一般性问题

问:Amazon IAM Identity Center 是什么?

IAM Identity Center 基于 Amazon Identity and Access Management(IAM)构建,可帮您更轻松地管理多个亚马逊云科技账户、亚马逊云科技应用程序和其他支持 SAML 的云应用程序。在 IAM Identity Center 中,您可以创建或连接员工用户,以便在整个亚马逊云科技平台中使用。您可以选择仅管理对您的亚马逊云科技账户的访问权限,也可以仅管理对云应用程序的访问权限,或者同时管理两者。您可以直接在 IAM Identity Center 中创建用户,也可以从现有员工名录中导入用户。借助 IAM Identity Center,您可以获得统一的管理体验,以定义、自定义和分配精细的访问权限。您的员工用户将获得一个用户门户,用于访问分配给他们的亚马逊云科技账户或云应用程序。

问:使用 IAM Identity Center 有哪些好处?

通过 IAM Identity Center,您可以从一个中心位置快速轻松地分配和管理员工对多个亚马逊云科技账户、支持 SAML 的云应用程序(例如 Salesforce、Microsoft 365 和 Box)以及定制构建的内部应用程序的访问权限。员工则可以使用其现有凭证或者您在 IAM Identity Center 中配置的凭证登录,从而提高工作效率。他们可以使用单独一个个性化用户门户。您可以更好地了解云端应用程序的使用情况,因为您可以通过 Amazon CloudTrail 集中监控和审核登录活动。

问:IAM Identity Center 可以解决哪些问题?

IAM Identity Center 消除了为每个亚马逊云科技账户分别进行权限联合身份验证和管理的复杂性。它允许您通过单一界面设置亚马逊云科技应用程序,并从一个位置分配对云应用程序的访问权限。

IAM Identity Center 还集成了 Amazon CloudTrail,为您提供一个中央位置,让您可以在此处审核对亚马逊云科技账户和支持 SAML 的云应用程序(例如 Microsoft 365、Salesforce 和 Box)的单点登录访问权限,从而帮助提高访问可见性。

问:我为什么应该使用 IAM Identity Center?

IAM Identity Center 是我们推荐的亚马逊云科技“前门”。它应该成为您管理员工用户访问权限的主要工具。它允许您管理自己首选身份源中的身份,而且只需连接它们一次,即可在亚马逊云科技平台中使用,还允许您定义精细的权限,并在各个账户中一致地应用这些权限。随着账户数量的增加,IAM Identity Center 允许您选择将其用作管理用户对所有云应用程序的访问权限的单一工具。

问:我可以使用 IAM Identity Center 做些什么?

借助 IAM Identity Center,您可以在亚马逊组织中快速轻松地为员工分配亚马逊云科技账户、企业云应用程序(例如 Salesforce、Microsoft 365 和 Box)以及支持安全断言标记语言(SAML)2.0 的自定义应用程序的访问权限。员工可以使用其现有公司凭证登录,或使用他们在 IAM Identity Center 中配置的凭证登录,以便从单个用户门户访问其业务应用程序。IAM Identity Center 还允许您使用 Amazon CloudTrail 审核用户的云服务访问权限。

问:谁应该使用 IAM Identity Center?

IAM Identity Center 适用于这样的管理员:管理着多个亚马逊云科技账户和业务应用程序,希望集中管理用户对这些云服务的访问权限,还希望为员工提供一个单一位置,让他们无需记住另外一个密码即可访问这些账户和应用程序。

问:如何开始使用 IAM Identity Center?

作为 IAM Identity Center 的新客户,您应按如下方式操作:

  1. 登录到您的亚马逊云科技账户,转到管理账户的亚马逊云科技管理控制台,然后导航到 IAM Identity Center 控制台。
  2. 在 IAM Identity Center 控制台中,选择用于存储用户和群组身份的目录。默认情况下,IAM Identity Center 会为您提供一个目录,可供您用来在 IAM Identity Center 中管理用户和群组。此外,IAM Identity Center 会自动在您的账户中发现托管 Microsoft AD 和 AD 连接器实例的列表,您可以单击此列表,从而更改目录以连接到 Microsoft AD 目录。如果您想连接到 Microsoft AD 目录,请参阅设置 Amazon Directory Service
  3. 如需授予用户对组织内亚马逊云科技账户的单点登录访问权限,请从 IAM Identity Center 填充的列表中选择亚马逊云科技账户,然后从您的目录中选择用户或群组以及您想授予他们的权限。
  4. 您可通过以下方式为用户提供对企业云应用程序的访问权限:
    a.从 IAM Identity Center 支持的预集成应用程序列表中选择一个应用程序。
    b.按照配置说明对应用程序进行配置。
    c.选择应该有权限访问此应用程序的用户或群组。
  5. 向用户提供您在配置目录时生成的 IAM Identity Center 登录网址,以便他们能登录 IAM Identity Center 并访问账户和业务应用程序。

问:IAM Identity Center 的费用是多少?

IAM Identity Center 不收取额外费用。

问:IAM Identity Center 在哪些区域可用?

IAM Identity Center 已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。

身份来源和应用程序支持

问:我可以在 IAM Identity Center 内使用哪些身份源?

通过 IAM Identity Center,您可以在 IAM Identity Center 的身份存储中创建和管理用户身份,也可以轻松连接到现有的身份源,其中包括 Microsoft Active Directory、Okta Universal Directory、Azure Active Directory(Azure AD)或其他受支持的 IdP*。如需了解更多信息,请参阅 IAM Identity Center 用户指南

问:我能否将多个身份源连接到 IAM Identity Center?

不可以。在任何给定时间,您只能将一个目录或一个 SAML 2.0 身份提供商连接到 IAM Identity Center。但您可以更改所连接的身份源,以连接到另外一个身份源。

问:我可以在 IAM Identity Center 内使用哪些 SAML 2.0 IdP?

您可以将 IAM Identity Center 连接到大多数 SAML 2.0 IdP,例如 Okta Universal Directory 或 Azure Active Directory*。如需了解更多信息,请参阅 IAM Identity Center 用户指南

问:如何将现有 IdP 中的身份预调配到 IAM Identity Center?

您必须将现有 IdP 中的身份预调配到 IAM Identity Center,然后才能分配权限。您可以使用跨域身份管理系统(SCIM)标准自动同步 Okta Universal Directory、Azure AD、OneLogin 和 PingFederate* 中的用户和群组信息。对于其他 IdP,您可以使用 IAM Identity Center 控制台从您的 IdP 预调配用户。如需了解更多信息,请参阅 IAM Identity Center 用户指南

问:我能否自动将身份同步到 IAM Identity Center?

可以。如果您使用 Okta Universal Directory、Azure AD、OneLogin 或 PingFederate*,则可以使用 SCIM 自动将用户和群组信息从 IdP 同步到 IAM Identity Center。如需了解更多信息,请参阅 IAM Identity Center 用户指南

问:如何将 IAM Identity Center 连接到我的 Microsoft Active Directory?

您可以使用 Amazon Directory Service 将 IAM Identity Center 连接到您的本地 Active Directory(AD),或者由亚马逊托管的 Microsoft AD 目录。如需了解更多信息,请参阅 IAM Identity Center 用户指南。

问:我在本地的 Active Directory 中管理用户和群组。如何在 IAM Identity Center 内利用这些用户和群组?

您可以通过两种方式将本地托管的 Active Directory 连接到 IAM Identity Center:(1)使用 AD Connector,或(2)使用由亚马逊托管的 Microsoft AD 信任关系。AD 连接器的作用就是将您现有的本地 Active Directory 连接到亚马逊云科技。AD Connector 是一个目录网关,您可以使用它将目录请求重定向到本地 Microsoft Active Directory,而不需要在云端缓存任何信息。要使用 AD Connector 连接本地目录,请参阅 Amazon Directory Service 管理指南。通过亚马逊托管的 Microsoft AD,您可轻松地在亚马云科技中设置和运行 Microsoft Active Directory。它可用来在您的本地目录和亚马逊托管的 Microsoft AD 之间建立林信任关系。若要建立信任关系,请参阅 Amazon Directory Service 管理指南

问:IAM Identity Center 是否支持浏览器命令行和移动界面?

支持,您可以使用 IAM Identity Center 来控制对亚马逊云科技管理控制台和 CLI v2 的访问权限。IAM Identity Center 让您的用户能通过单点登录体验访问 CLI 和亚马逊云科技管理控制台。 

问:我可以将哪些云应用程序连接到 IAM Identity Center?

您可以将以下应用程序连接到 IAM Identity Center:

  1. 集成了 IAM Identity Center 的应用程序:集成了 IAM Identity Center 的应用程序使用 IAM Identity Center 进行身份验证,并使用您的 IAM Identity Center 内的身份。您无需为将身份同步到这些应用程序中执行额外的配置,也不需要单独设置联合身份验证。
  2. 预集成的 SAML 应用程序:IAM Identity Center 预先集成了多种常用业务应用程序。如需查看完整列表,请参阅 IAM Identity Center 控制台。
  3. 自定义 SAML 应用程序:IAM Identity Center 支持允许使用 SAML 2.0 进行身份联合验证的应用程序。您可以使用自定义应用程序向导,启用 IAM Identity Center 对这些应用程序的支持。

通过单点登录方式访问亚马逊云科技账户

问:我可以将哪些亚马逊云科技账户连接到 IAM Identity Center?

您可以将使用亚马逊组织管理的任何亚马逊云科技账户添加到 IAM Identity Center。您需要在组织中启用所有功能,才能管理您账户的单点登录。

问:如何在组织内的组织单位(OU)中设置亚马逊云科技账户的单点登录?

您可以选择组织内的账户,或按 OU 筛选账户。

问:如何控制我的用户在使用 IAM Identity Center 访问账户时获得的权限?

在向用户授予访问权限时,您可以选择权限集,通过这种方式来限制用户的权限。权限集就是一个权限集合,您可以在 IAM Identity Center 中创建权限集,并基于亚马逊云科技工作职能托管策略或任何亚马逊云科技托管策略对其进行建模。亚马逊云科技工作职能托管策略旨在与 IT 行业的常见工作职能保持一致。如果需要,您还可以全面自定义权限集,以满足您的安全要求。IAM Identity Center 会自动将这些权限应用于选定账户。在您更改权限集时,IAM Identity Center 允许您轻松将更改应用于相关账户。在您的用户通过访问门户访问账户时,这些权限会限制他们在这些账户中可以执行的操作。您还可以向用户授予多个权限集。在他们通过用户门户访问账户时,他们可以选择要为该次会话设定的权限集。

问:如何自动管理多个账户的权限?

IAM Identity Center 提供 APIAmazon CloudFormation 支持,用于在多账户环境中实现权限管理自动化,并通过编程方式检索权限以进行审核和治理。

问:我该如何选择要用于 ABAC 的用户属性?

要实施 ABAC,您可以从 IAM Identity Center 的身份存储为 IAM Identity Center 用户以及同步自 Microsoft AD 或外部 SAML 2.0 IdP(包括 Okta Universal Directory、Azure AD、OneLogin 或 PingFederate*)的用户选择属性。使用 IdP 作为身份源时,您可以选择在 SAML 2.0 断言中发送这些属性。

问:我可以为哪些亚马逊云科技账户获取亚马逊云科技 CLI 凭证?

您可以为任何亚马逊云科技账户以及 IAM Identity Center 管理员分配给您的用户权限获得亚马逊云科技 CLI 凭证。这些 CLI 凭证可用于通过编程的方式访问亚马逊云科技账户。

问:访问门户提供的亚马逊云科技 CLI 凭证的有效期是多长?

通过 IAM Identity Center 获取的亚马逊云科技 CLI 凭证的有效期为 60 分钟。您可以按需随时获取一组全新的凭证。

通过单点登录方式访问业务应用程序

问:如何为业务应用程序(例如 Salesforce)设置 IAM Identity Center?

在 IAM Identity Center 控制台中,转到应用程序窗格,选择“配置新应用程序”,然后从与 IAM Identity Center 预集成的云应用程序列表中选择一个应用程序。按屏幕上的说明配置应用程序。这样即可完成您的应用程序的配置,随后您可为其分配访问权限。选择要向其提供应用程序访问权限的群组或用户,然后选择“分配访问权限”以完成此过程。

问:我公司使用的业务应用程序不在 IAM Identity Center 的预集成应用程序列表中。我还能使用 IAM Identity Center 吗?

可以。如果您的应用程序支持 SAML 2.0,则可以将您的应用程序配置为自定义 SAML 2.0 应用程序。在 IAM Identity Center 控制台中,导航到应用程序窗格,选择“配置新应用程序”,然后选择“自定义 SAML 2.0 应用程序”。按说明对应用程序进行配置。这样即可完成您的应用程序的配置,随后您可为其分配访问权限。选择要向其提供应用程序访问权限的群组或用户,然后选择“分配访问权限”以完成此过程。

问:我的应用程序仅支持 OpenID Connect(OIDC)。我可以将其与 IAM Identity Center 配合使用吗?

不能。IAM Identity Center 仅支持基于 SAML 2.0 的应用程序。

问:IAM Identity Center 是否支持单点登录到原生移动和桌面应用程序?

不支持。IAM Identity Center 仅支持通过 Web 浏览器单点登录到业务应用程序。

其他

问:IAM Identity Center 会代表我存储哪些数据?

IAM Identity Center 存储与这些方面相关的数据:哪些亚马逊云科技账户和云应用程序已分配给哪些用户和群组,以及已为访问亚马逊云科技账户授予了哪些权限。针对您授予用户访问权限的每个权限集,IAM Identity Center 还将在各亚马逊云科技账户中创建和管理 IAM 角色。

问:我可以在 IAM Identity Center 内使用哪些多重身份验证(MFA)功能?

借助 IAM Identity Center,您可以启用基于标准的强身份验证功能,来验证所有身份源中的所有用户。如果您使用受支持的 SAML 2.0 IdP 作为身份源,则可以启用身份提供者的多重身份验证功能。使用 IAM Identity Center 或 Active Directory 作为身份源时,IAM Identity Center 支持 Web 身份验证规范,在与支持 FIDO 的安全密钥(例如 YubiKey)和内置的生物识别身份验证器(例如 Apple MacBook 上的触控 ID 和 PC 上的面部识别)一起使用时,可帮助您保护用户对亚马逊云科技账户和业务应用程序的访问。您还可以使用 Twilio Authy* 等身份验证器应用程序启用一次性密码(TOTP)。

您也可以将现有的远程拨入用户认证服务(RADIUS)MFA 配置与 IAM Identity Center 和 Amazon Directory Service 配合使用,作为验证用户身份的辅助验证形式。如需了解有关使用 IAM Identity Center 配置 MFA 的更多信息,请访问 IAM Identity Center 用户指南

问:IAM Identity Center 是否支持 Web 身份验证规范?

支持。对于 IAM Identity Center 身份存储和 Active Directory 中的用户身份,IAM Identity Center 支持 Web 身份验证规范(WebAuthn),在与支持 FIDO 的安全密钥(例如 YubiKey)和内置的生物识别身份验证器(例如 Apple MacBook 上的触控 ID 和 PC 上的面部识别)一起使用时,可帮助您保护用户对亚马逊云科技账户和业务应用程序的访问。您还可以使用 Twilio Authy* 等身份验证器应用程序启用一次性密码(TOTP)。

问:我的员工该如何开始使用 IAM Identity Center?

员工只需进入访问门户(您在 IAM Identity Center 中配置身份源时生成的门户),即可开始使用 IAM Identity Center。如果您在 IAM Identity Center 中管理用户,您的员工可使用他们在 IAM Identity Center 中配置的电子邮件地址和密码登录该用户门户。如果您将 IAM Identity Center 连接到 Microsoft Active Directory 或 SAML 2.0 身份提供商,您的员工可以使用其现有的公司凭证登录用户门户,然后查看分配给他们的账户和应用程序。若要访问账户或应用程序,员工需要从访问门户中选择与之关联的图标。

问:是否有适用于 IAM Identity Center 的 API?

有。IAM Identity Center 提供账户分配 API,可帮您在多账户环境中实现权限管理自动化,并通过编程方式检索权限以进行审核和治理。

*此处提及的应用程序和身份提供者是第三方。它们的实例可能位于中国境外。  客户应直接向第三方提供者核实这些实例的位置,并且客户应确认任何跨境的数据传输是否遵守客户在适用法律下要履行的义务。  如果客户使用这些第三方提供的服务,则客户可能会因亚马逊云科技无法控制的原因(例如,如果第三方的服务器位于中国境外)遇到更高的延迟,在这种情况下,客户应直接与第三方提供者合作来解决延迟问题。

关闭
1010 0766
由光环新网运营的
北京区域
1010 0966
由西云数据运营的
宁夏区域
关闭
由光环新网运营的
北京区域
由西云数据运营的
宁夏区域