AWS IAM Identity Center

AWS IAM Identity Center 提供單一位置來建立或連接不斷增長的人力資源身分，並集中管理 AWS 環境中這些身分的安全存取。您可以搭配 AWS Organizations 啟用 IAM Identity Center。這是建議的方法，可讓您集中管理存取 AWS 組織和 AWS 受管應用程式中的多個 AWS 帳戶。

AWS 受管服務，包括 Amazon Q、Amazon Q Developer、Amazon SageMaker Studio 和 Amazon QuickSight，整合並使用 IAM Identity Center 進行身分驗證和授權。您只能將身分來源連線至 IAM Identity Center 一次，並管理所有已加入 AWS 受管應用程式的人力資源存取權。您必須先在 IAM Identity Center 中佈建現有公司目錄的身分，例如 Microsoft Entra ID、Okta、Google Workspace 和 Microsoft Active Directory，才能查詢使用者或群組，以授予他們對 AWS 受管服務的單一登入存取權。IAM Identity Center 也支援應用程式特定、以使用者為中心的體驗。例如，Amazon Q 的使用者在從一個 Amazon Q 整合服務移至另一個服務時體驗持續性。

注意

您可以個別使用 IAM Identity Center 功能。例如，您可以選擇使用 Identity Center 來管理對 Amazon Q 等 AWS 受管服務的存取，同時使用直接帳戶聯合和 IAM 角色來管理對 AWS 帳戶的存取。

信任的身分傳播為需要存取 AWS 服務中的資料之查詢工具和商業智慧 (BI) 應用程式的使用者提供簡化的單一登入體驗。資料存取管理是以使用者的身分為基礎，因此管理員可以根據使用者的現有使用者和群組成員資格授予存取權。信任的身分傳播是以 OAuth 2.0 授權架構為基礎，允許應用程式安全地存取和共用使用者資料，而無需共用密碼。 

與受信任身分傳播整合的 AWS 受管服務，例如 Amazon Redshift 查詢編輯器 v2、Amazon EMR 和 Amazon QuickSight，可直接從 IAM Identity Center 取得權杖。IAM Identity Center 也提供選項，讓應用程式從外部 OAuth 2.0 授權伺服器交換身分字符和存取字符。使用者對 AWS 服務和其他事件的存取會記錄在服務特定的日誌和 CloudTrail 事件中，因此稽核人員知道使用者採取的動作，以及他們存取的資源。

若要使用信任的身分傳播，您必須啟用 IAM Identity Center 並佈建使用者和群組。我們建議您使用 IAM Identity Center 的組織執行個體。

注意

信任的身分傳播不需要您設定多帳戶許可 （許可集）。您可以啟用 IAM Identity Center，並僅用於受信任的身分傳播。

如需詳細資訊，請參閱使用受信任身分傳播的先決條件和考量事項，並檢視可啟動身分傳播的應用程式支援的特定使用案例。

AWS 存取入口網站為已驗證的使用者提供其 AWS 帳戶和雲端應用程式的單一登入存取權。您也可以使用從 AWS 存取入口網站產生的登入資料，設定 AWS CLIorAWS 開發套件對您 AWS 帳戶中資源的存取。這可協助您避免使用長期登入資料進行程式設計存取 ，大幅降低登入資料遭到入侵的機會，並改善您的安全狀態。

您也可以使用 IAM Identity Center APIs 自動化帳戶和應用程式存取的管理。

IAM Identity Center 與 AWS CloudTrail 整合，可提供使用者在 IAM Identity Center 中所採取動作的記錄。CloudTrail 會記錄 API 事件，例如 aCreateUserAPI 呼叫，當使用者使用跨網域身分管理 (SCIM) 系統通訊協定，從外部 IdP 手動建立或佈建或同步至 IAM 身分中心時，就會記錄此呼叫。CloudTrail 中記錄的每個事件或日誌項目都會包含產生請求者的相關資訊。此功能可協助您識別可能需要進一步調查的意外變更或活動。如需 CloudTrail 中支援之 IAM Identity Center 操作的完整清單，請參閱 IAM Identity Center 文件。

將現有身分來源連線至 IAM Identity Center

聯合身分是建置存取控制系統的常見方法，可透過使用中央 IdP 管理使用者身分驗證，並控管其對多個應用程式和服務做為服務提供者 (SPs存取。IAM Identity Center 可讓您靈活地從現有的公司身分來源帶來身分，包括 Okta、Microsoft Entra ID、Ping、Google Workspace、JumpCloud、OneLogin、內部部署 Active Directory 和任何 SAML 2.0 相容身分來源。

將現有身分來源連線至 IAM Identity Center 是建議的方法，因為它可讓您的人力資源進行單一登入存取，並跨 AWS 服務提供一致的體驗。最佳實務是從單一位置管理身分，而不是維護多個來源。IAM Identity Center 支援與 SAML 2.0 的聯合身分，這是開放的身分標準，可讓 IAM Identity Center 從外部 IdPs 對使用者進行身分驗證。IAM Identity Center 也支援 SCIM v2.0 標準。此標準可在任何支援的外部 IdPs 和 IAM Identity Center 之間自動佈建、更新和取消佈建使用者和群組，但 Google Workspace 和 PingOne 目前僅支援透過 SCIM 佈建使用者。

如果其他 SAML 2.0 型外部 IdPs 符合特定標準和考量事項，您也可以將其連接到 IAM Identity Center。

您也可以將現有的 Microsoft Active Directory 連線至 IAM Identity Center。此選項可讓您使用 AWS Directory Service 同步現有 Microsoft Active Directory 中的使用者、群組和群組成員資格。此選項適用於已經在管理身分的大型企業，無論是位於內部部署的自我管理 Active Directory 或 AWS Managed Microsoft AD 的目錄中。您可以將 AWS Managed Microsoft AD 中的目錄連線至 IAM Identity Center。您也可以透過建立允許 IAM Identity Center 信任網域以進行身分驗證的雙向信任關係，將 Active Directory 中的自我管理目錄連線至 IAM Identity Center。另一種方法是使用 AD Connector，這是一種目錄閘道，可將目錄請求重新導向至自我管理的 Active Directory，而無需快取雲端中的任何資訊。下圖說明此選項。

優勢

• 將您現有的身分來源連線至 IAM 身分中心，以簡化存取，並為 AWS 服務的員工提供一致的體驗。

• 有效率地管理對 AWS 應用程式的人力資源存取。您可以透過 IAM Identity Center 提供身分來源的使用者和群組資訊，更輕鬆地管理和稽核使用者對 AWS 服務的存取。 

• 改善使用者存取 AWS 服務中資料的控制和可見性。您可以啟用將使用者身分內容從商業智慧工具傳輸到您使用的 AWS 資料服務，同時繼續使用您選擇的身分來源和其他 AWS 存取管理組態。

• 管理多帳戶 AWS 環境的人力資源存取權。您可以使用 IAM Identity Center 搭配現有的身分來源或建立新的目錄，並管理對部分或全部 AWS 環境的人力資源存取權。

• 在您啟用 IAM Identity Center 的 AWS 區域中，透過設定對 AWS 管理主控台的緊急存取，在服務中斷時提供額外的保護層。

服務考量

• IAM Identity Center 目前不支援使用閒置逾時，其中使用者的工作階段逾時或根據活動延長。它確實支援 AWS 存取入口網站和 IAM Identity Center 整合應用程式的工作階段持續時間。您可以設定介於 15 分鐘到 90 天的工作階段持續時間。您可以檢視和刪除 IAM Identity Center 使用者的作用中 AWS 存取入口網站工作階段。不過，修改和結束 AWS 存取入口網站工作階段不會影響 AWS 管理主控台的工作階段持續時間，後者是定義不許可集。

設計考量

• 您可以一次在單一 AWS 區域中啟用 IAM Identity Center 執行個體。當您啟用 IAM Identity Center 時，它會控制從主要區域存取其許可集和整合應用程式。這表示，如果此區域中的 IAM Identity Center 服務不太可能中斷，使用者將無法登入存取帳戶和應用程式。為了提供額外的保護，我們建議您使用 SAML 2.0 型聯合來設定對 AWS 管理主控台的緊急存取。

  注意

  如果您使用第三方外部 IdP 做為身分來源，並在 IAM 服務資料平面和外部 IdP 可用時運作，則此緊急存取建議適用。

• 如果您使用 Active Directory 或在 IAM Identity Center 中建立使用者，請遵循標準 AWS 碎片指引。

• 如果您打算使用 AD Connector 將內部部署 Active Directory 連線至 IAM Identity Center，請考慮 AD Connector 與您的 Active Directory 網域具有one-on-one信任關係，且不支援轉移信任。這表示 IAM Identity Center 只能存取連接到您建立之 AD Connector 的單一網域的使用者和群組。如果您需要支援多個網域或樹系，請使用 AWS Managed Microsoft AD。

• 如果您使用的是外部 IdP，多重要素驗證 (MFA) 會從外部 IdP 管理，而不是在 IAM Identity Center 中管理。只有在使用 IAM Identity Center 的身分存放區、AWS Managed Microsoft AD 或 AD Connector 設定您的身分來源時，IAM Identity Center 才支援 MFA 功能。 

在 AWS 中建立和管理身分

我們建議您將 IAM Identity Center 與外部 IdP 搭配使用。不過，如果您沒有現有的 IdP，您可以在 IAM Identity Center 目錄中建立和管理使用者和群組，這是服務的預設身分來源。此選項如下圖所示。建議不要在每個 AWS 帳戶中為人力資源使用者建立 IAM 使用者或角色。如需詳細資訊，請參閱 IAM Identity Center 文件。 

服務考量

• 當您在 IAM Identity Center 中建立和管理身分時，您的使用者必須遵循無法修改的預設密碼政策。如果您想要為身分定義並使用自己的密碼政策，請將身分來源變更為 Active Directory 或外部 IdP。

• 當您在 IAM Identity Center 中建立和管理身分時，請考慮規劃災難復原。IAM Identity Center 是一種區域服務，專為跨多個可用區域運作而建置，可承受可用區域的故障。不過，在 IAM Identity Center 啟用的區域中不太可能發生中斷的情況下，您將無法實作和使用 AWS 建議的緊急存取設定，因為包含使用者和群組的 IAM Identity Center 目錄也會受到該區域中任何中斷的影響。若要實作災難復原，您需要將身分來源變更為外部 SAML 2.0 IdP 或 Active Directory。

設計考量

• IAM Identity Center 一次只支援使用一個身分來源。不過，您可以將目前的身分來源變更為其他兩個身分來源選項之一。在您進行此變更之前，請檢閱變更身分來源的考量，以評估影響。

• 當您使用 IAM Identity Center 目錄做為身分來源時，預設會針對 2023 年 11 月 15 日之後建立的執行個體啟用 MFA。當新使用者第一次登入 IAM Identity Center 時，系統會提示他們註冊 MFA 裝置。管理員可以根據其安全需求更新使用者的 MFA 設定。

IAM Identity Center 的一般設計考量事項

• IAM Identity Center 支援屬性型存取控制 (ABAC)，這是一種授權策略，可讓您使用屬性建立精細的許可。有兩種方式可將存取控制的屬性傳遞至 IAM Identity Center：

  • 如果您使用的是外部 IdP，您可以使用 字首直接在 SAML 聲明中傳遞屬性https://aws.amazon.com/SAML/Attributes/AccessControl。

  • 如果您使用 IAM Identity Center 做為身分來源，則可以新增和使用 IAM Identity Center 身分存放區中的屬性。

  • 若要在所有情況下使用 ABAC，您必須先在 IAM Identity Center 主控台的存取控制屬性頁面上選取存取控制屬性。若要使用 SAML 聲明傳遞它，您必須在 IdP 中將屬性名稱設定為 https://aws.amazon.com/SAML/Attributes/AccessControl:<AttributeName>。 

  • 在存取控制的 IAM Identity Center 主控台屬性頁面上定義的屬性優先於從您的 IdP 傳遞 SAML 聲明的屬性。如果您只想要使用從 SAML 聲明傳遞的屬性，請勿在 IAM Identity Center 中手動定義任何屬性。在 IdP 或 IAM Identity Center 中定義屬性後，您可以使用 aws：PrincipalTag 全域條件金鑰，在許可集中建立自訂許可政策。這可確保只有屬性與您資源上的標籤相符的使用者才能存取您 AWS 帳戶中的這些資源。

• IAM Identity Center 是一種人力資源身分管理服務，因此需要人工互動才能完成程式設計存取的身分驗證程序。如果您需要machine-to-machine身分驗證的短期憑證，請針對 AWS 或 IAM Roles Anywhere 中的工作負載探索 Amazon EC2 執行個體描述檔。

• IAM Identity Center 可讓您存取組織內 AWS 帳戶中的資源。不過，如果您想要使用 IAM Identity Center 提供外部帳戶的單一登入存取權 （即組織外部的 AWS 帳戶），而不邀請這些帳戶加入您的組織，您可以將外部帳戶設定為 IAM Identity Center 中的 SAML 應用程式。

• IAM Identity Center 支援與暫時提升存取管理 (TEAM) 解決方案 （也稱為即時存取） just-in-time 整合。此整合可讓您大規模存取多帳戶 AWS 環境的時間限制提升存取。暫時提升存取可讓使用者請求在特定期間內執行特定任務的存取。核准者會檢閱每個請求，並決定是否核准或拒絕該請求。IAM Identity Center 支援來自支援的 AWS 安全合作夥伴或自我管理解決方案的廠商受管 TEAM 解決方案，您可以維護和量身打造解決方案，以滿足您的時間限制存取需求。