使用者目錄設定 - Amazon Monitron
了解 SSO 需求使用原生 IAM 身分中心目錄新增管理員使用者使用 Microsoft 活動目錄添加管理員用戶 使用外部 ID 提供者新增管理員使用者使用 IAM 身分中心返回 Amazon Monitron

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用者目錄設定

Amazon Monitron 用 AWS IAM Identity Center 於管理用戶訪問。從此 IAM 身分中心使用者目錄新增使用者。

新增管理員使用者的方式取決於為組織設定 IAM 身分中心的方式而定。

重要

Amazon Monitron 每個應用程式使用者都需要電子郵件地址。如果您使用 Microsoft Active Directory 或外部識別碼提供者等目錄,您必須確定已新增並同步處理使用者的電子郵件地址。

了解 SSO 需求

當您建立專案時,Amazon Monitron 會自動偵測您的帳戶是否已啟用和設定 IAM 身分中心,以及是否滿足搭配 Amazon Monitron 使用 IAM 身分中心的所有先決條件。如果沒有,Amazon Monitron 會產生錯誤,並提供所需的必要條件清單。您必須符合所有必要條件,才能新增管理員使用者。如需為組織啟用和設定 IAM 身分中心的詳細資訊,請參閱AWS 單一登入

重要

Amazon Monitron 支援所有 IAM 身分中心區域,選擇加入和政府區域除外。支援的地區清單如下:

  • 美國東部 (維吉尼亞北部)

  • 美國東部 (俄亥俄)

  • 美國西部 (加利佛尼亞北部)

  • 美國西部 (奧勒岡)

  • 亞太區域 (孟買)

  • 亞太區域 (東京)

  • 亞太區域 (首爾)

  • 亞太區域 (大阪)

  • 亞太區域 (新加坡)

  • 亞太區域 (悉尼)

  • 加拿大 (中部)

  • 歐洲 (法蘭克福)

  • 歐洲 (愛爾蘭)

  • 歐洲 (倫敦)

  • 歐洲 (巴黎)

  • 歐洲 (斯德哥爾摩)

  • 南美洲 (聖保羅)

IAM Identity Center 先決條件

您必須先執行下列動作,才能設定 IAM 身分中心:

  • 先設定 AWS Organizations 服務,並將所有功能設定為啟用。若要取得有關此設定的更多資訊,請參閱《使用指南》中的〈啟AWS Organizations 用組織中的所有功能

  • 在開始設定 IAM 身分中心之前,請先使用 AWS Organizations 管理帳戶登入資料登入。需要這些登入資料才能啟用 IAM 身分中心。如需詳細資訊,請參閱AWS Organizations 使用指南中的建立與管理 AWS 組織。使用組織成員帳戶的登入資料登入時,您無法設定 IAM 身分中心。

  • 已選擇身分識別來源,以判斷哪個使用者集區對使用者入口網站具有 SSO 存取權。如果您選擇為使用者存放區使用預設的 IAM 身分中心身分來源,則不需要先決條件任務。啟用 IAM 身分中心後,依預設會建立 IAM 身分中心存放區,並立即可供使用。使用此商店無需支付任何費用。或者,您可以選擇使用 Azure 作用中目錄 Connect 到外部身分識別提供者。如果您選擇連線至使用者存放區的現有 Active Directory,您必須具備下列項目:

    • 在中設定的現有 AD Connector 或 AWS Managed Microsoft AD 目錄 AWS Directory Service,而且必須位於組織的管理帳戶中。您一次只可連線一個 AWS Managed Microsoft AD 目錄。不過,您可以隨時將其變更為不同的 AWS Managed Microsoft AD 目錄,或將其變更回 IAM 身分中心存放區。如需詳細資訊,請參閱《AWS Directory Service 管理指南》中的建立 AWS Managed Microsoft AD 目錄

    • 在設定 AWS Managed Microsoft AD 目錄的區域中設定 IAM 身分中心。IAM 身分識別中心會將指派資料儲存在與目錄相同的區域中。若要管理 IAM 身分中心,您應該切換至已設定 IAM 身分中心的區域。此外,請注意,IAM 身分中心的使用者入口網站使用與連線目錄相同的存取 URL

  • 如果您目前使用新一代防火牆 (NGFW AWS) 或安全網頁閘道 (SWG) 等網路內容過濾解決方案來篩選對特定 Amazon Web Service () 網域或 URL 端點的存取,則必須將下列網域和/或 URL 端點新增至網路內容過濾解決方案允許清單,IAM Identity Center 才能正常運作:

    特定的 DNS 網域

    • *.aws.com (http://awsapps.com/)

    • * 登入

    特定網址端點

    • https://[yourdirectory].awsapps.com/start

    • https://[yourdirectory].awsapps.com/login

    • https://[yourregion].signin.aws/platform/login

我們強烈建議您在啟用 IAM 身分中心之前,先檢查您的 AWS 帳戶是否已接近 IAM 角色的配額限制。如需詳細資訊,請參閱 IAM 物件配額。如果您接近配額限制,請考慮增加配額。否則,當您佈建權限集到超過 IAM 角色限制的帳戶時,您可能會遇到 IAM 身分中心的問題。

使用原生 IAM 身分中心目錄新增管理員使用者

將管理員使用者新增至專案的最簡單方法是使用 IAM 身分中心原生目錄。您可以開始使用 Amazon Monitron,並讓它為您設定基本層級的 IAM 身分中心來使用它。您也可以在使用 Amazon Monitron 之前設定 IAM 身分中心,並將其設定為使用原生目錄。無論哪種方式,您都可以手動新增使用者,而不會將使用者身分資訊暴露給其他管理員使用者,而不會超出名稱和電

使用原生 IAM 身分中心目錄時新增管理員使用者

  1. https://console.aws.amazon.com/monitron 打開 Amazon Monitron 控制台。

  2. 選擇建立專案

  3. 在導覽窗格中,選擇您想要的專案。

  4. 在 [使用者] 頁面上,選擇您要指派為管理員使用者的使用者。如果您看不到使用者,請搜尋他們。

    您選擇的使用者會顯示在 [選取的使用者] 區段中。

  5. 如果您想要的使用者不在目錄中,請選擇 [建立使用者] 以新增使用者。

    1. 在 [建立使用者] 下,針對 [電子郵件] 輸入新管理員使用者的電子郵件地址。

    2. 在「名字」和「姓氏」中,輸入管理員的名稱。

    3. 選擇 Create User (建立使用者)。

  6. 當使用者名稱出現在目錄清單中時,選擇 [新增] 以新增您選取的管理員使用者。

  7. 透過電子郵件向管理員使用者發送專案邀請,其中包含下載 Amazon Monitron 行動應用程式的連結。如需詳細資訊,請參閱 傳送電子郵件邀請

    Amazon Monitron 會帶您前往專案的專案頁面,列出所有管理員使用者。

  8. 要添加其他管理員用戶,請選擇添加管理員

    任何管理員使用者都可以使用 Amazon Monitron 行動應用程式新增其他使用者。如需詳細資訊,請參閱 Amazon Monitron 使用者指南中的新增使用者

使用 Microsoft 活動目錄添加管理員用戶

如果您對組織的主要使用者目錄使用 Microsoft Active Directory (AD),您可以設定 IAM 身分識別中心來使用它。IAM 身分識別中心可讓您使用 Directory Service 將自我管理的作用中目錄連線為 AWS 受管 Microsoft AD AWS 目錄。此 Microsoft AD 目錄提供您在使用 Amazon Monitron 主控台 (或 Amazon Monitron 行動應用程式) 指派使用者角色時,可以從中提取的身分集區。

重要

Amazon Monitron 每個應用程式使用者都需要電子郵件地址。請確定已新增並同步處理您使用者的電子郵件地址。

所有 Amazon Monitron 管理員使用者都可以存取使用者目錄中的身分資訊,該目錄是在適用於 Amazon Monitron 的 IAM 身分中心中設定的身分資訊 如果您想要限制對使用者組織資訊的存取,強烈建議您使用隔離的目錄。

使用 Microsoft 活動目錄添加管理員用戶

  1. 設定身分識別中心與您的 Microsoft 活動目錄連線。根據您使用的是自我管理的 Active Directory 還是受管理的 Microsoft AD 目錄,其中涉及的步驟會有所不同。 AWS 如需詳細資訊,請參閱 Connect 到 Microsoft AD 目錄

  2. https://console.aws.amazon.com/monitron 打開 Amazon Monitron 控制台。

  3. 選擇建立專案

  4. 在導覽窗格中,選擇您想要的專案。

  5. 若為使用中目錄網域,請選擇您要新增身分識別的目錄網域。

  6. 根據您要搜尋使者目錄的方式,選擇「使用者」或「組」。

  7. 在搜尋方塊中輸入字串以尋找您要新增的識別,然後選擇 [搜尋]。

    若要限制傳回的使用者數目,請在搜尋方塊中輸入較長的字串。例如,如果您在搜尋方塊中輸入「olg」,清單會傳回名稱中包含字母「olg」的所有使用者,例如「Olga Kurth」和「傑米·福爾格曼」。

  8. 選擇您要指定為管理員使用者的使用者。

  9. 選擇 [新增] 以新增管理員使用者。

使用外部 ID 提供者新增管理員使用者

如果您使用外部身分識別提供者 (IdP),則可以透過安全性聲明標記語言 (SAML) 2.0 標準將 IAM 身分中心設定為使用該提供者。這會為您提供 IdP 目錄中的身分識別集區。您可以在使用 Amazon Monitron 主控台 (或 Amazon Monitron 行動應用程式) 時提取此集區,並將其指派為管理員使用者。這也可讓您的使用者使用其公司登入資料登入 Amazon Monitron。

重要

Amazon Monitron 每個應用程式使用者都需要電子郵件地址。請確定已新增並同步處理您使用者的電子郵件地址。

所有 Amazon Monitron 管理員使用者都可以存取使用者目錄中的身分資訊,該目錄是在適用於 Amazon Monitron 的 IAM 身分中心中設定的身分資訊 如果您想要限制對使用者組織資訊的存取,強烈建議您使用隔離的目錄。

使用外部 ID 提供者 (IdP) 新增管理員使用者

  1. 設定 AWS IAM 身分中心以連接外部 IdP。其中涉及的步驟根據您使用的提供商而有所不同。如需詳細資訊,請參閱 Connect 至外部 ID 提供者

  2. https://console.aws.amazon.com/monitron 打開 Amazon Monitron 控制台。

  3. 選擇建立專案

  4. 在導覽窗格中,選擇您想要的專案。

  5. 在 [使用者] 頁面上,選擇您要指派為管理員使用者的使用者。如果您看不到使用者,請搜尋他們。

  6. 選擇 [新增] 以新增管理員使用者。

使用 IAM 身分中心返回 Amazon Monitron

當您登出 Amazon Monitron 網路應用程式時,您仍可能會登入。 AWS IAM Identity Center您從使用者入口網站開啟的任何其他應用程式仍會保持開啟和執行。

登出 IAM 身分中心的方式有兩種:

  • 透過 IAM 身分中心入口網站直接登出。

  • AWS IAM 身分中心每小時一次會檢查您是否正在使用任何 AWS 服務。如果您不是,則會自動登出 IAM 身分中心。

若要了解使用 IAM 身分中心的管理員使用者,請參閱使用者目錄設定

若要進一步了解 Amazon Monitron 和 IAM 身分識別中心的安全最佳實務,請參閱. Amazon Monitron

若要瞭解如何使用 SSO 使用者入口網站,請參閱使用使用者入口網站