Preguntas frecuentes sobre AWS IAM Identity Center

No, solo se puede tener un directorio o un proveedor de identidades SAML 2.0 conectado al Centro de identidades de IAM. Sin embargo, puede cambiar la fuente de identidades que está conectada por otra distinta.

Puede conectar el IAM Identity Center a la mayoría de los proveedores de identidades SAML 2.0, como Okta Universal Directory o Microsoft Entra ID (anteriormente, Azure AD). Consulte la Guía del usuario del IAM Identity Center para obtener más información.

No, IAM Identity Center no modifica ningún rol, usuario o política de IAM existente en sus cuentas de AWS. IAM Identity Center crea nuevos roles y políticas específicamente para su uso a través de IAM Identity Center.

Tras activar IAM Identity Center, todos los roles o usuarios de IAM existentes que tenga seguirán funcionando tal como están. Esto significa que puede migrar a IAM Identity Center de forma gradual sin interrumpir el acceso existente a AWS.

IAM Identity Center proporciona nuevos roles para usarlos en sus cuentas de AWS. Puede adjuntar las mismas políticas que utiliza con sus roles de IAM existentes a los nuevos roles que utiliza con IAM Identity Center.

IAM Identity Center no crea usuarios ni grupos de IAM. Tiene su propio almacén de identidades diseñado específicamente para almacenar la información de los usuarios. Cuando se utiliza un proveedor de identidades externo, Identity Center guarda una copia sincronizada de los atributos del usuario y la pertenencia a un grupo, pero no guarda material de autenticación, como contraseñas o dispositivos con MFA. Su proveedor de identidades externo sigue siendo la fuente de confianza de la información y los atributos del usuario.

Sí. Si usa Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD), OneLogin o PingFederate, puede utilizar SCIM para sincronizar la información de usuarios y grupos de su proveedor de identidades al IAM Identity Center automáticamente. Consulte la Guía del usuario del IAM Identity Center para obtener más información.

Puede conectar el Centro de identidades de IAM a un directorio de Active Directory (AD) en las instalaciones o a un directorio de AWS Managed Microsoft AD mediante el uso de AWS Directory Service. Consulte la Guía del usuario del IAM Identity Center para obtener más información.

Tiene dos opciones para conectar el directorio de Active Directory alojado en las instalaciones al Centro de identidades de IAM: (1) usar AD Connector, o (2) usar una relación de confianza de AWS Managed Microsoft AD. AD Connector simplemente conecta su directorio de Active Directory existente en las instalaciones a AWS. AD Connector es una puerta de enlace de directorios con el cual puede redirigir las solicitudes de directorios a su Microsoft Active Directory en las instalaciones, sin almacenar en caché información en la nube. Para conectar un directorio local con AD Connector, consulte la Guía de administración de AWS Directory Service. AWS Managed Microsoft AD facilita la configuración y la ejecución de Microsoft Active Directory en AWS. Se puede utilizar para configurar una relación de confianza de bosque entre su directorio en las instalaciones y AWS Managed Microsoft AD. Para configurar una relación de confianza, consulte la Guía de administración de AWS Directory Service.

Amazon Cognito es un servicio que lo ayuda a administrar identidades para las aplicaciones dirigidas a los clientes. No es una fuente de identidades compatible con el IAM Identity Center. Puede crear y administrar las identidades de su personal en el IAM Identity Center o en una fuente de identidades externa, incluidos Microsoft Active Directory, Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD) u otro proveedor de identidades admitido.

Sí, puede utilizar el Centro de identidades de IAM para controlar el acceso a la Consola de administración de AWS y a la CLI v2. El Centro de identidades de IAM habilita a sus usuarios a acceder a la CLI y a la Consola de administración de AWS a través de una experiencia de inicio de sesión único. La aplicación de consola móvil de AWS también admite el Centro de identidades de IAM para que pueda obtener una experiencia de inicio de sesión uniforme en todas las interfaces de dispositivo móvil, de navegador y de línea de comandos.

Puede conectar las siguientes aplicaciones al Centro de identidades de IAM:

Aplicaciones integradas al Centro de identidades de IAM: las aplicaciones integradas al Centro de identidades de IAM, como SageMaker Studio e IoT SiteWise, utilizan el Centro de identidades de IAM para las autenticaciones y trabajan con las identidades que se encuentran en dicho servicio. No se necesita ninguna configuración adicional para sincronizar las identidades en estas aplicaciones o para configurar la federación por separado.

Aplicaciones SAML preintegradas: el Centro de identidades de IAM incluye aplicaciones empresariales de uso común integradas previamente. Para obtener una lista completa, consulte la consola del Centro de identidades de IAM.

Aplicaciones SAML personalizadas: el Centro de identidades de IAM admite las aplicaciones que permiten la federación de identidades mediante SAML 2.0. Puede habilitar el Centro de identidades de IAM para que admita estas aplicaciones mediante el asistente de aplicaciones personalizadas.

Puede agregar cualquier cuenta de AWS administrada mediante AWS Organizations al Centro de identidades de IAM. Debe habilitar todas las características en sus organizaciones para administrar el inicio de sesión único de sus cuentas.

Puede elegir cuentas dentro de la organización o filtrar cuentas por OU.

El uso principal de la propagación de identidades de confianza es permitir que las aplicaciones de inteligencia empresarial (BI) consulten los servicios de análisis de AWS, como Amazon Redshift o Amazon Quicksight, para obtener los datos que requieren los usuarios empresariales con un único inicio de sesión de usuario a través del proveedor de identidad existente del cliente, sin perder de vista la identidad del usuario. La función admite diferentes tipos de aplicaciones de BI de uso común y utiliza distintos mecanismos para propagar la identidad del usuario entre los servicios.

Cuando concede acceso a los usuarios, puede restringir los permisos de los usuarios mediante la selección de un conjunto de permisos. Los conjuntos de permisos son una colección de permisos que puede crear en el Centro de identidades de IAM, adaptar en función de las políticas administradas de AWS para funciones de trabajo o de cualquier política administrada de AWS. Las políticas administradas de AWS para funciones de trabajo están diseñadas para alinearse estrechamente con funciones de trabajo comunes del sector de TI. De ser necesario, también puede personalizar el conjunto de permisos en su totalidad para adaptarlo a sus requisitos de seguridad. El Centro de identidades de IAM implementa estos permisos en las cuentas seleccionadas automáticamente. Cuando modifique los conjuntos de permisos, el Centro de identidades de IAM lo habilita a implementar los cambios en las cuentas correspondientes con facilidad. Cuando los usuarios obtienen acceso a las cuentas mediante el portal de acceso de AWS, estos permisos restringen lo que pueden hacer dentro de dichas cuentas. También puede conceder varios conjuntos de permisos a los usuarios. Cuando obtienen acceso a la cuenta mediante el portal de usuario, pueden seleccionar el conjunto de permisos que desean utilizar para esa sesión.

El Centro de identidades de IAM les proporciona a las API y a AWS CloudFormation el soporte para automatizar la administración de permisos en entornos de varias cuentas y recuperar los permisos en forma programada con fines de auditoría y gobernanza.

Para implementar el ABAC, puede seleccionar atributos del almacén de identidades del IAM Identity Center para los usuarios de dicho servicio y los usuarios sincronizados desde Microsoft AD o proveedores de identidad externos de SAML 2.0, incluidos Okta Universal Directory, Microsoft Entra ID (anteriormente, Azure AD), OneLogin o PingFederate. Cuando utiliza un proveedor de identidades como fuente de identidades, puede optar por enviar los atributos como parte de una afirmación SAML 2.0.

Puede obtener credenciales de la AWS CLI para cualquier permiso de usuario y cuenta de AWS que el administrador del Centro de identidades de IAM le haya asignado. Estas credenciales de la CLI se pueden usar para obtener acceso a la cuenta de AWS mediante programación.

Las credenciales de la AWS CLI obtenidas mediante el Centro de identidades de IAM son válidas por un periodo de 60 minutos. Puede obtener un nuevo conjunto de credenciales con la frecuencia que necesite.

En la consola del Centro de identidades de IAM, vaya al panel de aplicaciones, elija la opción Configure new application (Configurar aplicación nueva) y seleccione una aplicación de la lista de aplicaciones en la nube que vienen integradas previamente con el Centro de identidades de IAM. Siga las instrucciones que aparecen en la pantalla para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

Sí. Si la aplicación admite SAML 2.0, puede configurarla como una aplicación SAML 2.0 personalizada. En la consola del Centro de identidades de IAM, vaya al panel de aplicaciones, elija Configure new application (Configurar aplicación nueva) y seleccione Custom SAML 2.0 application (Aplicación SAML 2.0 personalizada). Siga las instrucciones para configurar la aplicación. La aplicación ya está configurada y puede conceder acceso a ella. Elija los grupos o usuarios a los cuales desea conceder acceso a la aplicación y seleccione Assign Access (Otorgar acceso) para finalizar el proceso.

No. El Centro de identidades de IAM admite únicamente aplicaciones basadas en SAML 2.0.

No. El Centro de identidades de IAM solamente admite el inicio de sesión único en aplicaciones empresariales mediante navegadores web.

El Centro de identidades de IAM almacenará datos acerca de qué aplicaciones en la nube y cuentas de AWS se asignan a determinados usuarios y grupos, así como también qué permisos se concedieron para el acceso a cuentas de AWS. El Centro de identidades de IAM también creará y administrará roles de IAM en cuentas individuales de AWS para cada conjunto de permisos al que conceda acceso para sus usuarios.

Con el Centro de identidades de IAM, puede habilitar capacidades de autenticación sólidas basadas en estándares para todos los usuarios en todas las fuentes de identidades. Si utiliza un proveedor de identidades SAML 2.0 compatible como fuente de identidades, puede habilitar las capacidades de autenticación multifactor de ese proveedor. Al utilizar el Centro de identidades de IAM o Active Directory como fuente de identidades, el Centro de identidades de IAM es compatible con la especificación de autenticación web para ayudarlo a asegurar el acceso de los usuarios a cuentas de AWS y aplicaciones empresariales con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como Touch ID en MacBooks de Apple y el reconocimiento facial en computadoras. También puede habilitar contraseñas de un solo uso (TOTP) mediante aplicaciones de autenticación, tales como Google Authenticator o Twilio Authy.

También puede utilizar la configuración de MFA del Servicio de usuario de acceso telefónico de autenticación remota (RADIUS) existente con el Centro de identidades de IAM y AWS Directory Services para autenticar a sus usuarios como una forma secundaria de verificación. Para obtener más información sobre la configuración de MFA del Centro de identidades de IAM, consulte la Guía del usuario del Centro de identidades de IAM.

Sí. Para las identidades de usuario en el almacén de identidades del Centro de identidades de IAM y Active Directory, el Centro de identidades de IAM admite la especificación de autenticación web (WebAuthn) a fin de ayudarlo a asegurar el acceso de los usuarios a cuentas y aplicaciones empresariales de AWS con claves de seguridad habilitadas por FIDO, tales como YubiKey, y autenticadores biométricos integrados, como Touch ID en MacBooks de Apple y el reconocimiento facial en computadoras. También puede habilitar contraseñas de un solo uso (TOTP) mediante aplicaciones de autenticación, tales como Google Authenticator o Twilio Authy.

Para comenzar a usar el Centro de identidades de IAM, los empleados pueden ir al portal de acceso que se crea cuando se configura la fuente de identidades en el Centro de identidades de IAM. Si administra los usuarios en el Centro de identidades de IAM, sus empleados pueden usar las direcciones y las contraseñas de correo electrónico que configuraron con el Centro de identidades de IAM para iniciar sesión en el portal de usuario. Si conecta el Centro de identidades de IAM a Microsoft Active Directory o a un proveedor de identidades SAML 2.0, sus empleados podrán iniciar sesión en el portal de usuario con sus credenciales corporativas existentes y, luego, ver las cuentas y las aplicaciones que se les asignaron. Para obtener acceso a una cuenta o una aplicación, los empleados deben elegir el ícono correspondiente en el portal de acceso.

Sí. El Centro de identidades de IAM proporciona API de asignación de cuenta para automatizar la administración de permisos en entornos de varias cuentas y recuperar los permisos en forma programada con fines de auditoría y gobernanza.