AWS IAM Identity Center 的概念 AWS CLI

本主题介绍了 AWS IAM Identity Center （IAM身份中心）的关键概念。IAMIdentity Center 是一项基于云的IAM服务 AWS 账户，通过与现有身份提供商 (IdP) 集成SDKs，可简化多个应用程序和工具的用户访问管理。它通过集中式用户门户实现安全的单点登录、权限管理和审计，从而简化了组织的身份和访问管理。

什么是IAM身份中心

IAMIdentity Center 是一项基于云的身份和访问管理 (IAM) 服务，可让您集中管理对多个 AWS 账户 和业务应用程序的访问。

它提供了一个用户门户，授权用户可以在该门户中使用其现有的公司凭据访问 AWS 账户 和获得权限的应用程序。这使组织能够实施一致的安全策略并简化用户访问管理。

无论您使用哪个 IdP，Ident IAM ity Center 都会将这些区别抽象出来。例如，你可以按照博客文章《IAM身份中心的下一次演变》中所述连接 Microsoft Azure AD。

注意

有关使用不使用账户 ID 和角色的不记名身份验证的信息，请参阅 A mazon CodeCatalyst 用户指南 CodeCatalyst中的设置 AWS CLI 与使用。

术语

使用 Ident IAM ity Center 时的常用术语如下：

身份提供商 (IdP)

身份管理系统，例如IAM身份中心、Microsoft Azure AD、Okta 或你自己的公司目录服务。

AWS IAM Identity Center

IAM身份中心是 AWS 自有的 IdP 服务。以前称为 Sing AWS le Sign-OnSDKs，工具会保留ssoAPI命名空间以实现向后兼容。有关更多信息，请参阅《AWS IAM Identity Center 用户指南》中的 “IAM身份中心重命名”。

AWS 访问门户

您独一无二URL的IAM身份中心，用于访问您的授权服务 AWS 账户、服务和资源。

联合身份验证

在 Identity Center 和IAM身份提供商之间建立信任以启用单点登录的过程 (SSO)。

AWS 账户

您 AWS 账户 为用户提供访问权限的 AWS IAM Identity Center。

权限集、 AWS 凭证、凭证、sigv4 凭证

预定义的权限集合，可以分配给用户或组以授予访问权限 AWS 服务。

注册范围、访问范围、范围

作用域是 OAuth 2.0 中的一种机制，用于限制应用程序对用户账户的访问权限。应用程序可以请求一个或多个范围，向应用程序签发的访问令牌将仅限于授予的范围。有关范围的信息，请参阅《IAM身份中心用户指南》中的 OAuth2.0 访问权限范围。

令牌、刷新令牌、访问令牌

令牌是在身份验证时向您颁发的临时安全证书。这些令牌包含有关您的身份和您被授予的权限的信息。

当您通过 Ident IAM ity Center 门户访问 AWS 资源或应用程序时，系统会显示您的令牌以 AWS 进行身份验证和授权。这样可以 AWS 验证您的身份，并确保您拥有执行所请求的操作所需的权限。

身份验证令牌缓存到磁盘上的~/.aws/sso/cache目录下，其JSON文件名基于会话名称。

会话

Ident IAM ity Center 会话是指用户经过身份验证并获得访问 AWS 资源或应用程序的授权的时间段。当用户登录 Ident IAM ity Center 门户时，即会建立会话，并且该用户的令牌在指定的持续时间内有效。有关设置会话持续时间的更多信息，请参阅《AWS IAM Identity Center 用户指南》中的设置会话持续时间。

在会话期间，只要不同 AWS 账户和应用程序的会话保持活动状态，您就可以在不同的账户和应用程序之间导航，而无需重新进行身份验证。会话到期后，请重新登录以续订您的访问权限。

IAMIdentity Center 会话有助于提供无缝的用户体验，同时还可以通过限制用户访问凭证的有效性来强制执行安全最佳实践。

IAM身份中心的工作原理

IAMIdentity Center 可与组织的身份提供商（例如IAM身份中心、Microsoft Azure AD 或 Okta）集成。用户根据此身份提供商进行身份验证，然后 Ident IAM ity Center 会将这些身份映射到您 AWS 环境中的相应权限和访问权限。

以下 IAM Identity Center 工作流程假设您已配置 AWS CLI 为使用 Ident IAM ity Center：

1. 在您的首选终端中，运行该aws sso login命令。

2. 登录 AWS 访问门户 到您的，开始新的会话。

   • 启动新会话时，您会收到缓存的刷新令牌和访问令牌。

   • 如果您已经有一个活动会话，则现有会话将被重复使用，并在现有会话到期时过期。

3. 根据您在文件中设置的配置config文件，Ident IAM ity Center 假设相应的权限集，授予对相关权限 AWS 账户 和应用程序的访问权限。

4. AWS CLI SDKs、和工具使用您的代入IAM角色调用， AWS 服务 例如创建 Amazon S3 存储桶，直到该会话过期。

5. Ident IAM ity Center 的访问令牌每小时检查一次，并使用刷新令牌自动刷新。

   • 如果访问令牌已过期，SDK或工具将使用刷新令牌获取新的访问令牌。然后比较这些令牌的会话持续时间，如果刷新令牌未过期，Ident IAM ity Center 将提供新的访问令牌。

   • 如果刷新令牌已过期，则不会提供新的访问令牌，并且您的会话已结束。

6. 会话将在刷新令牌到期后结束，或者当您使用aws sso logout命令手动注销时。缓存的凭据已删除。要继续使用 Ident IAM ity Center 访问服务，必须使用aws sso login命令启动新会话。

其他资源

其他资源如下。

• 使用配置IAM身份中心身份验证 AWS CLI

• 教程：使用IAM身份中心在中运行 Amazon S3 命令 AWS CLI

• 安装或更新到最新版本的 AWS CLI

• 中的配置和凭据文件设置 AWS CLI

• aws configure sso在AWS CLI 版本 2 中参考

• aws configure sso-session在AWS CLI 版本 2 中参考

• aws sso login在AWS CLI 版本 2 中参考

• aws sso logout在AWS CLI 版本 2 中参考

• 在 Amazon CodeCatalyst 用户指南 CodeCatalyst中 AWS CLI 进行设置以与一起使用

• IAM在《AWS IAM Identity Center 用户指南》中@@ 重命名身份中心

• OAuth2.0《IAM身份中心用户指南》中的访问范围

• 在《AWS IAM Identity Center 用户指南》中@@ 设置会话时长

• 《IAM身份中心用户指南》中的@@ 入门教程