Часто задаваемые вопросы о Центре идентификации AWS IAM

Общие вопросы

IAM Identity Center создан на базе AWS Identity and Access Management (IAM) для упрощения управления доступом к нескольким аккаунтам AWS, приложениям AWS и другим облачным приложениям с поддержкой SAML. В IAM Identity Center вы создаете или подключаете своих рабочих пользователей для использования в AWS. Контролируется как доступ только к своим аккаунтам AWS, так и к облачным приложениям или и то, и другое. Вы можете создавать пользователей непосредственно в IAM Identity Center, а можете перенести их из существующего каталога персонала. IAM Identity Center – это единый административный интерфейс для точного определения, настройки и выдачи доступов. Ваши сотрудники получают пользовательский портал для доступа к назначенным аккаунтам AWS или облачным приложениям.

IAM Identity Center устраняет административные сложности, связанные с объединением и управлением разрешениями отдельно для каждого аккаунта AWS. Он позволяет настраивать приложения AWS из единого интерфейса и назначать доступ к облачным приложениям из единого места.

Центр идентификации IAM решает проблему ограниченного контроля за счет интеграции с AWS CloudTrail, обеспечивая единый центр для аудита доступа по технологии единого входа к аккаунтам AWS, а также облачным приложениям, поддерживающим SAML (например, Microsoft 365, Salesforce и Box).

IAM Identity Center – это рекомендуемая нами входная дверь в AWS. Он должен стать вашим основным инструментом для управления доступом к AWS пользователей из числа ваших сотрудников. Он позволяет управлять идентификационными данными в предпочитаемом источнике идентификации, подключать их один раз для использования в AWS, позволяет определять тонкие разрешения и применять их последовательно для всех аккаунтов. По мере увеличения количества ваших аккаунтов IAM Identity Center дает вам возможность использовать его как единое место для управления доступом пользователей ко всем вашим облачным приложениям.

IAM Identity Center предназначен для администраторов, которые управляют несколькими аккаунтами AWS и бизнес-приложениями и хотят организовать централизованный доступ пользователей к этим облачным сервисам, а также предоставить сотрудникам единый центр для доступа к аккаунтам и приложениям без необходимости запоминать дополнительный пароль.

Как новому клиенту IAM Identity Center вам следует:

Войти в Консоль управления AWS аккаунта менеджера в AWS и перейти в консоль IAM Identity Center.

Выбрать каталог, используемый для хранения удостоверений пользователей и групп на консоли IAM Identity Center. По умолчанию IAM Identity Center предоставляет каталог, который можно использовать для управления пользователями и группами в IAM Identity Center. Вы также можете сменить каталог и подключиться к каталогу Microsoft AD, просмотрев список инстансов Managed Microsoft AD и AD Connector, которые IAM Identity Center автоматически обнаруживает в вашем аккаунте. Если вы хотите подключиться к каталогу Microsoft AD, ознакомьтесь с разделом Начало работы с сервисом каталогов AWS.

Предоставить пользователям доступ по технологии единого доступа к аккаунтам AWS организации: выбрать аккаунты из списка, заполненного IAM Identity Center, а затем выбрать пользователей или группы из каталога и установить для них нужные разрешения.

Предоставить пользователям доступ к облачным бизнес-приложениям следующим образом.

а) Выбрать одно приложение из списка заранее интегрированных приложений, поддерживаемых в IAM Identity Center.

б) настроить приложение согласно инструкциям по настройке.

в) Выбрать пользователей или группы, у которых должен быть доступ к этому приложению.

Предоставить пользователям интернет-адрес для входа в IAM Identity Center, созданный при настройке каталога. Пользователи смогут выполнять вход в IAM Identity Center и получать доступ к аккаунтам и бизнес-приложениям.

Дополнительная плата за использование сервиса IAM Identity Center не взимается.

Сведения о доступности Центра идентификации IAM по регионам см. в таблице регионов AWS.

Поддержка источников удостоверений и приложений

Нет. В любой момент времени к IAM Identity Center может быть подключено не более одного каталога или поставщика удостоверений SAML 2.0. Однако можно сменить один подключенный источник удостоверений на другой.

Вы можете подключить Центр идентификации IAM к большинству поставщиков удостоверений SAML 2.0, таких как Okta Universal Directory или Microsoft Entra ID (ранее Azure AD). Подробнее см. в руководстве пользователя Центра идентификации IAM.

Нет, Центр идентификации IAM не изменяет существующие роли, пользователей или политики IAM в аккаунтах AWS. Он создает новые роли и политики специально для использования в Центре идентификации IAM.

После включения Центра идентификации IAM все существующие роли или пользователи IAM будут продолжать работать «как есть». Это означает, что вы можете перейти в Центр идентификации IAM поэтапно, не нарушая существующий доступ к AWS.

Центр идентификации IAM предоставляет новые роли для использования в ваших аккаунтах AWS. К новым ролям, используемым в Центре идентификации IAM, можно присоединить те же политики, что и к существующим ролям IAM.

Центр идентификации IAM не создает пользователей и группы IAM. Он имеет собственное специализированное хранилище идентификаций для хранения информации о пользователях. При использовании внешнего поставщика идентификации Центр хранит синхронизированную копию атрибутов пользователей и сведений о членстве в группах без материалов для аутентификации, таких как пароли или устройства MFA. Ваш внешний поставщик идентификации остается источником достоверной информации и атрибутов пользователей.

Да. Если вы используете Okta Universal Directory, Microsoft Entra ID (ранее Azure AD), OneLogin или PingFederate, можно применять SCIM для автоматической синхронизации информации о пользователях и группах между поставщиком удостоверений и Центром идентификации IAM. Подробнее см. в руководстве пользователя Центра идентификации IAM.

Вы можете подключить IAM Identity Center к корпоративному каталогу Active Directory (AD) или AWS Managed Microsoft AD с помощью сервиса каталогов AWS. Подробнее см. в руководстве пользователя Центра идентификации IAM.

Для подключения локальной версии Active Directory к IAM Identity Center существует два варианта: (1) использовать AD Connector или (2) использовать доверенный канал AWS Managed Microsoft AD. AD Connector просто подключает существующий локальный каталог Active Directory к AWS. AD Connector – это шлюз, с помощью которого вы можете перенаправить запросы к каталогу в локальное развертывание Microsoft Active Directory без кэширования информации в облаке. Подробнее о подключении локального каталога с помощью AD Connector вы можете узнать в Руководстве администратора по сервису каталогов AWS. AWS Managed Microsoft AD упрощает настройку и запуск Microsoft Active Directory на платформе AWS. Ее можно использовать для настройки леса доверенных каналов между локальным каталогом и AWS Managed Microsoft AD. Подробнее о настройках доверенных каналов можно см. в руководстве администратора по сервису каталогов AWS.

Amazon Cognito – это сервис, который помогает в управлении удостоверениями для взаимодействующих с клиентом приложений. Он не поддерживается в Центре идентификации IAM как источник удостоверений. Вы можете создавать пользовательские удостоверения и управлять ими через Центр идентификации IAM или внешний источник удостоверений, например Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (ранее Azure AD), или другого поддерживаемого поставщика удостоверений.

Да, вы можете использовать IAM Identity Center для контроля доступа к Консоли управления AWS и CLI версии 2. IAM Identity Center позволяет пользователям использовать CLI и Консоли управления AWS с поддержкой единого входа. Приложение AWS Mobile Console также интегрируется с IAM Identity Center, поэтому вы можете одинаково входить в систему через браузер, мобильные устройства и интерфейсы командной строки.

К IAM Identity Center можно подключить указанные ниже приложения.

Интегрированные приложения Центра идентификации IAM. Интегрированные приложения Центра идентификации IAM, такие как SageMaker Studio или IoT SiteWise, используют Центр идентификации IAM для аутентификации и работы с удостоверениями, которые имеются в Центре идентификации IAM. Для синхронизации удостоверений в этих приложениях или отдельной настройки федерации не нужны дополнительные настройки.

Интегрированные приложения, поддерживающие SAML. IAM Identity Center имеет встроенную интеграцию для распространенных бизнес-приложений. Полный список см. в консоли IAM Identity Center.

Специальные приложения, поддерживающие SAML. IAM Identity Center поддерживает приложения, использующие федерацию удостоверений по стандарту SAML 2.0. Вы можете включить в IAM Identity Center поддержку этих приложений с помощью мастера пользовательских приложений.

Доступ к аккаунтам AWS через Single Sign-On

К Центру идентификации IAM можно подключить любые аккаунты AWS, управляемые с помощью сервиса Организации AWS. Для работы с единым входом для аккаунтов, необходимо включить все функции в организациях.

Можно выбрать нужные аккаунты внутри организации или отфильтровать их по OU.

Основное применение предоставления доверенных данных заключается в том, чтобы приложения бизнес-аналитики (BI) могли запрашивать у аналитических сервисов AWS, таких как Amazon Redshift или Amazon Quicksight, данные, необходимые бизнес-пользователям при входе в систему одного пользователя (сохраняя при этом информацию о его личности) через существующего поставщика идентификационных данных клиента. Эта возможность поддерживает различные типы часто используемых приложений бизнес-аналитики и применяет различные механизмы для распространения идентификационных данных пользователя между сервисами.

При предоставлении доступа можно ограничить разрешения пользователей, выбрав набор разрешений. Набор разрешений – это группа разрешений, которую можно создать в IAM Identity Center по образцу политик для должностных обязанностей, управляемых AWS, или любых других управляемых политик AWS. Управляемые политики AWS для должностных обязанностей предназначены для максимального соответствия распространенным должностным обязанностям в ИТ-отрасли. При необходимости можно полностью перенастроить набор разрешений, чтобы соответствовать требованиям безопасности. IAM Identity Center автоматически применяет эти разрешения к выбранным аккаунтам. После настройки IAM Identity Center позволяет легко применять наборы разрешений к соответствующим аккаунтам. Когда пользователи получают доступ к аккаунтам через пользовательский портал AWS, эти ограничения задают рамки действий пользователей в аккаунтах. Можно предоставить пользователям несколько наборов разрешений. Тогда при доступе к аккаунтам через пользовательский портал пользователи смогут выбрать, какой набор разрешений использовать для текущего сеанса.

Центр идентификации IAM обеспечивает поддержку API и AWS CloudFormation для автоматизации управления разрешениями в средах с несколькими аккаунтами, а также получения разрешений программными средствами в целях аудита и управления.

Для внедрения ABAC можно выбрать атрибуты из публичных удостоверений Центра идентификационных IAM для пользователей Центра идентификации IAM и пользователей, синхронизированных с Microsoft AD, или внешних поставщиков удостоверений SAML 2.0, включая Okta Universal Directory, Microsoft Entra ID (Azure AD), OneLogin и PingFederate. Если использовать внешнего поставщика удостоверений в качестве источника удостоверений, атрибуты можно опционально отправлять как часть утверждения SAML 2.0.

Данные для доступа к интерфейсу командной строки AWS можно получить для любых аккаунтов AWS и разрешений пользователя, назначенных администратором Центра идентификации IAM. Эти данные для доступа к CLI могут использоваться для программного доступа к аккаунту AWS.

Учетные данные для доступа к интерфейсу командной строки (CLI) AWS, полученные через Центр идентификации IAM, действительны в течение 60 минут. Новый набор данных для доступа можно запросить без ограничений, как только потребуется.

Доступ к бизнес-приложениям по технологии единого входа

Перейдите из консоли IAM Identity Center к панели приложений, выберите пункт Configure new application (Настроить новое приложение), а потом – одно из списка облачных приложений, заранее интегрированных с IAM Identity Center. Следуйте инструкциям на экране, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт «Assign Access» (Предоставить доступ) для завершения процесса.

Да. Если приложение поддерживает SAML 2.0, его можно настроить как пользовательское приложение SAML 2.0. Перейдите из консоли IAM Identity Center к панели приложений, выберите пункт Configure new application (Настроить новое приложение), затем пункт Custom SAML 2.0 application (Специальное приложение SAML 2.0). Следуйте инструкциям, чтобы настроить приложение. Как только приложение настроено, к нему можно предоставлять доступ. Выберите группы или пользователей, которым нужно предоставить доступ к приложению, затем выберите пункт «Assign Access» (Предоставить доступ) для завершения процесса.

Нет. Центр идентификации IAM поддерживает только приложения на основе SAML 2.0.

Нет. IAM Identity Center поддерживает только технологию единого входа в бизнес-приложения через веб-браузеры.

Разное

IAM Identity Center сохраняет данные о назначении аккаунтов AWS и облачных приложений пользователям и группам, а также о том, какие разрешения предоставлены для доступа к аккаунтам AWS. IAM Identity Center создает роли IAM для каждого набора разрешений на доступ, созданного для пользователей, и управляет этими ролями в каждом аккаунте AWS.

С помощью IAM Identity Center вы также можете использовать возможности строгой аутентификации на основе стандартов для всех пользователей во всех источниках удостоверений. Если в качестве источника удостоверений вы используете поддерживаемого поставщика удостоверений на основе SAML 2.0, можно включить многофакторную аутентификацию, предоставляемую вашим поставщиком. Если вы используете Active Directory или IAM Identity Center в качестве источника идентификации, IAM Identity Center поддерживает спецификацию веб-аутентификации, что обеспечивает возможность защиты доступа пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, например Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP).

Вы также можете использовать существующую конфигурацию многофакторной аутентификации на базе удаленной аутентификации пользователей (RADIUS) в качестве второй формы подтверждения личности пользователей при входе в IAM Identity Center и Сервис каталогов AWS. Чтобы узнать больше о настройке многофакторной аутентификации в Центре идентификации IAM, ознакомьтесь с Руководством пользователя по Центру идентификации IAM.

Да. Для удостоверений пользователей из списка публичных удостоверений IAM Identity Center и Active Directory IAM Identity Center поддерживает спецификацию веб-аутентификации (WebAuthn), что обеспечивает возможность защиты доступа пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, например Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP).

Для начала работы с IAM Identity Center сотрудникам нужно перейти в портал доступа IAM Identity Center, который создается при настройке источника удостоверений в IAM Identity Center. Если вы управляете пользователями в IAM Identity Center, ваши сотрудники могут использовать адрес электронной почты и пароль, использованные при настройке IAM Identity Center, для входа в пользовательский портал. Если подключить Центр идентификации IAM к Microsoft Active Directory или поставщику удостоверений SAML 2.0, ваши сотрудники могут выполнить вход в пользовательский портал с имеющимися корпоративными учетными данными, а затем просмотреть доступные им аккаунты и приложения. Для доступа к аккаунту или приложению сотруднику необходимо выбрать соответствующий значок в пользовательском портале IAM Identity Center.

Да. Центр идентификации IAM предоставляет API назначения аккаунтов, чтобы помочь автоматизировать управление разрешениями в средах с несколькими аккаунтами, а также программными средствами получать разрешения в целях аудита и управления.