IAM Identity Center 是什么? - Amazon IAM Identity Center
为何使用 IAM Identity Center?
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM Identity Center 是什么?

Amazon IAM Identity Center 是将员工用户连接到 Amazon 托管应用程序(例如 Amazon Q 开发者版和 Amazon QuickSight)以及其他 Amazon 资源的 Amazon 解决方案。您可以连接现有身份提供者,同步目录中的用户和组,或者直接在 IAM Identity Center 中创建和管理用户。然后,您可以将 IAM Identity Center 用于以下一个或两个用途:

  • 用户对应用程序的访问权限

  • 用户对 Amazon Web Services 账户 的访问权限

已使用 IAM 访问 Amazon Web Services 账户?

无需对当前 Amazon Web Services 账户 工作流程进行任何更改,即可使用 IAM Identity Center 访问 Amazon 托管应用程序。如果将 IAM 联合身份验证 或 IAM 用户用于 Amazon Web Services 账户 访问权限,则用户可以继续按照既往方式访问 Amazon Web Services 账户,并且可以继续使用现有工作流程管理访问权限。

为何使用 IAM Identity Center?

IAM Identity Center 通过以下关键功能简化员工用户对应用程序和/或 Amazon Web Services 账户 的访问。

与 Amazon 托管应用程序集成

Amazon 托管应用程序(例如 Amazon Q 开发者版和 Amazon Redshift)与 IAM Identity Center 集成。IAM Identity Center 为 Amazon 托管应用程序提供了用户和组的通用视图。

跨应用程序的可信身份传播

通过可信身份传播,Amazon QuickSight 等 Amazon 托管应用程序可以安全地与其他 Amazon 托管应用程序(例如 Amazon Redshift)共享用户的身份,并根据用户的身份授予对 Amazon 资源的访问权限。您可以更轻松地审查用户活动,因为 CloudTrail 事件是根据用户和用户启动的操作记录的。这可让您更轻松地用户的访问记录。有关支持应用场景的信息,包括端到端配置指南,请参阅可信身份传播应用场景

一站式为多个 Amazon Web Services 账户 分配权限

借助多账户权限,IAM Identity Center 提供了集中向多个 Amazon Web Services 账户 中的用户组分配权限的平台。您可以根据常见的工作职能创建权限,或定义满足您安全需求的自定义权限。然后,您可以将这些权限分配给员工用户,控制他们对特定 Amazon Web Services 账户 的访问权限。

此可选功能仅适用于 IAM Identity Center 的组织实例

一个联合身份验证点可简化对 Amazon 的用户访问权限

通过提供一个联合身份验证点,IAM Identity Center 减少了使用多个 Amazon 托管应用程序和 Amazon Web Services 账户 所需的管理工作。通过 IAM Identity Center,您只需进行一次联合身份验证,并且在使用 SAML 2.0 身份提供者时只需管理一个证书。IAM Identity Center 为 Amazon 托管应用程序提供用户和组的通用视图,该视图可用于可信身份传播应用场景,或者当用户与其他人共享 Amazon 资源的访问权限时。

有关如何配置常用身份提供者来使用 IAM Identity Center 的信息,请参阅 IAM Identity Center 身份源教程。当前没有身份提供者,可直接在 IAM Identity Center 目录中创建和管理用户

两种部署模式

IAM Identity Center 支持两种类型的实例:组织实例账户实例。使用组织实例是最佳做法。只有此类实例允许您管理对 Amazon Web Services 账户 的访问,建议将其用于所有生产用途的应用程序。组织实例在 Amazon Organizations 管理账户中部署,让您可以通过单个位置管理整个 Amazon 中的用户访问权限。

账户实例会绑定至启用了账户实例的 Amazon Web Services 账户。IAM Identity Center 账户实例仅用于支持特定 Amazon 托管应用程序的孤立部署。有关更多信息,请参阅 IAM身份中心的组织和账户实例

便于用户访问的 Web 门户

Amazon Web Services 访问门户是便于用户使用的 Web 门户,可让用户无缝访问所有分配给他们的 Amazon Web Services 账户 和/或应用程序。