入门概念 | AWS IAM Identity Center 是什么?
基本概念
AWS IAM Identity Center 过去称为AWS Single Sign-On(AWS SSO),是一项由 AWS 提供的托管身份验证服务,旨在帮助组织集中管理对多个AWS账户和SaaS应用程序的用户身份验证和授权。可以连接现有身份提供者,同步目录中的用户和组,或者直接在 IAM Identity Center 中创建和管理用户。
主要功能
通过 AWS IAM Identity Center 可以轻松地集中管理对多个 AWS 账户和业务应用程序的访问。主要功能如下所示。
1. 单点登录(SSO)
AWS IAM Identity Center允许用户通过一次性身份验证登录多个AWS账户和应用程序,提升用户体验的同时,简化了访问管理。
2. 集中身份管理
提供一个集中的身份存储库,用于创建和管理用户身份,或者连接至现有的身份源,如Microsoft Active Directory、Okta、Ping Identity等,实现用户和组的同步。
支持从身份源中选择用户属性(如成本中心、职位或区域),用于在AWS中进行基于属性的访问控制(ABAC)。
3. 多账户权限管理
允许组织根据常见的工作职责分配用户权限,并自定义这些权限以满足特定的安全要求。提供集中向多个 AWS 账户中的用户组分配权限的平台,减少管理多个账户所需的工作量。
工作原理
AWS IAM Identity Center通过身份验证、权限管理和访问控制等机制,实现了对多个 AWS账户和 SaaS 应用程序的集中管理。这不仅简化了访问流程,还提高了用户体验和安全性。管理员可以使用 IAM Identity Center 来创建和管理用户身份、权限集和访问控制策略,以满足组织的业务需求和安全要求。
