用户目录设置 - Amazon Monitron
了解 SSO 要求使用原生 IAM Identity Center 目录添加管理员用户使用 Microsoft Active Directory 添加管理员用户 使用外部 ID 提供者添加管理员用户通过 IAM Identity Center 返回到 Amazon Monitron

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

用户目录设置

Amazon Monitron 使用 AWS IAM Identity Center 来管理用户访问权限。用户则通过此 IAM Identity Center 用户目录添加。

如何添加管理员用户取决于您的组织如何设置 IAM Identity Center。

重要

Amazon Monitron 要求每个应用程序用户都有一个电子邮件地址。如果您使用 Microsoft Active Directory 或外部 ID 提供者等目录,则需要确保添加并同步用户的电子邮件地址。

了解 SSO 要求

当您创建项目时,Amazon Monitron 会自动检测您的账户是否已启用和配置 IAM Identity Center,以及是否满足将 IAM Identity Center 与 Amazon Monitron 配合使用的所有先决条件。如果不符合上述要求,Amazon Monitron 会生成错误并提供所需的先决条件列表。在添加管理员用户之前,必须满足所有先决条件。有关为您的组织启用和配置 IAM Identity Center 的更多信息,请参阅 AWS Single Sign-On

重要

Amazon Monitron 支持除选择加入和政府区域之外的所有 IAM 身份中心区域。支持的区域列表包括:

  • 美国东部(弗吉尼亚州北部)

  • 美国东部(俄亥俄州)

  • 美国西部(北加利福尼亚)

  • 美国西部(俄勒冈)

  • 亚太地区(孟买)

  • 亚太地区(东京)

  • 亚太地区 (首尔)

  • 亚太地区(大阪)

  • 亚太地区(新加坡)

  • 亚太地区(悉尼)

  • 加拿大(中部)

  • 欧洲地区(法兰克福)

  • 欧洲地区(爱尔兰)

  • 欧洲地区(伦敦)

  • 欧洲地区(巴黎)

  • 欧洲(斯德哥尔摩)

  • 南美洲(圣保罗)

IAM Identity Center 先决条件

在设置 IAM Identity Center 之前,您必须:

  • 首先设置 AWS Organizations 服务并将所有功能设置为启用。有关此设置的更多信息,请参阅《AWS Organizations 用户指南》中的启用组织中的所有功能

  • 在开始设置 IAM Identity Center 之前,请使用 AWS Organizations 管理账户证书登录。这些凭证要求启用 IAM Identity Center。有关更多信息,请参阅《AWS Organizations 用户指南》中的创建和管理 AWS 组织。使用组织成员账户的凭证登录时,您无法设置 IAM Identity Center。

  • 选择一个身份来源以确定哪个用户池具有对用户门户的 SSO 访问权限。如果选择使用默认 IAM Identity Center 身份来源作为用户存储,则不需要执行先决条件任务。启用 IAM Identity Center 后,IAM Identity Center 存储将默认创建,并立即可供使用。使用此存储不产生任何费用。或者,您可以选择使用 Azure Active Directory 连接到外部身份提供者。如果您选择连接到一个现有 Active Directory 用于用户存储,您必须:

    • 在中设置的现有 AD Connector 或 AWS Managed Microsoft AD 目录 AWS Directory Service,它必须位于贵组织的管理帐户中。您一次仅可以连接一个 AWS Managed Microsoft AD 目录。但是,您可以随时将其更改为其他 AWS Managed Microsoft AD 目录或将其更改回 IAM Identity Center 存储。有关更多信息,请参阅《AWS Directory Service 管理指南》中的 “创建 AWS Managed Microsoft AD 目录”。

    • 在设置 AWS Managed Microsoft AD 目录的区域中设置 IAM Identity Center。IAM Identity Center 会将分配数据存储在与目录相同的区域中。要管理 IAM Identity Center,您应切换到已设置 IAM Identity Center 的区域。此外,请注意,IAM Identity Center 的用户门户使用与已连接目录相同的访问 URL

  • 如果您目前使用新一代防火墙 (NGFW) 或安全 Web 网关 (SWG) 等 Web 内容过滤解决方案筛选对特定 Amazon Web Service (AWS) 域或 URL 端点的访问权限,则必须将以下域和/或 URL 端点添加到您的 Web 内容过滤解决方案允许列表中,以便 IAM Identity Center 正常运行:

    特定 DNS 域

    • *.awsapps.com (http://awsapps.com/)

    • *.signin.aws

    特定 URL 端点

    • https://[yourdirectory].awsapps.com/start

    • https://[您的目录].awsapps.com/login

    • https://[yourregion].signin.aws/platform/login

我们强烈建议您在启用 IAM Identity Center 之前,先检查您的 AWS 账户是否已接近 IAM 角色的配额限制。有关更多信息,请参阅 IAM 对象限额。如果您已接近配额限制,请考虑增加配额。否则,在为已超过 IAM 角色限额的账户预置权限集时,IAM Identity Center 可能会出现问题。

使用原生 IAM Identity Center 目录添加管理员用户

向项目添加管理员用户的最简单方法是使用 IAM Identity Center 原生目录。您可以通过开始使用 Amazon Monitron 并让它在基本级别上为您配置 IAM Identity Center 来使用该目录。您还可以在使用 Amazon Monitron 之前设置 IAM Identity Center,并将其设置为使用原生目录。无论哪种方式,您都可以手动添加用户,而不会将用户身份信息泄露给除指定姓名和电子邮件地址之外的其他管理员用户。

使用 IAM Identity Center 原生目录添加管理员用户

  1. 打开 Amazon Monitron 控制台:https://console.aws.amazon.com/monitron

  2. 选择创建项目

  3. 在导航窗格中,选择所需的项目。

  4. 用户页面上,选择要分配为管理员用户的用户。如果您未看到用户,请进行搜索。

    您选择的用户将显示在选定用户部分中。

  5. 如果您想要的用户不在目录中,请选择创建用户来添加该用户。

    1. 创建用户下的电子邮件地址字段中,输入新管理员用户的电子邮件地址。

    2. 名字姓氏字段中,输入管理员的姓名。

    3. 选择 Create User

  6. 当用户的名称出现在目录列表中时,选择添加以添加您选择的管理员用户。

  7. 通过电子邮件向管理员用户发送项目邀请,在其中包括用于下载 Amazon Monitron 移动应用程序的链接。有关更多信息,请参阅 发送电子邮件邀请

    Amazon Monitron 会将您带到项目的项目页面,其中列出了所有管理员用户。

  8. 要添加其他管理员用户,请选择添加管理员

    任何管理员用户都可以使用 Amazon Monitron 移动应用程序添加其他用户。有关更多信息,请参阅《Amazon Monitron 用户指南》中的添加用户

使用 Microsoft Active Directory 添加管理员用户

如果您将 Microsoft Active Directory (AD) 用作组织的主用户目录,则可以将 IAM Identity Center 配置为使用该目录。IAM Identity Center 允许您使用目录服务将自己管理的 Active Directory 作为 AWS 托管 Microsoft AD AWS 目录连接起来。这个 Microsoft AD 目录为您提供了身份池,您可以在使用 Amazon Monitron 控制台(或 Amazon Monitron 移动应用程序)分配用户角色时从中拉取这些身份池。

重要

Amazon Monitron 要求每个应用程序用户都有一个电子邮件地址。请确保已添加并同步用户的电子邮件地址。

所有 Amazon Monitron 管理员用户都可以访问在 Amazon Monitron 的 IAM Identity Center 配置的用户目录中的身份信息。如果您想限制对用户组织信息的访问,我们强烈建议您使用隔离目录。

使用 Microsoft Active Directory 添加管理员用户

  1. 配置 IAM Identity Center 以连接您的 Microsoft Active Directory。其中涉及的步骤会有所不同,具体取决于你使用的是自我管理的活动目录还是托管的 Microsoft AD 目录。 AWS 有关更多信息,请参阅连接到 Microsoft AD 目录

  2. 打开 Amazon Monitron 控制台:https://console.aws.amazon.com/monitron

  3. 选择创建项目

  4. 在导航窗格中,选择所需的项目。

  5. 对于 Active directory 域,选择要从中添加身份的目录域。

  6. 根据搜索用户目录的方式,选择用户

  7. 在搜索框中输入字符串以查找要添加的身份,然后选择搜索

    要限制返回的用户数量,请在搜索框中输入较长的字符串。例如,如果您在搜索框中输入“olg”,则列表将返回所有名称中包含字母“olg”的用户,例如“Olga Kurth”和“Jamie Folgman”。

  8. 选择要分配为管理员用户的用户。

  9. 选择添加以添加管理员用户。

使用外部 ID 提供者添加管理员用户

如果您使用外部身份提供者 (IdP),则可以配置 IAM Identity Center 以通过安全断言标记语言 (SAML) 2.0 标准使用该提供者。这将为您提供 IdP 目录中的身份池。在使用 Amazon Monitron 控制台(或 Amazon Monitron 移动应用程序)时,您可以拉取这个池并将其分配为管理员用户。这也使您的用户能够使用其公司凭证登录 Amazon Monitron。

重要

Amazon Monitron 要求每个应用程序用户都有一个电子邮件地址。请确保已添加并同步用户的电子邮件地址。

所有 Amazon Monitron 管理员用户都可以访问在 Amazon Monitron 的 IAM Identity Center 配置的用户目录中的身份信息。如果您想限制对用户组织信息的访问,我们强烈建议您使用隔离目录。

使用外部 ID 提供者 (IdP) 添加管理员用户

  1. 配置 AWS IAM 身份中心以连接您的外部 IdP。其中涉及的步骤因使用的提供者而异。有关更多信息,请参阅连接到您的外部 ID 提供者

  2. 打开 Amazon Monitron 控制台:https://console.aws.amazon.com/monitron

  3. 选择创建项目

  4. 在导航窗格中,选择所需的项目。

  5. 用户页面上,选择要分配为管理员用户的用户。如果您未看到用户,请进行搜索。

  6. 选择添加以添加管理员用户。

通过 IAM Identity Center 返回到 Amazon Monitron

当您注销 Amazon Monitron 网络应用程序时,您可能仍可以登录到。 AWS IAM Identity Center您从用户门户打开的任何其他应用程序仍然打开并运行。

注销 IAM Identity Center 的方法有两种:

  • 直接通过 IAM Identity Center 门户注销。

  • AWS IAM Identity Center 每小时检查一次您是否在积极使用任何 AWS 服务。如果没有,则会自动注销 IAM Identity Center。

要了解有关使用 IAM Identity Center 的管理员用户,请参阅用户目录设置

要了解 Amazon Monitron 和 IAM Identity Center 的最佳安全实践,请参阅的安全最佳实践。 Amazon Monitron

要了解如何使用 SSO 用户门户,请参阅使用用户门户