os administradores de identidade podem criar identidades diretamente na AWS ou se conectar a um provedor de identidade externo (IdP) para permitir que os funcionários usem suas credenciais corporativas para acessar com segurança contas e aplicativos comerciais da AWS em um só lugar.

Gerenciamento de identidade da força de trabalho na AWS

Ao usar o AWS IAM Identity Center para gerenciar o acesso aos aplicativos gerenciados da AWS, você pode se beneficiar de novos recursos, como a propagação confiável de identidade do seu aplicativo de consulta para o serviço de dados da AWS e de novos serviços, como o Amazon Q, que fornecem uma experiência de usuário contínua à medida que os usuários migram de um serviço habilitado para o Amazon Q para outro. O uso do IAM Identity Center para acesso à conta da AWS impede a criação e o uso de usuários do IAM, que têm acesso de longo prazo aos recursos. Em vez disso, permite que as identidades da força de trabalho acessem recursos nas contas da AWS usando credenciais temporárias do IAM Identity Center, que é uma prática recomendada de segurança. Os serviços de gerenciamento de identidade da força de trabalho permitem que você defina um controle de acesso refinado para recursos ou aplicativos da AWS em seu ambiente de várias contas da AWS com base em funções de trabalho ou atributos de usuário específicos. Esses serviços também ajudam a auditar e analisar as atividades dos usuários em seu ambiente da AWS.

A AWS oferece várias opções para gerenciamento de identidade e acesso da força de trabalho: AWS IAM Identity Center, federação IAM SAML e AWS Managed Microsoft AD. 

  • O AWS IAM Identity Center é o serviço recomendado para gerenciar o acesso da força de trabalho aos aplicativos da AWS e a várias contas da AWS. Você pode usar esse serviço com uma fonte de identidade existente, como Okta, Microsoft Entra ID ou Active Directory local, ou criando usuários em seu diretório. O IAM Identity Center fornece a todos os serviços da AWS uma compreensão compartilhada dos usuários e grupos da sua força de trabalho. Os aplicativos gerenciados pela AWS se integram a ele, então você não precisa conectar sua fonte de identidade individualmente a cada serviço, e você pode gerenciar e visualizar o acesso da sua força de trabalho a partir de um local central. Você pode usar o IAM Identity Center para gerenciar o acesso aos aplicativos da AWS enquanto continua usando sua configuração estabelecida para acessar as contas da AWS. Para novos ambientes com várias contas, o IAM Identity Center é o serviço recomendado para gerenciar o acesso da sua força de trabalho ao ambiente. Você pode atribuir permissões de forma consistente em todas as contas da AWS, e seus usuários recebem acesso de login único em toda a AWS.

  • Uma forma alternativa de conceder à sua força de trabalho acesso às contas da AWS é usando a federação IAM SAML 2.0. Isso envolve criar one-to-one confiança entre o IdP da sua organização e cada conta da AWS, e não é recomendado para ambientes com várias contas. Dentro da sua organização, você deve ter um IdP compatível com SAML 2.0, como Microsoft Entra ID, Okta ou outro provedor de SAML 2.0 compatível.

  • Outra opção é usar o Microsoft Active Directory (AD) como um serviço gerenciado para executar cargas de trabalho com reconhecimento de diretório na AWS. Você também pode configurar uma relação de confiança entre o AWS Managed Microsoft AD na Nuvem AWS e seu Microsoft Active Directory local existente, para fornecer aos usuários e grupos acesso aos recursos em qualquer domínio usando o AWS IAM Identity Center.

Considerações sobre design

  • Embora esta seção discuta vários serviços e opções, recomendamos que você use o IAM Identity Center para gerenciar o acesso da força de trabalho, pois ele tem vantagens sobre as outras duas abordagens. As seções posteriores discutem as vantagens e os casos de uso de abordagens individuais. Um número crescente de aplicativos gerenciados pela AWS exige o uso do IAM Identity Center. Se você estiver usando atualmente a federação do IAM, você pode habilitar e usar o IAM Identity Center com aplicativos da AWS sem alterar suas configurações existentes.

  • Para melhorar a resiliência da federação, recomendamos que você configure seu IdP e a federação da AWS para oferecer suporte a vários endpoints de login do SAML. Para obter detalhes, consulte a postagem no blog da AWS Como usar endpoints SAML regionais para failover.