选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

自定义 Cookie 首选项

Cookie 及类似工具(统称为“Cookie”)的用途包括以下几种。

关键

关键 Cookie 对我们提供网站和服务来说绝对必要,不可将其禁用。关键 Cookie 通常是根据您在网站上的操作(例如,设置您的隐私首选项,登录或填写表格)来设置的。

性能

性能 Cookie 可为我们提供有关客户使用网站情况的匿名统计信息,以便我们改善用户的网站体验及网站性能。经批准的第三方可为我们执行分析,但不可将数据用于其自身目的。

允许

功能

功能 Cookie 有助于我们提供有用的网站功能,记住您的首选项及显示有针对性的内容。经批准的第三方可对功能 Cookie 进行设置以提供某些网站功能。如果您不允许功能 Cookie,则某些或所有这些服务可能无法正常提供。

允许

广告

广告 Cookie 可由我们或我们的广告合作伙伴通过我们的网站进行设置,有助于我们推送有针对性的营销内容。如果您不允许广告 Cookie,则您所接收到的广告的针对性将会有所降低。

允许

阻止某些类型的 Cookie 的话,可能会影响到您的网站体验。您可以随时单击此网站页脚中的 Cookie 首选项来对您的 Cookie 首选项进行更改。要了解有关我们及经批准的第三方如何在网站上使用 Cookie 的更多信息,请阅读 AWS Cookie 声明。

无法保存 Cookie 首选项

我们目前只会存储基本 Cookie,因为我们无法保存您的 Cookie 首选项。

如果您想要更改 Cookie 首选项,请稍后使用 AWS 控制台页脚中的链接重试,如果问题仍然存在,请联系技术支持。

跳至主要内容
单击此处以返回 Amazon Web Services 主页
关于 AWS 联系我们 支持  中文(简体)   我的账户  
登录
创建 AWS 账户
  • 产品
  • 解决方案
  • 定价
  • 文档
  • 了解
  • 合作伙伴网络
  • AWS Marketplace
  • 客户支持
  • 活动
  • 探索更多信息
关闭
  • عربي
  • Bahasa Indonesia
  • Deutsch
  • English
  • Español
  • Français
  • Italiano
  • Português
  • Tiếng Việt
  • Türkçe
  • Ρусский
  • ไทย
  • 日本語
  • 한국어
  • 中文 (简体)
  • 中文 (繁體)
关闭
  • 我的配置文件
  • 注销 AWS Builder ID
  • AWS 管理控制台
  • 账户设置
  • 账单与成本管理
  • 安全证书
  • AWS Personal Health Dashboard
关闭
  • 支持中心
  • 专家帮助
  • 知识中心
  • AWS Support 概述
  • AWS re:Post
单击此处以返回 Amazon Web Services 主页
免费试用
联系我们
  • 产品
  • 解决方案
  • 定价
  • AWS 简介
  • 入门
  • 文档
  • 培训和认证
  • 开发人员中心
  • 客户成功案例
  • 合作伙伴网络
  • AWS Marketplace
  • 支持
  • AWS re:Post
  • 登录控制台
  • 下载移动应用
AWS IAM Identity Center
概览 功能 常见问题 资源
  • AWS Identity and Access Management (IAM)›
  • IAM Identity Center›
  • 功能

AWS IAM Identity Center 功能

通过 AWS IAM Identity Center 可以轻松地集中管理对多个 AWS 账户和业务应用程序的访问。它可向您的工作人员提供从一个位置对所有指定帐户和应用程序进行单点登录的访问权限。利用 IAM Identity Center,您可以在 AWS Organizations 中轻松地管理对您的所有账户的集中访问和用户权限。IAM Identity Center 会自动配置和维护您账户中的所有必要权限,因此无需在单个账户中进行任何额外设置。您可以根据常见工作职责分配用户权限,并自定义这些权限以满足特定的安全要求。IAM Identity Center 还包括与 AWS 应用程序(例如 AWS 分析服务、Amazon SageMaker Studio、AWS Systems Manager Change Manager)和许多业务应用程序(如 Salesforce、Box 和 Microsoft 365)的内置集成。

您可以在 IAM Identity Center 的身份存储中创建和管理用户身份,或轻松连接至您现有的身份源,包括 Microsoft Active Directory、Okta、Ping Identity、JumpCloud 和 Microsoft Entra ID(以前称为 Azure AD)。IAM Identity Center 允许您从身份源选择用户属性,例如成本中心、职位或区域,然后利用它们在 AWS 中进行基于属性的访问控制(ABAC)。

IAM Identity Center 非常容易上手。只需在 IAM Identity Center 管理控制台中单击几次,就可以连接到现有的身份源。从这里,您可以配置权限以授权用户访问其在 AWS Organizations 中的指定账户以及数百种预配置的云应用程序,全都从单个用户端口进行。

Page Topics

集中身份管理 精细权限和分配 管理和治理功能
集中身份管理

集中身份管理

在 IAM Identity Center 中创建和管理用户

默认情况下 IAM Identity Center 可为您提供身份源,供您用来创建用户并在 IAM Identity Center 内对其进行分组。您可以通过配置用户电子邮件地址和名称在 IAM Identity Center 中创建用户。创建用户时,默认情况下 IAM Identity Center 会向用户发送电子邮件,以便用户可以设置自己的密码。在数分钟内,您即可向用户和组授予所有 AWS 账户以及许多业务应用程序中 AWS 资源的访问权限。您的用户使用在 IAM Identity Center 中配置的凭证登录用户门户,以在一个位置即可访问其分配的所有账户和应用程序。

从基于标准的身份提供程序连接和自动预置用户

您可以通过安全断言标记语言(SAML)2.0 将 IAM Identity Center 连接到 Okta Universal Directory、Microsoft Entra ID 或其他受支持的身份提供者(IdP),以便您的用户可以使用其现有凭证登录。此外,IAM Identity Center 还支持跨域身份管理系统(SCIM)对用户预置进行自动化。您可以在 IdP 中管理用户,让他们快速进入 AWS 中,并集中管理他们对所有 AWS 账户和业务应用程序的访问权。IAM Identity Center 还允许您从自己的 Okta Universal Directory 选择多种用户属性,例如成本中心、职位或区域,然后将它们用于 ABAC 以简化和集中处理访问管理工作。

连接 Microsoft Active Directory

借助 IAM Identity Center,您可以使用 Microsoft Active Directory 域服务(AD DS)中的现有企业身份管理对账户和应用程序的单点登录访问权限。IAM Identity Center 可通过 AWS Directory Service 与 AD DS 连接,而且只需将用户添加到相应的 AD 组即可授予用户对账户和应用程序的访问权限。例如,您可以为使用某个应用程序的一组开发人员创建组,并授予该组对该应用程序的 AWS 账户的访问权限。新开发人员加入该团队时,如果您将他们添加到 AD 组,他们将被自动授予对该应用程序内所有 AWS 账户的访问权限。IAM Identity Center 还允许您从自己的 AD 选择多种用户属性,例如成本中心、职位或区域,然后将它们用于 ABAC 以简化和集中处理访问管理工作。

多重验证

IAM Identity Center 允许您对自己的所有用户实施 MFA,包括对用户在登录期间设置 MFA 设备的要求。通过 IAM Identity Center,您可以跨所有身份源对您的所有用户使用基于标准的强身份验证功能。如果您使用可支持的 SAML 2.0 IdP 作为自己的身份源,您可以启用提供商的多重身份验证(MFA)功能。使用 Active Directory 或 IAM Identity Center 作为身份源时,IAM Identity Center 支持 Web 身份验证规范以帮助您使用已启用 FIDO 的安全密钥(如 YubiKey)以及内置生物特征身份验证器(如 Apple MacBooks 上的 Touch ID 和 PC 上的面部识别)来保护用户对 AWS 账户和业务应用程序的访问。您还可以使用身份验证器应用程序(如 Google Authenticator 或 Twilio Authy)启用基于时间的一次性密码(TOTP)。

精细权限和分配

多账户权限

IAM Identity Center 在 AWS Identity and Access Management (IAM) 角色和策略基础上构建,用于帮助您在 AWS 组织中的所有 AWS 账户之间集中管理访问权限。IAM Identity Center 使用权限集,它是一种或多种 IAM 策略的集合。然后,您可以分配权限集以定义用户/组的访问权限。根据这些分配方案,服务创建由 IAM Identity Center 控制的 IAM 角色,并将在权限集中指定的策略附加到每个指定账户内的这些角色。无需在单个账户中进行额外的配置。 

临时提升访问权限选项

IAM Identity Center 通过一系列合作伙伴集成选项提供临时提升访问权限。AWS 已证实,您可以使用 CyberArk Secure Cloud Access、Tenable Cloud Security 和 Okta Access Requests 来帮助处理一系列临时提升访问权限场景,包括需要完全可审计性的敏感操作、具有复杂授权和审计需求的多云环境,以及使用多个身份源和应用程序集成的组织。没有执行敏感操作(例如在生产环境中更改高价值资源的配置)的长期权限的员工用户可以申请访问权限、获得批准并在指定时间内执行操作。而且,您的审计员可以查看合作伙伴解决方案中的操作和批准日志。

应用程序分配

在 IAM Identity Center 控制台内,通过应用程序分配来提供对多种 SAML 2.0 业务应用程序的单点登录访问权限,包括 Salesforce、Box 和 Microsoft 365。您可以按 IAM Identity Center 内的分步说明轻松配置对这些应用程序的单点登录访问权限。它将指导您完成输入必要 URL、证书和元数据的过程。有关预先集成 IAM Identity Center 的业务应用程序的完整列表,请参阅 IAM Identity Center 云应用程序。

可信身份传播

可信身份传播建立在 OAuth 2.0 授权框架之上,该框架允许应用程序代表特定用户访问数据和其他资源,而无需共享该用户的凭证。IAM Identity Center 的这一功能简化了用户的数据访问管理、审计,并改善了分析用户在多个 AWS 分析应用程序中的登录体验。首先,应用程序的所有者、身份源和数据管理员将应用程序连接到服务,并开始管理基于用户和群组的访问权限。然后,资源管理员可以使用其身份源中的现有身份和群组成员资格,配置和管理应用程序内的数据资源访问权限。审计和安全团队可以跟踪每个用户对数据资源的访问权限。数据分析师可以利用熟悉的单点登录经验,在 AWS 分析服务(Amazon Redshift、Amazon Quicksight、Amazon S3、Amazon EMR 和 AWS LakeFormation)上无缝访问分配的数据。了解有关可信身份传播的更多信息。 

基于属性的访问控制

IAM Identity Center 让您能够根据 IAM Identity Center 身份存储中定义的用户属性轻松地创建和使用精细的工作人员权限。IAM Identity Center 允许您选择多种属性,例如成本中心、职位或区域,然后将它们用于基于属性的访问控制 (ABAC) 以简化和集中处理访问管理工作。您可以一次性为整个 AWS 组织定义权限,然后您只需更改身份源中的属性即可授予、撤消或修改 AWS 访问权限。

了解与 ABAC 有关的更多信息 »

管理和治理功能

来自成员账户的委派管理

IAM Identity Center 支持从 AWS Organizations 委派管理员账户对您企业中的所有成员账户进行集中管理和 API 访问。这意味着您可以在您的组织中指定一个账户,用于集中管理所有成员账户。通过委派管理,您可以减少使用管理账户的需要,从而遵循推荐的实践。

支持安全标准和合规性认证

IAM Identity Center 支持多种安全标准和合规性要求,包括对支付卡行业 - 数据安全标准 (PCI DSS)、国际标准化组织 (ISO)、系统和组织控制 (SOC) 1、2 和 3、Esquema Nacional de Seguridad (ENS) High、金融市场监管局 (FINMA) 鉴证业务 (ISAE) 3000 第 2 类报告国际准则要求和多层云安全 (MTCS) 的支持。该服务仍接受信息安全注册评估师计划(IRAP)受保护级别评测。

部署的灵活性

IAM Identity Center 可以作为组织实例或账户实例进行部署。IAM Identity Center 的组织实例部署在 AWS Organizations 的管理账户中。这是对员工进行身份验证和授权的最佳做法和推荐方法。它是多账户生产环境中 AWS 账户和应用程序的单一中央访问控制点。IAM Identity Center 的账户实例是一种限定范围的部署,可由业务用户完成,目的是快速评估受支持的 AWS 应用程序(例如 Amazon Redshift)并将其提供给一小部分应用程序用户。组织实例的管理员可以通过服务控制策略(SCP,AWS Organizations 的一项功能)来控制企业用户创建账户实例的能力。

支持 SAML 的应用程序配置向导

使用 IAM Identity Center 应用程序分配配置向导,您可以创建与支持 SAML 2.0 的应用程序的单点登录集成。该应用程序分配配置向导可以帮助您选择并格式化要发送到应用程序的信息,以启用单点登录访问。例如,您可以为用户名创建 SAML 属性并根据 AD 配置文件中的用户电子邮件地址指定该属性的格式。

跨应用程序和 AWS 账户审计访问事件

所有管理和多账户访问活动均记录在 AWS CloudTrail 中,使您可以集中审核 IAM Identity Center 活动。通过 CloudTrail,您可以查看登录尝试、应用程序分配和目录集成更改等活动。例如,您可以查看用户在给定时期内访问的应用程序,或者用户被授予对特定应用程序的访问权限的具体时间。

后续步骤

Getting Started

了解如何开始使用 IAM

查看“入门”页面
Console

准备好开始构建?

开始使用 IAM

还有更多问题?

联系我们
登录控制台

了解有关 AWS 的信息

  • 什么是 AWS?
  • 什么是云计算?
  • AWS 包容性、多样性和公平性
  • 什么是 DevOps?
  • 什么是容器?
  • 什么是数据湖?
  • AWS 云安全性
  • 最新资讯
  • 博客
  • 新闻稿

AWS 资源

  • 入门
  • 培训和认证
  • AWS 解决方案库
  • 架构中心
  • 产品和技术常见问题
  • 分析报告
  • AWS 合作伙伴

AWS 上的开发人员

  • 开发人员中心
  • 软件开发工具包与工具
  • 运行于 AWS 上的 .NET
  • 运行于 AWS 上的 Python
  • 运行于 AWS 上的 Java
  • 运行于 AWS 上的 PHP
  • 运行于 AWS 上的 JavaScript

帮助

  • 联系我们
  • 获取专家帮助
  • 提交支持工单
  • AWS re:Post
  • Knowledge Center
  • AWS Support 概览
  • 法律人员
  • 亚马逊云科技诚聘英才
创建账户
Amazon 是一个倡导机会均等的雇主: 反对少数族裔、妇女、残疾人士、退伍军人、性别认同和性取向歧视。
  • 语言
  • عربي
  • Bahasa Indonesia
  • Deutsch
  • English
  • Español
  • Français
  • Italiano
  • Português
  • Tiếng Việt
  • Türkçe
  • Ρусский
  • ไทย
  • 日本語
  • 한국어
  • 中文 (简体)
  • 中文 (繁體)
  • 隐私
  • |
  • 网站条款
  • |
  • Cookie 首选项
  • |
  • © 2023, Amazon Web Services, Inc. 或其联属公司。保留所有权利。

终止对 Internet Explorer 的支持

知道了
AWS 对 Internet Explorer 的支持将于 07/31/2022 结束。受支持的浏览器包括 Chrome、Firefox、Edge 和 Safari。 了解详情 »
知道了