AWS IAM Identity Center 热门2017年〜
为多个 AWS 账户和 SaaS 应用提供单点登录的服务
它能做什么
AWS IAM Identity Center (原 AWS SSO) 是一项为多个 AWS 账户和业务应用提供单点登录 (SSO) 的服务。只需一次登录即可访问多个账户和应用,并可集中管理用户和访问权限。
使用场景
用于多账户环境下开发人员的访问管理、SaaS 应用 (Salesforce、Microsoft 365 等) 的 SSO、与外部 IdP (Okta、Azure AD) 的集成,以及临时凭证的签发。
日常类比
可以将其比作一张工牌就能进入所有楼层的办公大楼。无需为每个楼层 (账户) 持有不同的钥匙,只需一张工牌 (SSO) 即可访问所有被授权的楼层。
什么是 IAM Identity Center
AWS IAM Identity Center 是 AWS 多账户环境中访问管理的核心服务。用户可通过用户门户以 SSO 方式访问已分配的 AWS 账户和应用。通过与 AWS CLI v2 的集成,还可在命令行中使用 SSO 认证。
权限集与身份源
权限集 (Permission Set) 是授予用户的 IAM 策略模板。将权限集分配给用户或组,并指定目标账户。身份源可从 Identity Center 内置目录、Active Directory 或外部 IdP (SAML 2.0) 中选择。 如需深入了解权限集与身份源的实践知识,可参考 Amazon 专业书籍。
如何开始
在 IAM Identity Center 控制台中启用服务并选择身份源。创建用户和组,定义权限集并分配给 AWS 账户。用户通过门户 URL 登录后,即可访问已分配账户的管理控制台或 CLI。
注意事项
- IAM Identity Center 需要启用 AWS Organizations,单账户环境无法使用
- IAM Identity Center 本身免费,与外部 IdP 集成时可能产生该 IdP 的额外费用
