選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

自訂 Cookie 偏好設定

我們會將 Cookie 和類似工具 (統稱為 "Cookie") 用於以下目的。

必要

必要 Cookie 對於我們所提供的網站和服務而是必要的,而且無法停用。它們的設定通常是對您在網站上的動作的回應,例如,設定您的隱私偏好、登入或填寫表單。

效能

效能 Cookie 提供有關客戶如何瀏覽我們網站的匿名統計資料,以便我們改善網站體驗和效能。獲核准的第三方可代表我們執行分析,但他們無法將資料用於自己的用途。

已允許

功能

功能 Cookie 可協助我們提供實用的網站功能、記住您的偏好設定,以及顯示相關內容,獲核准的第三方可能會設定這些 Cookie 以提供特定網站功能。若您不允許這些 Cookie,則部分或全部服務可能無法正常運作。

已允許

廣告

我們或我們的廣告合作夥伴可以透過網站對廣告 Cookie 進行設定,協助我們提供相關的行銷內容。若您不允許這些 Cookie,您將看到相關程度較低的廣告。

已允許

封鎖部分類型的 Cookie 可能會影響您在使用我們的網站時的體驗。您可以隨時在本網站頁尾按一下「Cookie 偏好設定」來變更您的 Cookie 偏好設定。若要進一步了解我們和獲核准的第三方如何在我們的網站上使用 Cookie,請閱讀我們的 AWS Cookie 通知。

無法儲存 Cookie 偏好設定

我們目前只會儲存基本 Cookie,因為我們無法儲存您的 Cookie 偏好設定。

如果您想要變更 Cookie 偏好設定,請稍後使用 AWS 主控台頁尾中的連結重試,如果問題仍存在,請聯絡支援部門。

跳至主要內容
按一下這裡可返回 Amazon Web Services 首頁
關於 AWS 聯絡我們 支援  中文(繁體)   我的帳戶  
登入
建立 AWS 帳戶
  • 產品
  • 解決方案
  • 定價
  • 文件
  • 了解
  • 合作夥伴網路
  • AWS Marketplace
  • 客戶支援
  • 事件
  • 探索更多
關閉
  • عربي
  • Bahasa Indonesia
  • Deutsch
  • English
  • Español
  • Français
  • Italiano
  • Português
  • Tiếng Việt
  • Türkçe
  • Ρусский
  • ไทย
  • 日本語
  • 한국어
  • 中文 (简体)
  • 中文 (繁體)
關閉
  • 我的設定檔
  • 登出 AWS Builder ID
  • AWS 管理主控台
  • 帳戶設定
  • 帳單與成本管理
  • 安全登入資料
  • AWS Personal Health Dashboard
關閉
  • 支援中心
  • 專家協助
  • 知識中心
  • AWS Support 概觀
  • AWS re:Post
按一下這裡可返回 Amazon Web Services 首頁
免費使用
聯絡我們
  • 產品
  • 解決方案
  • 定價
  • AWS 簡介
  • 入門
  • 文件
  • 培訓與認證
  • 開發人員中心
  • 客戶成功案例
  • 合作夥伴網路
  • AWS Marketplace
  • 支援
  • AWS re:Post
  • 登入主控台
  • 下載行動應用程式
AWS IAM Identity Center
概觀 功能 常見問答集
  • AWS Identity and Access Management(IAM)›
  • IAM Identity Center›
  • 功能

AWS IAM Identity Center 功能

AWS IAM Identity Center 可輕鬆集中管理對多個 AWS 帳戶和商業應用程式的存取。它為您的人力提供從一處對所有指派帳戶和應用程式的單一登入存取。藉助 IAM Identity Center,您可以輕鬆管理對 AWS Organizations 中所有帳戶的集中存取和使用者許可。IAM Identity Center 會自動集中設定及維護您帳戶需要的所有許可,不必另外進入個別帳戶設定。您可以根據一般工作職責指派使用者許可,並自訂這些許可以滿足特定安全需求。IAM Identity Center 還包括與 AWS 應用程式 (如 Amazon SageMaker Studio、Amazon SageMaker Studio、AWS Systems Manager Change Manager) 以及許多商業應用程式 (如 Salesforce、Box 和 Microsoft 365) 的內建整合。

您可以在 IAM Identity Center 的身分存放區中建立和管理使用者身分,或輕鬆連線至現有身分來源,包括 Microsoft Active Directory、Okta、Ping Identity、JumpCloud 和 Microsoft Entra ID (原 Azure AD)。IAM Identity Center 可讓您從身分來源中選擇使用者屬性,例如成本中心、職稱或地區設定,然後使用這些屬性實作 AWS 中基於屬性的存取控制 (ABAC)。

使用 IAM Identity Center 輕鬆開始使用。只需在 IAM Identity Center 管理主控台中點按幾下,即可連線至現有身分來源。您可以在主控台設定許可,授予您的使用者存取其在 AWS Organizations 中指派帳戶和數百個預先設定的雲端應用程式的權限,所有這一切均在單一使用者入口網站實現。

Page Topics

集中式身分管理 精細的許可和指派 管理和治理功能
集中式身分管理

集中式身分管理

在 IAM Identity Center 建立並管理使用者

IAM Identity Center 預設為您提供一個身分存放區,您可以用於在 IAM Identity Center 內建立使用者並將其整理到群組。您可以透過設定電子郵件地址和名稱,在 IAM Identity Center 中建立使用者。建立使用者時,依預設,IAM Identity Center 會傳送電子郵件給使用者,以便使用者可以設定其自己的密碼。您可以在短短幾分鐘內,授與使用者和群組使用所有 AWS 帳戶中的 AWS 資源和眾多商業應用程式的許可。使用者可透過在 IAM Identity Center 中設定的憑證登入使用者入口網站,在單一位置存取所有指派給他們的帳戶和應用程式。

連接以標準為基礎的身分供應商並自動佈建使用者

您可以透過安全聲明標記語言 (SAML) 2.0 將 IAM Identity Center 與 Okta Universal Directory、Microsoft Entra ID 或其他支援的身分提供者 (IdP) 連線,讓您的使用者可使用其現有憑證登入。並且,IAM Identity Center 還支援跨域身份管理系統 (SCIM),可實現使用者自動佈建。您可以在 IdP 中管理使用者,則可以將他們快速加入到 AWS,並集中管理他們對所有 AWS 帳戶和商業應用程式的存取。IAM Identity Center 還可讓您從 Okta Universal Directory 選擇多個使用者屬性 (例如成本中心、職稱或地區設定),然後使用這些屬性實施 ABAC,以簡化和集中管理存取權限。

與 Microsoft Active Directory 連接

使用 IAM Identity Center,您便可管理使用現有 Microsoft Active Directory 網域服務 (AD DS) 公司身份之帳戶和應用程式的單一登入存取。IAM Identity Center 透過 AWS Directory Service 與 AD DS 連接,只要將使用者新增至適當的 AD 群組,便可將帳戶和應用程式的存取權限授與使用者。例如,您可以為使用某應用程式的一組開發人員建立一個群組,然後將此群組存取授與該應用程式的 AWS 帳戶。當新的開發人員加入小組時,您只要將其新增至 AD 群組,他們便會自動獲授與該應用程式的所有 AWS 帳戶存取權。IAM Identity Center 還可讓您從 AD 選擇多個使用者屬性 (例如成本中心、職稱或地區設定),然後使用這些屬性實施 ABAC,以簡化和集中管理存取權限。

多重要素驗證

IAM Identity Center 可讓您為所有使用者強制執行 MFA,包括要求使用者在登入期間設定 MFA 裝置。藉助 IAM Identity Center,您可以為所有身分來源中的全部使用者使用基於標準的強身分驗證功能。如果使用支援的 SAML 2.0 IdP 作為身分來源,則可啟用供應商的多重要素驗證 (MFA)。使用 Active Directory 或 IAM Identity Center 作為身分來源時,IAM Identity Center 支援 Web 身分驗證規格,以協助您使用已啟用 FIDO 的安全金鑰 (例如 YubiKey) 和內建生物身分驗證器 (例如 Apple MacBook 上的 Touch ID 和 PC 上的面部識別) 來保護使用者對 AWS 帳戶和商業應用程式的存取。還可以使用身分驗證器應用程式 (如 Google Authenticator 或 Twilio Authy) 啟用以時間為基礎的一次性密碼 (TOTP)。

精細的許可和指派

多帳戶許可

IAM Identity Center 建立在 AWS Identity and Access Management (IAM) 角色和政策的基礎上,可協助您集中管理 AWS 組織中所有 AWS 帳戶的存取。IAM Identity Center 使用許可集,這是一個或多個 IAM 政策的集合。然後,您指派許可集以定義您的使用者/群組的存取權。根據這些指派,該服務會建立一個 IAM Identity Center 控制的 IAM 角色,並將許可集內指定的政策連接至每個指派帳戶中的這些角色。無須個別帳戶的額外組態。 

臨時提升存取權選項

IAM Identity Center 透過各種合作夥伴整合選項,提供臨時提升的存取權。AWS 已驗證您可以使用 CyberArk 安全雲端存取、Tenable Cloud Security 和 Okta 存取請求來協助處理一系列臨時提升存取權場景,包括需要完全稽核性的敏感操作、具有複雜權利和稽核需求的多重雲端環境,以及使用多個身分來源和應用程式整合的組織。沒有執行敏感操作 (例如在生產環境中變更高價值資源的組態) 所需常設許可的人力團隊使用者可以要求存取權、取得核准,並在指定的時間內執行操作。此外,您的稽核員可以檢視合作夥伴解決方案中的動作和核准記錄。

應用程式指派

在 IAM Identity Center 控制台中,使用應用程式指派來提供對許多 SAML 2.0 商業應用程式 (包括 Salesforce、Box 和 Microsoft 365) 的單一登入存取。您可以依照 IAM Identity Center 內的逐步指示,輕鬆地將單一登入存取設定至這些應用程式。這會引導您輸入必要的 URL、憑證及中繼資料。如需與 IAM Identity Center 預先整合的商業應用程式的完整清單,請參閱 IAM Identity Center 雲端應用程式。

受信任的身分傳播

受信任的身分傳播建置於 OAuth 2.0 授權框架之上,該框架允許應用程式代表特定使用者存取資料和其他資源,而無需共用該使用者的憑證。IAM Identity Center 的這項功能可簡化使用者的資料存取管理、稽核,並改善了分析使用者跨多個 AWS 分析應用程式的登入體驗。若要開始使用,應用程式的擁有者、身分來源和資料管理員將應用程式連接到服務,並開始根據使用者和群組管理存取權限。然後,資源管理員可以使用來自其身分來源的現有身分和群組成員資格,以設定和管理應用程式內的資料資源存取。稽核和安全團隊可以將資料資源的存取權限追溯到每位使用者。資料分析師可以使用熟悉的單一登入體驗,跨 AWS Analytics 服務 (Amazon Redshift、Amazon Quicksight、Amazon S3、Amazon EMR 和 AWS LakeFormation) 無縫存取指派的資料。進一步了解受信任的身分傳播。 

基於屬性的存取控制

藉助 IAM Identity Center,您可以根據 IAM Identity Center 身分來源中定義的使用者屬性,輕鬆地為組織內的人力建立和使用精細的許可。IAM Identity Center 可讓您選擇多個屬性 (例如成本中心、職稱或地區設定),然後使用這些屬性實施基於屬性的存取控制 (ABAC),以簡化和集中管理存取權限。可以為整個 AWS 組織定義一次許可,然後只需變更身分來源中的屬性即可授予、撤銷或修改 AWS 存取權限。

進一步了解 ABAC »

管理和治理功能

成員帳戶的委託管理

IAM Identity Center 現在支援從 AWS Organizations 委派管理員帳戶,對您組織中的所有成員帳戶進行集中管理和 API 存取。這意味著您可以在您的組織中,指定一個可用於集中管理所有成員帳戶的帳戶。透過委派管理,您可以減少使用管理帳戶的需要,以遵守推薦的實務。

支援安全標準和合規認證

IAM Identity Center 支援各項安全標準與合規要求,包括支付卡產業 – 資料安全標準 (PCI DSS)、國際標準化組織 (ISO)、系統和組織控制 (SOC) 1、2 和 3、Esquema Nacional de Seguridad (ENS) High、金融市場監管局 (FINMA) 國際鑑證業務標準 (ISAE) 3000 第 2 類報告要求,以及多層雲端安全 (MTCS)。該服務仍是在受保護層級評估的資訊安全註冊評估員計劃 (IRAP)。

部署靈活性

IAM Identity Center 可部署為組織執行個體或帳戶執行個體。IAM Identity Center 的組織執行個體已部署在 AWS Organizations 的管理帳戶中。這是對您的員工進行身分驗證和授權的最佳實務和建議方法。它是單一的中央存取控制點,適用於多帳戶生產環境中的 AWS 帳戶和應用程式。IAM Identity Center 的帳戶執行個體是一種企業使用者可執行的有限範圍的部署,以便快速評估受支援的 AWS 應用程式 (例如 Amazon Redshift),並且使其可供較窄範圍的應用程式使用者集使用。組織執行個體的管理員可控制企業使用者透過服務控制政策 (SCP) 建立帳戶執行個體的能力,這是 AWS Organizations 的一項功能。

啟用 SAML 的應用程式組態精靈

您可以使用 IAM Identity Center 應用程式組態精靈,建立單一登入與啟用 SAML 2.0 之應用程式的整合。應用程式指派組態精靈可協助您選取要傳送給啟用單一登入存取之應用程式的資訊,以及設定其格式。例如,您可以針對使用者名稱建立 SAML 屬性,並根據使用者 AD 描述檔中的電子郵件地址指定該屬性的格式。

稽核跨應用程式和 AWS 帳戶的存取活動

所有管理和多帳戶存取活動都會記錄在 AWS CloudTrail 中,提供您集中的稽核 IAM Identity Center 活動視野。您可以透過 CloudTrail 檢視例如登入嘗試、應用程式指派以及目錄整合變更等活動。例如,您可以看到使用者在指定時段內存取的應用程式,或是使用者何時將存取權指定給特定應用程式。

後續步驟

Getting Started

探索如何開始使用 IAM

請參閱入門頁面
Console

準備好開始建立?

開始使用 IAM

還有其他問題嗎?

聯絡我們
登入主控台

了解 AWS

  • 什麼是 AWS?
  • 什麼是雲端運算?
  • AWS 包容性、多樣性與公平性
  • 什麼是 DevOps?
  • 什麼是容器?
  • 什麼是資料湖?
  • AWS 雲端安全
  • 最新消息
  • 部落格
  • 新聞稿

AWS 資源

  • 入門
  • 培訓與認證
  • AWS 解決方案程式庫
  • 架構中心
  • 產品和技術常見問答集
  • 分析師報告
  • AWS 合作夥伴

AWS 開發人員

  • 開發人員中心
  • 軟體開發套件與工具
  • .NET on AWS
  • 在 AWS 上執行的 Python
  • 在 AWS 上執行的 Java
  • 在 AWS 上執行的 PHP
  • 在 AWS 上執行的 JavaScript

說明

  • 聯絡我們
  • 取得專家協助
  • 提交支援申請單
  • AWS re:Post
  • 知識中心
  • AWS Support 概觀
  • 法律
  • AWS 徵才
建立 AWS 帳戶
Amazon 是支持平等就業機會的雇主: 少數民族/女性/殘障人士/退伍軍人/性別認同/性取向/年齡。
  • 語言
  • عربي
  • Bahasa Indonesia
  • Deutsch
  • English
  • Español
  • Français
  • Italiano
  • Português
  • Tiếng Việt
  • Türkçe
  • Ρусский
  • ไทย
  • 日本語
  • 한국어
  • 中文 (简体)
  • 中文 (繁體)
  • 隱私權
  • |
  • 網站條款
  • |
  • Cookie 偏好設定
  • |
  • © 2023, Amazon Web Services, Inc. 或其關係企業。保留所有權利。

結束對 Internet Explorer 的支援

知道了
AWS 對 Internet Explorer 的支援將於 07/31/2022 結束。支援的瀏覽器包括 Chrome、Firefox、Edge 和 Safari。 進一步了解 »
知道了