相信已在使用雲端服務的您對於「IAM(Identity and Access Management)」的概念一定不陌生,透過 IAM 我們可以藉由權限的設定,限制使用者可以存取哪些特定的服務與資源,達到分權又集中管理的目的。而今天本篇要跟大家簡單分享的是延伸 IAM 概念的 AWS IAM Identity Center,帶您一同來看 AWS 強大的 IAM 功能!
什麼是 AWS IAM 身分中心?
AWS IAM 身分中心(AWS IAM Identity Center)舊稱為 AWS SSO(AWS Single Sign-On),顧名思義當您在這建立或是連結使用者,並設定好相關權限後,往後只需要透過單一入口網站就能對所有帳戶(accounts)與應用程式(applications)存取權限。這對於需要管理許多員工(workforce identities)與客戶帳戶的公司是再適合不過的管理方式,而且 IAM 身分中心服務 AWS 為免費提供,您可藉由多帳戶權限(multi-account permissons)指派員工對 AWS 帳戶可存取的權限,或是藉由應用程式指派(application assignments)指派使用者對於 AWS 託管或是客戶管理的應用程式的權限。
功能齊全的 AWS IAM 身分中心
IAM 身分中心到底有哪些功能呢?主要有四大特點:
(一)員工身分管理
對於在公司中扮演開發人員角色或是需要使用到公司內部資料的員工,您就可透過在 IAM 身分中心建立員工使用者與群組,或是連結您自己身分來源(identity source)裡的其中一組現有的使用者與群組,以授權 AWS 所有帳戶和應用程式的存取。
(二)IAM 身分中心實例管理
IAM 身分中心可支援組織實例(organization instances)和帳戶實例(account instances)的管理,將組織實例部署於 AWS Organizations 的管理帳戶裡可讓您藉由單一點存取並管理整個 AWS 環境的使用者;而帳戶實例因來自綁定其的 AWS 帳戶,IAM 身分中心的帳戶實例能支援您所選定的 AWS 託管應用程式的隔離部署。
(三)AWS 帳戶訪問管理
藉由多帳戶權限,您可一次橫跨多個 AWS 帳戶來設定存取資源的權限,像是經常會使用的服務功能、安全需求的設定等,再將權限指派給不同的員工使用者,集中管理他們對帳戶的存取權限。
(四)應用程式訪問管理
透過 IAM 身分中心可授予使用者單一入口的對應用程式的存取權限,可應用於像是 AWS 託管應用程式的管理,如 Amazon Redshift 可藉由與 IAM 身分中心的整合,進行驗證、目錄服務等;而客戶管理的應用程式像是 SAML 2.0 應用程式(如Microsoft 365等)也可與 IAM 身分中心搭配使用,且能在 IAM 身分中心的控制台應用程式目錄裡使用;另外,可信賴身分傳播(trusted identity propagation)也能在 IAM 身分中心的支援下,提供使用者可跨應用程式地存取 AWS 服務資料的查詢工具和商業智慧 (BI) 應用程式。
以上為本篇對於 IAM 身分中心簡單的分享,想進一步了解可詳閱官網文檔,或是實際操作看看喔!
參考資料:
AWS 官方服務介紹 - 〈What is IAM Idnetity Center?〉
https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html