Gerencie o acesso ao Contas da AWS - AWS IAM Identity Center
Conta da AWS tipos Atribuindo acesso Conta da AWSExperiência do usuário finalImposição e limite de acesso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerencie o acesso ao Contas da AWS

AWS IAM Identity Center é integrado com AWS Organizations, o que permite gerenciar centralmente as permissões em várias Contas da AWS sem configurar cada uma de suas contas manualmente. Você pode definir permissões e atribuir essas permissões aos usuários da força de trabalho para controlar seu acesso a informações específicas Contas da AWS.

Conta da AWS tipos

Existem dois tipos de Contas da AWS tinta AWS Organizations:

  • Conta de gerenciamento - A Conta da AWS que é usada para criar a organização.

  • Contas de membros - O restante pertence Contas da AWS a uma organização.

Para obter mais informações sobre Conta da AWS tipos, consulte AWS Organizations Terminologia e conceitos no Guia do AWS Organizations usuário.

Você também pode optar por registrar uma conta de membro como administrador delegado do IAM Identity Center. Os usuários dessa conta podem realizar a maioria das tarefas administrativas do IAM Identity Center. Para ter mais informações, consulte Administradores delegados.

Para cada tarefa e tipo de conta, a tabela a seguir indica se a tarefa administrativa do IAM Identity Center pode ser executada pelos usuários na conta.

Tarefas administrativas do IAM Identity Center Conta-membro Conta de administrador delegado Conta de gerenciamento
Leia usuários ou grupos (lendo o próprio grupo e os membros do grupo) Yes (Sim) Yes (Sim) Yes (Sim)
Adicionar, editar ou excluir usuários ou grupos No (Não) Yes (Sim) Yes (Sim)
Habilite ou desative o acesso do usuário No (Não) Yes (Sim) Yes (Sim)
Ative, desative ou gerencie os atributos de entrada No (Não) Yes (Sim) Yes (Sim)
Altere ou gerencie fontes de identidade No (Não) Yes (Sim) Yes (Sim)
Crie, edite ou exclua aplicativos No (Não) Yes (Sim) Yes (Sim)
Configure o MFA No (Não) Yes (Sim) Yes (Sim)
Gerencie conjuntos de permissões não provisionados na conta de gerenciamento No (Não) Yes (Sim) Yes (Sim)
Gerencie conjuntos de permissões provisionados na conta de gerenciamento Não No (Não) Yes (Sim)
Habilitar o IAM Identity Center Não No (Não) Yes (Sim)
Exclua a configuração do IAM Identify Center Não No (Não) Yes (Sim)
Ative ou desative o acesso do usuário na conta de gerenciamento Não No (Não) Yes (Sim)
Registre ou cancele o registro de uma conta-membro como administrador delegado Não No (Não) Yes (Sim)

Atribuindo acesso Conta da AWS

Você pode usar conjuntos de permissões para simplificar a forma como você atribui acesso aos usuários e grupos da sua organização às Contas da AWS. Os conjuntos de permissões são armazenadas no IAM Identity Center e definem o nível de acesso que os usuários e grupos têm a uma conta da Conta da AWS. Você pode criar um único conjunto de permissões e atribuí-lo a vários Contas da AWS dentro da sua organização. Você também pode atribuir vários conjuntos de permissões ao mesmo usuário.

Para obter mais informações sobre esses conjuntos de permissões, consulte Criar, gerenciar e excluir conjuntos de permissões.

nota

Você também pode atribuir aos usuários acesso de logon único aos aplicativos. Para mais informações, consulte Gerenciar o acesso a aplicações.

Experiência do usuário final

O portal de AWS acesso fornece aos usuários do IAM Identity Center acesso único a todos os seus aplicativos Contas da AWS e atribuídos por meio de um portal da web. O portal de AWS acesso é diferente do AWS Management Console, que é uma coleção de consoles de serviço para gerenciar AWS recursos.

Quando você cria um conjunto de permissões, o nome que você especifica para o conjunto de permissões aparece no portal de AWS acesso como uma função disponível. Os usuários entram no portal de AWS acesso, escolhem um e Conta da AWS, em seguida, escolhem a função. Depois de escolherem a função, eles podem acessar AWS os serviços usando AWS Management Console ou recuperar as credenciais temporárias para acessar os AWS serviços de forma programática.

Para abrir AWS Management Console ou recuperar as credenciais temporárias para acesso AWS programático, os usuários concluem as seguintes etapas:

  1. Os usuários abrem uma janela do navegador e usam a URL de login fornecida por você para navegar até o portal de AWS acesso.

  2. Usando suas credenciais de diretório, eles entram no portal de AWS acesso.

  3. Após a autenticação, na página do portal de AWS acesso, eles escolhem a guia Contas para exibir a lista Contas da AWS à qual têm acesso.

  4. Em seguida, os usuários escolhem o Conta da AWS que desejam usar.

  5. Abaixo do nome do Conta da AWS, todos os conjuntos de permissões aos quais os usuários estão atribuídos aparecem como funções disponíveis. Por exemplo, se você atribuiu um usuário john_stiles ao conjunto de PowerUser permissões, a função será exibida no portal de AWS acesso comoPowerUser/john_stiles. Os usuários com vários conjuntos de permissões escolhem qual função deve ser usada. Os usuários podem escolher sua função para acessar AWS Management Console o.

  6. Além da função, os usuários do portal de AWS acesso podem recuperar credenciais temporárias para acesso programático ou de linha de comando escolhendo as teclas de acesso.

Para step-by-step obter orientação que você pode fornecer aos usuários da sua força de trabalho, consulte Usando o portal de AWS acesso e. Obter credenciais de usuário do IAM Identity Center para o AWS CLI ou AWS SDKs

Imposição e limite de acesso

Quando você ativa o IAM Identity Center, ele cria uma função vinculada ao serviço. Você também pode usar políticas de controle de serviço (service control policies, SCPs).

Delegar e impor o acesso

Uma função vinculada ao serviço é um tipo de função do IAM vinculada diretamente a um AWS serviço. Depois de habilitar o IAM Identity Center, o IAM Identity Center pode criar uma função vinculada ao serviço em cada um Conta da AWS em sua organização. Essa função fornece permissões predefinidas que permitem que o IAM Identity Center delegue e imponha quais usuários têm acesso de login único a pessoas específicas Contas da AWS da sua organização em. AWS Organizations Você precisa atribuir a um ou mais usuários acesso a uma conta para usar essa função. Para obter mais informações, consulte Perfis vinculados ao serviço e As funções vinculadas ao serviço do IAM Identity Center permanecem..

Limitar o acesso ao repositório de identidades das contas dos membros

Para o serviço de armazenamento de identidades usado pelo IAM Identity Center, os usuários que têm acesso a uma conta de membro podem usar ações de API que exigem permissões de leitura. As contas dos membros têm acesso às ações de leitura nos namespaces sso-directory e identitystore. Para obter mais informações, consulte Ações, recursos e chaves de condição para AWS IAM Identity Center diretório e Ações, recursos e chaves de condição para o AWS Identity Store na Referência de Autorização de Serviço.

Para evitar que usuários nas contas membro usem as operações de API no repositório de identidades, você pode anexar uma política de controle de serviços (SCP). As políticas de controle de serviço (SCPs) são um tipo de política organizacional que você pode usar para gerenciar permissões na sua organização. O exemplo de SCP a seguir impede que usuários em contas de membros acessem qualquer operação de API no repositório de identidades.

        {
            "Sid": "ExplicitlyBlockIdentityStoreAccess",
            "Effect": "Deny",
            "Action": "identitystore:*", "sso-directory:*"],
            "Resource": "*"
        }
nota

Limitar o acesso das contas dos membros pode prejudicar a funcionalidade nos aplicativos habilitados para o IAM Identity Center.

Para obter mais informações, consulte Políticas de controle de serviços (SCPs) no Guia do usuário do AWS Organizations .