相信已在使用云端服务的您对于「IAM（Identity and Access Management）」的概念一定不陌生，透过 IAM 我们可以藉由权限的设定，限制使用者可以存取哪些特定的服务与资源，达到分权又集中管理的目的。而今天本篇要跟大家简单分享的是延伸 IAM 概念的 AWS IAM Identity Center，带您一同来看 AWS 强大的 IAM 功能！

什麽是 AWS IAM 身分中心？
AWS IAM 身分中心（AWS IAM Identity Center）旧称为 AWS SSO（AWS Single Sign-On），顾名思义当您在这建立或是连结使用者，并设定好相关权限后，往后只需要透过单一入口网站就能对所有帐户（accounts）与应用程式（applications）存取权限。这对于需要管理许多员工（workforce identities）与客户帐户的公司是再适合不过的管理方式，而且 IAM 身分中心服务 AWS 为免费提供，您可藉由多帐户权限（multi-account permissons）指派员工对 AWS 帐户可存取的权限，或是藉由应用程式指派（application assignments）指派使用者对于 AWS 託管或是客户管理的应用程式的权限。

功能齐全的 AWS IAM 身分中心

IAM 身分中心到底有哪些功能呢？主要有四大特点：
（一）员工身分管理
对于在公司中扮演开发人员角色或是需要使用到公司内部资料的员工，您就可透过在 IAM 身分中心建立员工使用者与群组，或是连结您自己身分来源（identity source）里的其中一组现有的使用者与群组，以授权 AWS 所有帐户和应用程式的存取。

（二）IAM 身分中心实例管理
IAM 身分中心可支援组织实例（organization instances）和帐户实例（account instances）的管理，将组织实例部署于 AWS Organizations 的管理帐户里可让您藉由单一点存取并管理整个 AWS 环境的使用者；而帐户实例因来自绑定其的 AWS 帐户，IAM 身分中心的帐户实例能支援您所选定的 AWS 託管应用程式的隔离部署。
 
（三）AWS 帐户访问管理
藉由多帐户权限，您可一次横跨多个 AWS 帐户来设定存取资源的权限，像是经常会使用的服务功能、安全需求的设定等，再将权限指派给不同的员工使用者，集中管理他们对帐户的存取权限。

（四）应用程式访问管理
透过 IAM 身分中心可授予使用者单一入口的对应用程式的存取权限，可应用于像是 AWS 託管应用程式的管理，如 Amazon Redshift 可藉由与 IAM 身分中心的整合，进行验证、目录服务等；而客户管理的应用程式像是 SAML 2.0 应用程式（如Microsoft 365等）也可与 IAM 身分中心搭配使用，且能在 IAM 身分中心的控制台应用程式目录里使用；另外，可信赖身分传播（trusted identity propagation）也能在 IAM 身分中心的支援下，提供使用者可跨应用程式地存取 AWS 服务资料的查询工具和商业智慧 (BI) 应用程式。

以上为本篇对于 IAM 身分中心简单的分享，想进一步了解可详阅官网文档，或是实际操作看看喔！
 

参考资料：
AWS 官方服务介绍 - 〈What is IAM Idnetity Center？〉
https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html