Возможности Центра идентификации AWS IAM

Центр идентификации IAM по умолчанию предоставляет вам хранилище идентификационных данных, которое вы можете использовать для создания пользователей и организации их в группы в Центре идентификации IAM. Создать пользователей в IAM Identity Center можно путем настройки адреса электронной почты и имени. По умолчанию при создании пользователя сервис IAM Identity Center отправляет на электронный адрес этого пользователя письмо, чтобы он мог задать себе пароль. За считаные минуты можно предоставить пользователям и группам разрешения на ресурсы AWS во всех ваших аккаунтах AWS, а также во многих бизнес‑приложениях. Пользователи смогут входить на пользовательский портал с помощью мандата, который они настроили в Центре идентификации IAM, и обращаться ко всем назначенным аккаунтам и приложениям из единого центра.

Центр идентификации IAM можно подключить к Okta Universal Directory, Microsoft Entra ID или другому поддерживаемому поставщику идентификации (IdP) с помощью языка разметки декларации безопасности (Security Assertion Markup Language, SAML) версии 2.0, чтобы ваши пользователи могли использовать для входа существующие мандаты. Кроме того, Центр идентификации IAM также интегрирован с системой управления междоменными удостоверениями (SCIM) для автоматизации подготовки удостоверений. Вы можете управлять удостоверениями пользователей в поставщике удостоверений, быстро переносить их в AWS и централизованно управлять доступом ко всем аккаунтам AWS и бизнес-приложениям. Центр идентификации IAM также позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, из Okta Universal Directory, а затем использовать их для контроля доступа на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом.

С помощью Центра идентификации IAM можно управлять доступом по технологии единого входа к аккаунтам и приложениям, используя существующие корпоративные удостоверения Microsoft Active Directory Domain Services (AD DS). Центр идентификации IAM интегрируется с AD DS через Сервис каталогов AWS и позволяет предоставлять доступ к аккаунтам и приложениям путем добавления пользователей в соответствующие группы AD. Например, можно создать группу для команды разработчиков, работающих над приложением, и предоставить ей доступ к аккаунтам AWS, связанным с этим приложением. Когда к проекту присоединятся новые разработчики, их можно добавить в группу AD, и они автоматически получат доступ ко всем связанным аккаунтам AWS. Центр идентификации IAM также позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, из AD, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом.

Центр идентификации IAM позволяет включить MFA для всех своих пользователей, включая требование, по условиям которого пользователи должны настраивать устройства MFA во время входа. С помощью IAM Identity Center вы также можете использовать возможности строгой аутентификации на основе стандартов для всех своих пользователей во всех источниках идентификации. Если вы используете источник идентификации с поддержкой SAML 2.0 IdP, вы можете включить многофакторную аутентификацию (MFA), предоставляемую вашим поставщиком. Если использовать Active Directory или IAM Identity Center в качестве источника идентификации, IAM Identity Center будет поддерживать спецификацию веб-аутентификации. Благодаря этому вы получите возможность защищать доступ пользователей к аккаунтам AWS и бизнес-приложениям с помощью ключей безопасности с поддержкой FIDO, например YubiKey, и встроенных средств биометрической аутентификации, таких как Touch ID на устройствах MacBook от Apple и распознавание лица на ПК. Вы также можете воспользоваться приложением для аутентификации, например Google Authenticator или Twilio Authy, чтобы включить использование одноразовых паролей (TOTP).

Центр идентификации IAM основывается на ролях и политиках Управления идентификацией и доступом AWS (IAM), благодаря чему вы сможете централизованно управлять доступом во всех аккаунтах AWS своей организации. IAM Identity Center использует наборы разрешений, которые представляют собой совокупность одной или нескольких политик IAM. Затем вы назначаете набор(ы) разрешений, чтобы определить доступ для ваших пользователей или групп. На основе этих назначений служба создает роль IAM под управлением IAM Identity Center и прикрепляет политики, указанные в наборе разрешений, к этим ролям в каждом назначенном аккаунте. Дополнительная настройка отдельных аккаунтов не требуется.  

Центр идентификации IAM предлагает временный расширенный доступ с помощью ряда вариантов партнерской интеграции. В AWS подтвердили, что вы можете использовать запросы CyberArk Secure Cloud Access, Tenable Cloud Security и Okta Access Requests для решения ряда сценариев временного расширенного доступа, в том числе конфиденциальных операций, для которых требуется полный аудит, многооблачных сред со сложными правами, где нужен аудит, а также организаций, использующих несколько источников идентификации и интеграций приложений. Ваш сотрудник, не имеющий постоянных разрешений на выполнение конфиденциальных операций, таких как изменение конфигурации дорогостоящего ресурса в производственной среде, может запросить доступ, получить одобрение и выполнить операцию в течение определенного времени. Кроме того, ваши аудиторы могут просматривать журнал действий и одобрений в партнерском решении.

В консоли Центра идентификации AWS IAM используйте назначения приложений для обеспечения единого доступа ко многим бизнес-приложениям SAML 2.0, включая Salesforce, Box и Microsoft 365. Следуя пошаговым инструкциям, можно легко настроить доступ к этим приложениям с использованием технологии единого входа в IAM Identity Center. Сервис поможет ввести требуемые URL-адреса, сертификаты и метаданные. Полный список бизнес-приложений, интегрированных с Центром идентификации IAM, см. на странице облачных приложений Центра идентификации IAM.

Предоставление доверенных идентификационных данных основано на платформе авторизации OAuth 2.0, которая позволяет приложениям получать доступ к данным и другим ресурсам от имени конкретного пользователя без предоставления его мандата. Эта функция Центра идентификации IAM упрощает управление доступом к данным для пользователей и аудит, а также повышает удобство входа в систему для пользователей аналитики в нескольких аналитических приложениях AWS. Для начала владелец приложения, источник идентификационных данных и администратор данных подключают приложение к сервису и начинают управлять доступом на основе пользователей и групп. Администраторы ресурсов могут настраивать и управлять доступом к ресурсам данных в приложениях, используя существующие идентификационные данные и членство в группах из источника идентификационных данных. Команды по аудиту и обеспечению безопасности могут отслеживать доступ к ресурсам данных каждого пользователя. Аналитики данных могут беспрепятственно получать доступ к назначенным данным в сервисах аналитики AWS (Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR и AWS LakeFormation), используя интерфейс единого входа. Узнайте больше о предоставлении доверенных идентификационных данных. 

Центр идентификации IAM упрощает процесс создания и использования точных разрешений для своих рабочих ресурсов на основе атрибутов пользователей, определенных в хранилище идентификационных данных этого центра. IAM Identity Center позволяет выбирать несколько атрибутов, например центр расходов, должность или язык, а затем использовать их для контроля доступом на основе атрибутов (ABAC), чтобы упростить и централизовать управление доступом. Вы можете однажды определить разрешения для всей организации AWS, после чего доступ можно предоставлять, отзывать и изменять, просто изменяя атрибуты в источнике идентификации.

Подробнее об ABAC »

Центр идентификации IAM поддерживает централизованное администрирование и доступ к API из аккаунта делегированного администратора сервиса «Организации AWS» для всех аккаунтов участников в вашей организации. Это означает, что вы можете назначить аккаунт в своей организации, который будет использоваться для централизованного управления всеми аккаунтами участников. С помощью делегированного администрирования вы можете придерживаться рекомендаций, сократив необходимость использования управляющего аккаунта.

Центр идентификации IAM поддерживает стандарты безопасности и требования соответствия, включая поддержку стандарта Payment Card Industry – Data Security Standard (PCI DSS), Международной организации по стандартизации (ISO), System and Organization Controls (SOC) 1, 2 и 3, Esquema Nacional de Seguridad (ENS) High, требований Управления по надзору за финансовыми рынками (FINMA) к отчетам по Международному стандарту по заверению сделок (ISAE) 3000, тип 2, а также многоуровневой облачной безопасности (MTCS). Сервис по-прежнему оценивается по Программе зарегистрированных экспертов по оценке систем информационной безопасности (IRAP) на уровне PROTECTED.

Центр идентификации IAM можно развернуть как инстанс организации или аккаунта. Инстанс организации Центра идентификации IAM развернут в управляющем аккаунте Организации AWS. Это лучшее практическое применение и рекомендуемый подход к аутентификации и авторизации сотрудников. Это единая центральная точка управления доступом к учетным записям и приложениям AWS в рабочей среде с несколькими учетными записями. Инстанс учетной записи IAM Identity Center – это ограниченное по объему развертывание, которое могут выполнять корпоративные пользователи для быстрой оценки поддерживаемого приложения AWS (например, Amazon Redshift) и обеспечения его доступности узкому кругу пользователей приложения. Администратор инстанса организации может управлять возможностью корпоративных пользователей создавать инстансы аккаунтов с помощью политик управления сервисами (SCP), которые являются функцией Организаций AWS.

С помощью мастера назначения приложений Центра идентификации IAM можно создать интеграцию единого входа в систему для приложений, поддерживающих SAML 2.0. Мастер назначения приложений помогает выбрать и представить в требуемом виде информацию для отправки приложениям, чтобы задействовать доступ по технологии единого входа. Например, можно создать атрибут SAML для имени пользователя и задать формат для атрибута на основе адреса электронной почты пользователя из профиля AD.

Все административные действия и события доступа с нескольких аккаунтов записываются в AWS CloudTrail, что позволяет централизованно отслеживать действия Центра идентификации IAM и получать наглядную статистику. С помощью CloudTrail можно просматривать попытки авторизации, назначения приложений и изменения в интеграции каталога. К примеру, можно просматривать приложения, к которым пользователь получал доступ в заданный промежуток времени, или выяснять, когда пользователь получил доступ к конкретному приложению.