委派的管理 - AWS IAM Identity Center
最佳實務先決條件

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

委派的管理

委派管理為已註冊成員帳戶中的指派使用者提供方便的方式,以執行大多數 IAM Identity Center 管理任務。當您啟用 IAM Identity Center 時,您的 IAM Identity Center 執行個體 AWS Organizations 預設會在 的管理帳戶中建立。最初以此方式設計,讓 IAM Identity Center 可以佈建、取消佈建和更新組織所有成員帳戶的角色。雖然您的 IAM Identity Center 執行個體必須一律位於管理帳戶中,但您可以選擇將 IAM Identity Center 的管理委派給其中的成員帳戶 AWS Organizations,藉此擴展從管理帳戶外部管理 IAM Identity Center 的能力。

啟用委派管理可提供下列優點:

  • 將需要存取管理帳戶以協助緩解安全問題的人數降至最低

  • 允許選取管理員將使用者和群組指派給應用程式和組織的成員帳戶

如需 IAM Identity Center 如何使用 的詳細資訊 AWS Organizations,請參閱 AWS 帳戶 存取。如需詳細資訊並檢閱示範如何設定委派管理的範例公司案例,請參閱 AWS 安全部落格中的 IAM Identity Center 委派管理入門

主題

最佳實務

以下是設定委派管理之前需要考慮的一些最佳實務:

  • 授予管理帳戶最低權限 – 知道管理帳戶是高權限帳戶,並且為了遵守最低權限的委託人,強烈建議您將管理帳戶的存取權限制為盡可能少的人員。委派管理員功能旨在將需要存取管理帳戶的人員數量降至最低。您也可以考慮使用暫時提升的存取權,僅在需要時才授予此存取權。

  • 管理帳戶的專用許可集 – 使用管理帳戶的專用許可集。基於安全考量,用於存取管理帳戶的許可集只能由管理帳戶的 IAM Identity Center 管理員修改。委派管理員無法變更管理帳戶中佈建的許可集。

  • 僅將使用者 (而非群組) 指派給管理帳戶中的許可集 – 由於管理帳戶具有特殊權限,因此在主控台或 AWS Command Line Interface (CLI) 中將存取權指派給此帳戶時必須小心。如果您將群組指派給具有管理帳戶存取權的許可集,則具有修改這些群組中成員資格許可的任何人都可以新增/移除這些群組的使用者,進而影響可存取管理帳戶的人員。這是控制您的身分來源的任何群組管理員,包括您的身分提供者 (IdP) 管理員、Microsoft Active Directory Domain Service (AD DS) 管理員或 IAM Identity Center 管理員。因此,您應該將使用者直接指派給許可集,以授予管理帳戶中的存取權,並避免群組。如果您確實使用群組來管理管理帳戶的存取權,請確定 IdP 中有適當的控制,以限制誰能夠修改這些群組,並確保這些群組的變更 (或管理帳戶中使用者的登入資料變更) 會視需要記錄和檢閱。

  • 考慮您的 Active Directory 位置 – 如果您打算使用 Active Directory 做為 IAM Identity Center 身分來源,請在已啟用 IAM Identity Center 委派管理員功能的成員帳戶中尋找目錄。如果您決定將 IAM Identity Center 身分來源從任何其他來源變更為 Active Directory,或從 Active Directory 變更為任何其他來源,則目錄必須位於 IAM Identity Center 委派管理員成員帳戶中。如果您希望 Active Directory 位於管理帳戶中,您必須在管理帳戶中執行設定,因為委派管理員不會擁有完成它的必要許可。

在具有外部身分來源的委派管理帳戶中限制 IAM Identity Center 身分存放區動作

如果您使用 IdP 或 等外部身分來源 AWS Directory Service,您應該實作政策,限制 IAM Identity Center 管理員可以從委派的管理帳戶中採取的身分存放區動作。應仔細考慮寫入和刪除操作。一般而言,外部身分來源是使用者及其屬性以及群組成員資格的事實來源。如果您使用身分存放區 APIs或 主控台修改這些項目,您的變更將在正常同步週期期間遭到覆寫。最好讓這些操作專屬控制您的身分真相來源。這也可防止 IAM Identity Center 管理員修改群組成員資格,以授予群組指派的許可集或應用程式的存取權,而不是將群組成員資格控制保留給您的 IdP 管理員。您也應該保護誰可以從委派的管理帳戶建立 SCIM 承載字符,因為這些字符可讓成員帳戶管理員透過 SCIM 用戶端修改群組和使用者。

有時候,寫入或刪除操作可能適合委派的管理員帳戶。例如,您可以建立群組而不新增成員,然後對許可集進行指派,而不必等待 IdP 管理員建立群組。在 IdP 管理員佈建群組且 IdP 同步程序建立群組成員之前,沒有人可以存取該指派。當您無法等待 IdP 同步程序移除使用者或群組的存取權時,也可以刪除使用者或群組以防止登入或授權。不過,濫用此許可可能會對使用者造成干擾。指派身分存放區許可時,您應該使用最低權限原則。您可以使用服務控制政策 (SCP) 控制委派管理帳戶管理員允許的身分存放區動作。

以下範例 SCP 可防止透過 Identity Store API 和 將使用者指派給群組 AWS Management Console,這在您的身分來源為外部時建議使用。這不會影響來自 AWS Directory Service 外部 IdP 的使用者同步 (透過 SCIM)。

注意

雖然您使用外部身分來源,但您的組織仍可能完全或部分依賴 Identity Store APIs 來佈建使用者和群組。因此,在啟用此 SCP 之前,您應該確認您的使用者佈建程序不會使用此 Identity Store API 操作。此外,請參閱下一節,了解如何將群組成員資格的管理限制在特定群組。

{
  "Version": "2012-10-17",
  "Statement": [
    { "Effect": "Deny",
      "Action": ["identitystore:CreateGroupMembership"],
      "Resource": [ "*" ] }
  ]
}

如果您想要避免僅將使用者新增至授予管理帳戶存取權的群組,您可以使用群組 ARN 以下列格式參考這些特定群組:arn:${Partition}:identitystore:::group/${GroupId}。Identity Store 中可用的此和其他資源類型記錄在服務授權參考AWS Identity Store 定義的資源類型中。您也可以考慮在 SCP 中包含其他 Identity Store APIs。如需詳細資訊,請參閱 Identity Store API 參考中的動作

透過將下列政策陳述式新增至 SCP,您可以防止委派管理員建立 SCIM 承載字符。您可以將此套用到兩個外部身分來源。

注意

如果您的委派管理員需要使用 SCIM 設定使用者佈建,或執行定期 SCIM 承載字符輪換,您將需要暫時允許存取此 API,以允許委派管理員完成這些任務。


    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ]
    }

為本機受管使用者限制委派管理帳戶中的 IAM Identity Center 身分存放區動作

如果您直接在 IAM Identity Center 中建立使用者和群組,而不是使用外部 IdP 或 AWS Directory Service,則您應該針對可建立使用者、重設密碼和控制群組成員資格的人員採取預防措施。這些動作為管理員提供了強大的能力,讓誰可以登入,以及誰可以透過群組中的成員資格獲得存取權。這些政策最好實作為您用於 IAM Identity Center 管理員的許可集中的內嵌政策,而不是做為 SCPs。下列內嵌政策範例有兩個目標。首先,它可防止將使用者新增至特定群組。您可以使用此功能來防止委派管理員將使用者新增至授予管理帳戶存取權的群組。其次,可防止發行 SCIM 承載字符。


{ 
  "Version": "2012-10-17", 
  "Statement": [ 
  { "Effect": "Deny", 
    "Action": ["identitystore:CreateGroupMembership"],
    "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, 
                  arn:${Partition}:identitystore:::group/${GroupId2} 
                 ] 
   }
  ],
  { "Effect": "Deny", 
    "Action": ["sso-directory:CreateBearerToken"],
    "Resource": [ "*" ] }
  ]
}

將 IAM Identity Center 組態管理與 PermissionSet 管理隔離

從您的管理帳戶建立不同的管理員許可集,以區隔管理任務,包括修改外部身分來源、SCIM 字符管理、工作階段逾時組態與建立、修改和指派許可集。

限制發行 SCIM 承載字符

當 IAM Identity Center 的身分來源是 Okta 或 Entra ID 等外部 IdP 時,SCIM 承載字符可讓外部身分來源透過 SCIM 通訊協定佈建使用者、群組和群組成員資格。您可以設定下列 SCP,以防止委派管理員建立 SCIM 承載字符。如果您的委派管理員需要使用 SCIM 設定使用者佈建,或執行定期 SCIM 承載字符輪換,您將需要暫時允許存取此 API,以允許委派管理員完成這些任務。


    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ] 
}

使用許可集標籤和帳戶清單來委派特定帳戶的管理

您可以建立指派給 IAM Identity Center 管理員的許可集,以委派誰可以建立許可集,以及誰可以指派哪些許可集在哪些帳戶中。方法是標記許可集,並在您指派給管理員的許可集中使用政策條件。例如,您可以建立許可集,讓使用者能夠建立許可集,前提是以特定方式標記許可集。您也可以建立政策,讓管理員指派在指定帳戶中具有特定標籤的許可集。這可協助您透過 帳戶委派管理,而不會授予管理員修改其對委派管理帳戶之存取權和權限的權限。例如,透過標記只在委派管理帳戶中使用的許可集,您可以指定僅授予特定人員許可的政策,以修改影響委派管理帳戶的權限集和指派。您也可以授予其他人管理委派管理帳戶以外帳戶清單的許可。若要進一步了解,請參閱 AWS 安全部落格中的在 中委派許可集管理和帳戶指派 AWS IAM Identity Center

先決條件

您必須先部署下列環境,才能將帳戶註冊為委派管理員:

  • AWS Organizations 除了您的預設管理帳戶之外,還必須啟用並設定至少一個成員帳戶。

  • 如果您的身分來源設定為 Active Directory,則必須啟用IAM Identity Center 可設定的 AD 同步此功能。