Perguntas frequentes sobre o Centro de Identidade do AWS IAM

Page Topics

Suporte a origens de identidade e a aplicações
9
Acesso de logon único para contas da AWS
10
Acesso por logon único a aplicações empresariais
4
Diversos
5

Suporte a origens de identidade e a aplicações

Depois de ativar o Centro de Identidade do IAM, todos os perfis ou usuários existentes do IAM que você tenha continuarão funcionando como estão. Isso significa que você pode migrar para o Centro de Identidade do IAM em uma abordagem em fases sem interromper o acesso existente à AWS.

O Centro de Identidade do IAM provisiona novas funções para uso em suas contas da AWS. Você pode anexar as mesmas políticas que usa com seus perfis atuais do IAM aos novos perfis usados com o Centro de Identidade do IAM.

O Centro de Identidade do IAM não cria usuários e grupos do IAM. Ele tem seu próprio armazenamento de identidade criado especificamente para armazenar as informações do usuário. Ao usar um provedor de identidade externo, o Centro de Identidade mantém uma cópia sincronizada dos atributos do usuário e da associação ao grupo, mas nenhum material de autenticação, como senhas ou dispositivos de MFA. Seu provedor de identidade externo continua sendo a fonte confiável das informações e atributos do usuário.

Sim. Se você usar o Diretório universal da Okta, o Microsoft Entra ID (anteriormente Azure AD), o OneLogin ou o PingFederate, poderá usar o SCIM para sincronizar automaticamente as informações de usuário e grupo de seu IdP para o Centro de identidade do IAM. Consulte o Guia do usuário do Centro de Identidade do IAM para saber mais.

É possível conectar o IAM Identity Center ao seu Active Directory (AD) on-premises ou a um diretório do AWS Managed Microsoft AD usando o AWS Directory Service. Consulte o Guia do usuário do Centro de Identidade do IAM para saber mais.

Você tem duas opções para conectar o Active Directory hospedado on-premises ao IAM Identity Center: (1) usar o AD Connector ou (2) usar a relação de confiança do AWS Managed Microsoft AD. O AD Connector simplesmente conecta o Active Directory no local à AWS. O AD Connector é um gateway de diretório com o qual é possível redirecionar solicitações para o Microsoft Active Directory no local sem armazenar em cache quaisquer informações na nuvem. Para conectar diretórios on-premises usando o AD Connector, consulte o Guia de administração do AWS Directory Service. O AWS Managed Microsoft AD facilita a configuração e a execução do Microsoft Active Directory na AWS. Ele pode ser usado para configurar uma relação de confiança de floresta entre seu diretório on-premises e o AWS Managed Microsoft AD. Para configurar uma relação de confiança, consulte o Guia de administração do AWS Directory Service.

O Amazon Cognito é um serviço que ajuda você a gerenciar identidades para aplicações direcionadas a clientes; não é uma origem de identidade compatível com o Centro de Identidade do IAM. Você pode criar e gerenciar identidades da sua força de trabalho no Centro de identidade do IAM ou na sua origem de identidade externa, incluindo o Microsoft Active Directory, o Diretório universal da Okta, o Microsoft Entra ID (anteriormente Azure AD) ou outro IdP compatível.

Sim, é possível usar o IAM Identity Center para controlar o acesso ao Console de gerenciamento da AWS e à CLI v2. O IAM Identity Center permite que seus usuários acessem a CLI e o Console de gerenciamento da AWS por meio de logon único. O aplicativo AWS Mobile Console também oferece suporte ao IAM Identity Center, para que você tenha uma experiência consistente de login nas interfaces de navegador, dispositivos móveis e linha de comando.

É possível conectar as seguintes aplicações ao IAM Identity Center:

Aplicações integradas ao Centro de Identidade do IAM: aplicações integradas ao Centro de Identidade do IAM, como o SageMaker Studio e o IoT SiteWise, usam o Centro de Identidade do IAM para autenticação e trabalho com as identidades que você tiver no Centro de Identidade do IAM. Não é necessária qualquer configuração adicional para sincronizar identidades com essas aplicações ou para configurar federações a elas separadamente.

Aplicações SAML pré-integradas: o IAM Identity Center é fornecido pre-integrado com as aplicações empresariais mais usadas. Para uma lista abrangente, consulte o console do IAM Identity Center.

Aplicações SAML personalizados: o IAM Identity Center oferece suporte a aplicações que aceitam a federação de identidades com o SAML 2.0. É possível habilitar o IAM Identity Center para oferecer suporte a essas aplicações usando o assistente personalizado das aplicações.

Acesso de logon único para contas da AWS

Adicione qualquer conta da AWS gerenciada usando o AWS Organizations para o Centro de Identidade do IAM. Você precisa permitir que todos os atributos em suas organizações gerenciem o logon único de suas contas.

Escolha as contas dentro da organização ou filtre as contas por UO.

A propagação de identidade confiável é baseada na Framework de Autorização OAuth 2.0, que permite que as aplicações acessem dados e outros recursos em nome de um usuário específico, sem compartilhar as credenciais desse usuário. Esse atributo do Centro de Identidade do IAM simplifica o gerenciamento de acesso a dados para usuários, a auditoria e melhora a experiência de login para usuários de análise em várias aplicações de análise da AWS.

Os administradores de recursos e bancos de dados podem definir o acesso aos seus ativos em um nível granular de associação de usuários e grupos. Os auditores podem analisar as ações dos usuários em aplicações interconectadas de business intelligence e análise de dados. Os usuários de aplicações de business intelligence podem se autenticar uma vez para acessar as fontes de dados da AWS. A propagação de identidade confiável ajuda os clientes a atender aos requisitos de acesso aos dados com privilégios mínimos em fluxos de trabalho de análise que abrangem várias aplicações e serviços da AWS, como Amazon Redshift, Amazon S3, Amazon Quicksight, Amazon Athena e AWS LakeFormation. 

O principal uso da propagação de identidade confiável é permitir que aplicações de business intelligence (BI) consultem os serviços de análise da AWS, como o Amazon Redshift ou o Amazon Quicksight, para obter os dados exigidos pelos usuários corporativos com um único login por meio do provedor de identidade existente do cliente, mantendo o conhecimento da identidade do usuário. O recurso oferece suporte a diferentes tipos de aplicações de BI comumente usadas e usa mecanismos diferentes para propagar a identidade do usuário entre os serviços.

Ao conceder acesso aos seus usuários, é possível limitar as permissões dos usuários escolhendo um conjunto de permissões. Os conjuntos de permissão são uma coleção de permissões que você pode criar no IAM Identity Center, modelando-as com base nas políticas gerenciadas pela AWS para funções de trabalho ou quaisquer políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS para funções de trabalho foram desenvolvidas para ficarem alinhadas da forma mais próxima possível às funções de trabalho no setor de TI. Se for necessário, também será possível personalizar totalmente o conjunto de permissões a fim de atender aos seus requisitos de segurança. O IAM Identity Center aplica automaticamente essas permissões às contas selecionadas. À medida que você altera os conjuntos de permissão, o IAM Identity Center permite que você aplique as alterações às contas relevantes. Quando seus usuários acessam as contas por meio do portal de acesso da AWS, essas permissões restringem o que eles podem fazer nessas contas. Também é possível conceder vários conjuntos de permissão aos seus usuários. Ao acessarem a conta por meio do portal do usuário, eles podem escolher qual conjunto de permissões desejam aceitar para essa sessão.

O Centro de Identidade do IAM fornece suporte a APIs e ao AWS CloudFormation para automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada, para fins de auditoria e governança.

Para implementar o ABAC, você pode selecionar os atributos no armazenamento de identidades do Centro de identidade do IAM para os usuários do Centro de identidade do IAM e usuários sincronizados do Microsoft AD ou IdPs externos do SAML 2.0, inclusive Diretório universal da Okta, Microsoft Entra ID (anteriormente Azure AD), OneLogin ou PingFederate. Ao usar um IdP como sua fonte de identidade, é possível enviar opcionalmente os atributos como parte de uma declaração do SAML 2.0.

Você pode obter credenciais da AWS CLI para quaisquer contas e permissões de usuário da AWS atribuídas a você pelo administrador do Centro de Identidade do IAM. Essas credenciais da ILC podem ser usadas para acesso programático à conta da AWS.

As credenciais da AWS CLI obtidas pelo portal de usuários do Centro de Identidade do IAM são válidas por 60 minutos. Você pode obter um novo conjunto de credenciais quantas vezes quiser.

Acesso por logon único a aplicações empresariais

No console do IAM Identity Center, navegue até o painel de aplicações, escolha Configurar nova aplicação e escolha uma aplicação na lista de aplicações de nuvem pré-integradas ao IAM Identity Center. Siga as instruções na tela para configurar a aplicação. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais deseja fornecer acesso ao aplicativo e Escolher Atribuir Acesso para completar o processo.

Sim. Se a aplicação for compatível com SAML 2.0, você poderá configurá-la como uma aplicação SAML 2.0 personalizado. No console do IAM Identity Center, navegue até o painel de aplicações, escolha Configurar nova aplicação e escolha a aplicação SAML 2.0 Personalizada. Siga as instruções para configurar a aplicação. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais você quer fornecer acesso ao aplicativo, e escolha Atribuir Acesso para completar o processo.

Não. O Centro de Identidade do IAM só é compatível com aplicações com base em SAML 2.0.

Não. O IAM Identity Center é compatível ao logon único para aplicativos empresariais exclusivamente por meio de navegadores da web.

Diversos

O IAM Identity Center armazenará dados sobre quais contas e aplicações de nuvem da AWS foram atribuídos a quais usuários e grupos e, também, quais permissões foram concedidas para acesso às contas da AWS. O IAM Identity Center também criará e gerenciará funções do IAM em contas individuais da AWS para cada conjunto de permissões para o qual você concede acesso aos seus usuários.

Com o IAM Identity Center, é possível habilitar recursos de autenticação forte baseada em padrões para todos os usuários em todas as fontes de identidade. Se você usar um IdP SAML 2.0 compatível como sua fonte de identidade, poderá habilitar os recursos de autenticação multifator do seu provedor. Ao usar o IAM Identity Center ou o Active Directory como sua fonte de identidade, o IAM Identity Center suporta a especificação Web Authentication para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações corporativas com as chaves de segurança habilitadas para FIDO, como YubiKey, e autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar TOTPs (senhas exclusivas) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy.

Também pode usar sua configuração MFA RADIUS (Remote Authentication Dial-In User Service) existente com IAM Identity Center e AWS Directory Services para autenticar seus usuários como uma forma secundária de verificação. Para saber mais sobre como configurar o MFA com o Centro de Identidade do IAM, visite o Guia do usuário do Centro de Identidade do IAM.

Sim. Para as identidades no armazenamento de identidades do IAM Identity Center e no Active Directory, o IAM Identity Center é compatível com a especificação Web Authentication (WebAuthn) para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações corporativas com as chaves de segurança habilitadas para FIDO, como YubiKey, e autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar TOTPs (senhas exclusivas) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy.

Os funcionários podem começar a usar o IAM Identity Center acessando o portal de usuário do IAM Identity Center gerado quando você configura a identidade da sua origem no IAM Identity Center. Se você gerenciar usuários no IAM Identity Center, seus funcionários poderão usar seus endereços de e-mail e senhas configurados no IAM Identity Center para entrar no portal do usuário. Se você conectar o Centro de Identidade do IAM a um Microsoft Active Directory ou a um provedor de identidade SAML 2.0, seus funcionários poderão acessar o portal do usuário com suas credenciais corporativas existentes e, em seguida, ver as contas e aplicações atribuídas a eles. Para acessar uma conta ou aplicação, os funcionários devem escolher o ícone associado no portal de acesso.

Sim. O Centro de Identidade do IAM fornece APIs de atribuição de conta para ajudá-lo a automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada para fins de auditoria e governança.