本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 受管理應用
AWS 受管理的應用程式與 IAM Identity Center 整合,並將其用於驗證和目錄服務。
將 AWS 受管理的應用程式與 IAM Identity Center 整合為您提供更輕鬆的路徑來指派使用者存取權,而不需為每個應用程式設定個別的同盟或使用者和群組同步處理。您可以連線一次想要用於驗證的身分識別來源,並收到使用者和群組指派的單一檢視。啟用信任身分傳播的應用程式管理員可以根據使用者或使用者的群組成員資格來定義和稽核其應用程式資源的存取權,而不需要將它們對應至IAM角色。
AWS 受管理的應用程式提供管理使用者介面,可讓您用來管理應用程式資源的存取。例如, QuickSight 管理員可以根據使用者的群組成員資格,為使用者指派存取儀表板。大多數 AWS 受管理的應用程式也提供一種 AWS Management Console 體驗,可讓您將使用者指派給應用程式。這些應用程式的主控台體驗可能會整合這兩種功能,以便將使用者指派功能與管理應用程式資源存取權限相結合。
AWS 與IAM身分識別中心整合的受管理應用程式
AWS 與IAM身分識別中心整合的受管理應用 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| AWS 受管理應用 | 整合IAM身分識別中心的組織執行個體 | 整合IAM身分識別中心的帳戶執行個體 | 透過身分識別中心啟用受信任IAM身分 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Athena SQL | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon CodeCatalyst | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EMR 筆記 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EMR 在 Amazon EC2 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon EMR 一室 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Kendra | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Managed Grafana | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Monitron | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Nimble Studio | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Pinpoint | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Q Business | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Q 開發者 | |
|
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon QuickSight | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon Redshift | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon S3 訪問授權 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon SageMaker 一室 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| Amazon WorkSpaces 網站 | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS CLI | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Deadline Cloud | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS IoT Events | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS IoT Fleet Hub | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS IoT SiteWise | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Lake Formation | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Supply Chain | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Systems Manager | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| AWS Verified Access | |
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
* 除非您的使用者需要存取 AWS 網站上完整的 Amazon Q 開發人員功能,否則支援IAM身分中心的帳戶執行個體。如需詳細資訊,請參閱 Amazon Q 開發人員使用指南中的設定 Amazon Q 開發人員。
主題
控制存取
AWS 受管理應用程式的存取控制方式有兩種:
-
應用程式的初始項目 — IAM Identity Center 會透過指派給應用程式來管理此項目。依預設, AWS 受管理的應用程式需要指派。
-
對應用程式資源的存取 — 應用程式會透過其控制的獨立資源指定來管理此資源。
協調管理工作
如果您是應用程式管理員,則可以選擇是否要求指派應用程式。如果需要指派,當使用者登入 AWS 存取入口網站時,只有直接或透過群組指派指派給應用程式的使用者才能檢視應用程式磚。或者,如果不需要指派,您可以允許所有 IAM Identity Center 使用者進入應用程式。在此情況下,應用程式會管理資源的存取權,而且所有造訪存取入口網站的使用者都可以看到應 AWS 用程式磚。
如果您是IAM身分識別中心管理員,則可以使用 IAM Identity Center 主控台移除 AWS 受管理應用程式的指派。移除指定之前,建議您先與應用程式管理員協調。如果您打算修改決定是否需要指派的設定,還是自動化應用程式指派,您也應該與應用程式管理員協調。
設定IAM身分識別中心以共用身分資訊
IAMIdentity Center 提供包含使用者和群組屬性的身分識別存放區,但登入認證除外。您可以使用下列其中一種方法來保持IAM身分識別中心識別身分存放區中的使用者和群組更新:
-
使用IAM身分識別中心身分存放區做為主要身分識別來源。如果選擇此方法,則可以從 IAM Identity Center 主控台或 AWS Command Line Interface (AWS CLI) 管理使用者、其登入認證和群組。如需詳細資訊,請參閱在身分識別中IAM心管理身分。
-
設定來自下列任一身分識別來源至您 IAM Identity Center 身分識別存放區的使用者和群組佈建 (同步處理):
-
作用中目錄 — 如需詳細資訊,請參閱Connect 至目Microsoft AD錄。
-
外部身分識別提供者 — 如需詳細資訊,請參閱管理外部身分識別提供者。
如果選擇此佈建方法,則會繼續從身分識別來源中管理使用者和群組,而這些變更會同步至 IAM Identity Center 身分識別存放區。
-
無論您選擇哪種身分識別來源,IAMIdentity Center 都可與 AWS 受管理的應用程式共用使用者和群組資訊 如此一來,您就可以將身分識別來源連線至 IAM Identity Center 一次,然後與中的多個應用程式共用身分識別資訊 AWS 雲端。如此一來,就不需要針對每個應用程式獨立設定同盟和身分識別佈建。此共享功能還可以讓您的用戶輕鬆訪問許多不同的應用程序 AWS 帳戶。
在中共用身分資訊的注意事項 AWS 帳戶
IAM身分識別中心支援跨應用程式最常用的屬性。這些屬性包括名字和姓氏、電話號碼、電子郵件地址、地址和慣用語言。仔細考慮哪些應用程序和哪些帳戶可以使用這些個人身份信息。
您可以使用下列其中一種方式來控制對此資訊的存取。您可以選擇僅在 AWS Organizations 管理帳戶或中的所有帳戶中啟用存取權 AWS Organizations。或者,您可以使用服務控制策略 (SCPs) 來控制哪些應用程式可以存取其中帳戶的資訊 AWS Organizations。例如,如果您僅在 AWS Organizations 管理帳戶中啟用存取權,則成員帳戶中的應用程式將無法存取這些資訊。但是,如果您在所有帳戶中啟用訪問權限,則可以使用禁SCPs止所有應用程序訪問,但您要允許的應用程序除外。
啟用識別感知主控台工作階段
主控台的身分識別感知工作階段會提供一些額外的使用者內容來個人化該使用者的體驗,藉此強化使用者的 AWS 主控台工作階段。目前 Amazon Q 開發人員專業版使用者在應用AWS 程式和網站上支援此功能。
您可以啟用身分識別感知主控台工作階段,而無需對現有的存取模式或同盟進行任何變更。 AWS 如果您的使用者使用 IAM (例如,如果他們以使用IAM者身分登入或透過同盟存取權登入IAM) 登入 AWS 主控台,他們就可以繼續使用這些方法。如果您的使用者登入 AWS 存取入口網站,他們可以繼續使用其 IAM Identity Center 使用者認證。
先決條件和考量事項
啟用身分識別感知主控台工作階段之前,請檢閱下列先決條件和考量事項:
-
如果您的使用者透過 Amazon Q 開發人員專業版訂閱存取 AWS 應用程式和網站上的 Amazon Q,您必須啟用身分識別感知主控台工作階段。
注意
Amazon Q 開發人員使用者可以在沒有身分識別感知工作階段的情況下存取 Amazon Q,但他們無法存取 Amazon Q 開發人員專業版訂閱。
-
IAM身分識別感知主控台工作階段需要 Identity Center 的組織執行個體。
-
如果您在選擇加入 AWS 區域中啟用IAM身分識別中心,則不支援與 Amazon Q 整合。
-
啟用身分識別感知主控台工作階段後,就無法停用此功能。
-
若要啟用身分識別感知主控台工作階段,您必須具備下列權限:
-
sso:CreateApplication -
sso:GetSharedSsoConfiguration -
sso:ListApplications -
sso:PutApplicationAssignmentConfiguration -
sso:PutApplicationAuthenticationMethod -
sso:PutApplicationGrant -
sso:PutApplicationAccessScope -
signin:CreateTrustedIdentityPropagationApplicationForConsole -
signin:ListTrustedIdentityPropagationApplicationsForConsole
-
-
若要讓使用者能夠使用身分識別感知主控台工作階段,您必須在以身分識別為基礎的原則中授予他們
sts:setContext權限。如需詳細資訊,請參閱授與使用者使用識別感知主控台工作階段的權限
如何啟用 identity-aware-console 工作階段
您可以在 Amazon Q 主控台或身分識別中心主控台中啟用IAM身分識別感知主控台工作階段。
在 Amazon Q 主控台中啟用身分識別感知主控台工作階段
啟用身分識別感知主控台工作階段之前,您必須擁有已連線身分識別來源的 I IAM dentity Center 組織執行個體。如果您已設定IAM身分識別中心,請跳至步驟 3。
-
開啟IAM身分識別中心主控台。選擇啟用,然後建立IAM身分識別中心的組織執行個體。如需相關資訊,請參閱 啟用 AWS IAM Identity Center。
-
將您的身分識別來源 Connect 至IAM身分識別中心,並將使用者佈建至IAM身分 如果您尚未使用其他身分識別來IAM源,則可以將現有的身分識別來源連線至身分識別中心目錄,或使用 Identity Center 目錄。如需詳細資訊,請參閱入門教學課程。
-
完成IAM身分識別中心的設定後,請開啟 Amazon Q 主控台,並按照 Amazon Q 開發人員使用者指南中的訂閱中的步驟進行操作。請務必啟用身分識別感知主控台工作階段。
注意
如果您沒有足夠的權限來啟用身分識別感知主控台工作階段,您可能需要請 I IAM dentity Center 系統管理員在 I IAM dentity Center 主控台中為您執行此工作。如需詳細資訊,請參閱下一程序。
在IAM身分識別中心主控台中啟用身分識別感知主控台工
如果您是 I IAM dentity Center 系統管理員,系統可能會要求您在 Identity Center 主控台中啟用IAM身分識別感知主控台工作階段。
-
開啟IAM身分識別中心主控台。
-
在導覽窗格中,選擇設定。
-
在 [啟用識別感知工作階段] 下,選擇 [啟用]
-
在第二個訊息中,選擇 [啟用]。
-
啟用身分識別感知主控台工作階段後,「設定」頁面頂端會顯示確認訊息。
-
在「詳細資訊」段落中,識別感知工作階段的狀態為「已啟用」。
身分識別感知主控台工作階段如何
IAMIdentity Center 可增強使用者目前的主控台工作階段,以包含作用中的IAM身分識別中心使用者的 ID 和IAM身分識別中心工作階段 ID
身分識別感知主控台工作階段包含下列三個值:
-
識別身分存放區使用者 ID (身份存儲:UserId)-此值用於唯一識別身分識別來源中連線至IAM身分識別中心的使用者。
-
識別身分存放區目錄 ARN (身份存儲:IdentityStoreArn)-此值是連線至身分識別中心的身IAM分識別存放區,以及您可以在其中查詢屬性的位置
identitystore:UserId。ARN -
IAM身分識別中心工作階段 ID-此值表示使用者的IAM身分識別中心工作階段是否仍然有效。
這些值是相同的,但是以不同的方式獲得,並在過程的不同點添加,具體取決於用戶登錄的方式:
-
IAM身分識別中心 (AWS 存取入口網站):在此情況下,使用者的識別身分存放區使用者 ID 和ARN值已提供在作用中的IAM身分識別中心工作階段中。IAM身分識別中心透過僅新增工作階段 ID 來增強目前的工作階段。
-
其他登入方法:如果使用者以 AWS IAM使用者、IAM角色或聯合使用者身分登入IAM,則不會提供任何這些值。IAMIdentity Center 透過新增識別身分存放區使用者 ID、識別身分存放區目錄ARN和工作階段 ID 來增強目前的工作階段。
限制 AWS 受管理應用程式的使用
首次啟用 IAM Identity Center 時, AWS 允許在中的所有帳戶中自動使用 AWS 受管理的應用程式 AWS Organizations。若要限制應用程式,您必須實作SCPs。您可SCPs以使用封鎖 IAM Identity Center 使用者和群組資訊的存取,並防止應用程式啟動,除了在指定的帳戶中。
檢視和更新 AWS 受管理應用程式的詳細資訊
使用主控台或APIs應用程式將 AWS 受管理的應用程式連線至 IAM Identity Center 後,應用程式便會向 I IAM dentity Center 註冊。在 Identity Center 註冊應用程式之後,您可以在 IAM Identity Center 主控台中檢視和更新有關應用程式的IAM詳細資訊。
在 IAM Identity Center 主控台中檢視 AWS 受管理應用程式的相關資訊
-
開啟IAM身分識別中心主控台
。 -
選擇 Applications (應用程式)。
-
選擇AWS 受管理的索引標籤。
-
選擇您要開啟並檢視之受管理應用程式的連結。
-
應用程式的相關資訊包括是否需要使用者和群組指派,以及指派的使用者和群組,以及識別傳播的信任應用程式 (如果適用)。如需有關受信任識別傳播的資訊,請參閱跨應用程式的可信身分傳播。
在 IAM Identity Center 主控台中更新 AWS 受管理應用程式的相關資訊
-
開啟IAM身分識別中心主控台
。 -
選擇 Applications (應用程式)。
-
選擇AWS 受管理的索引標籤。
-
選擇您要開啟並更新之受管理應用程式的連結。
-
選擇動作,然後選擇編輯詳細資訊。
-
您可以變更應用程式的顯示名稱、說明,以及使用者和群組指派方法。
-
若要變更顯示名稱,請在 [顯示名稱] 欄位中輸入所需的名稱,然後選擇 [儲存變更]。
-
若要變更說明,請在「描述」欄位中輸入所需的描述,然後選擇「儲存變更」。
-
若要變更使用者和群組指派方法,請進行所需的變更,然後選擇 [儲存變更]。如需詳細資訊,請參閱使用者、群組和佈建。
-
停用 AWS 受管理應用程式
若要防止使用者對 AWS 受管理的應用程式進行驗證,您可以在 IAM Identity Center 主控台中停用該應用程式。
警告
停用應用程式會刪除此應用程式的所有使用者權限、中斷應用程式與 IAM Identity Center 的連線,並使應用程式無法存取。如果您是 I IAM dentity Center 管理員,建議您先與應用程式管理員協調,然後再執行此工作。
停用 AWS 受管理的應用程式
-
開啟IAM身分識別中心主控台
。 -
選擇 Applications (應用程式)。
-
在 [應用程式] 頁面的 [受AWS 管理的應用程式] 下,選擇您要停用的應用程式。
-
選取應用程式後,選擇 [動作],然後選擇 [停用]。
-
在「停用應用程式」對話方塊中選擇「停用」。
-
在AWS 受管理的應用程式清單中,應用程式狀態顯示為非作用中。
