AWS IAM Identity Center
与 AWS Organizations 集成的单点登录 (SSO) 服务,统一管理对多个 AWS 账户和业务应用的访问
概述
AWS IAM Identity Center (原 AWS SSO) 是为多个 AWS 账户和业务应用提供单点登录的服务。通过权限集 (Permission Set) 对用户和组声明式定义各账户的权限,实现与 Organizations 组织结构联动的大规模访问管理。支持与 SAML 2.0 和 SCIM 兼容的外部 IdP (Okta、Azure AD、Google Workspace 等) 集成,利用现有身份基础设施实现联合认证。
权限集与多账户访问管理
权限集是 IAM Identity Center 的核心概念,定义用户在各 AWS 账户中拥有的权限。一个权限集对应一个 IAM 角色,分配给用户或组后在目标账户中自动创建角色。AWS 托管策略和自定义策略均可附加到权限集。例如定义「开发者」权限集 (附加 PowerUserAccess) 和「只读」权限集 (附加 ReadOnlyAccess),将开发者组分配到开发账户的「开发者」权限集、生产账户的「只读」权限集,即可实现按环境的权限分离。权限集变更自动传播到所有分配的账户,无需逐账户修改。
外部 IdP 集成与用户生命周期管理
大多数企业已有 Okta、Azure AD、Google Workspace 等身份提供商。IAM Identity Center 通过 SAML 2.0 联合实现 SSO,用户使用现有企业凭证登录 AWS。SCIM (System for Cross-domain Identity Management) 自动同步可将 IdP 的用户和组变更自动反映到 IAM Identity Center。员工入职时在 IdP 创建用户即自动获得 AWS 访问权限,离职时在 IdP 删除即自动撤销所有 AWS 访问。无需在 AWS 侧手动管理用户生命周期。内置身份存储也可用于不使用外部 IdP 的小规模环境。
访问门户与临时凭证的安全性
用户通过 IAM Identity Center 的访问门户 (Web 界面) 查看可访问的账户和权限集列表,点击即可获取临时凭证登录管理控制台或获取 CLI 用凭证。临时凭证默认 1 小时过期 (可配置最长 12 小时),无需管理长期访问密钥。AWS CLI v2 的 SSO 配置文件可通过 aws sso login 命令获取临时凭证,开发者无需在本地保存永久凭证。会话持续时间和 MFA 要求可在 IAM Identity Center 设置中统一管理,确保组织整体的安全基线。