发布于: Nov 25, 2019
今天早些时候,Amazon Identity and Access Management (IAM) 已经允许您使用员工现有的身份属性(如目录中的成本中心和部门),在 亚马逊云科技中创建精细权限。您的管理员可以在 亚马逊云科技中使用这些员工属性,对 亚马逊云科技资源实施基于属性的访问控制,并在由光环新网运营的 亚马逊云科技中国(北京)区域和由西云数据运营的 亚马逊云科技中国(宁夏)区域中大规模简化权限管理。
通过联合身份是授予员工访问 亚马逊云科技资源的权限的一种方法。您可以使用符合标准的身份提供商 (IdP),管理对存储在企业目录中的员工身份的联合访问。客户告诉我们,他们想要利用其目录中的身份属性来简化管理和最终用户管理联合用户访问的体验。通过此次发布,当员工联合进入 亚马逊云科技时,您的管理员现在可以配置您的 IdP,从而在 亚马逊云科技会话中发送员工属性。在 亚马逊云科技中将这些属性作为标记使用,您可以简化精细权限的创建,这样员工只能访问带有匹配标记的 亚马逊云科技资源。这样有助于减少在 亚马逊云科技账户中创建和管理所需的不同权限的数量。例如,当红队的开发人员 Bob 和蓝队的开发人员 Sally 联合进入 亚马逊云科技并担任相同的 IAM 角色时,他们只能获得为各自团队标记的项目资源。这是因为当 Bob 和 Sally 联合进入 亚马逊云科技时,IdP 在 亚马逊云科技会话中发送团队名称属性,并且此角色的权限允许访问带有匹配团队名称标记的项目资源。现在,如果 Bob 调到蓝队,并且您在目录中更新其团队名称,Bob 便可自动获取对蓝队项目资源的访问权限,而不需要在 IAM 中更新权限。
亚马逊云科技身份合作伙伴 Ping Identity、OneLogin、Auth0、Forgerock、IBM 和 RSA 通过其身份解决方案验证了这项新功能的端到端体验,我们期待更多的合作伙伴验证此功能。请联系符合标准的身份提供商寻求指导。若要了解有关如何将企业身份关联到 亚马逊云科技中的权限规则,请访问身份提供商和联合。