Perguntas frequentes sobre o Centro de Identidade do AWS IAM

Page Topics

Geral
7
Suporte a origens de identidade e a aplicações
12
Acesso de logon único para contas da AWS
8
Acesso por logon único a aplicações empresariais
4
Diversos
5

Geral

O IAM Identity Center foi desenvolvido com base no AWS Identity and Access Management (IAM) para simplificar o gerenciamento de acesso a várias contas da AWS, aplicações da AWS e outras aplicações de nuvem habilitadas para SAML. No IAM Identity Center, você cria ou conecta seus usuários de força de trabalho para uso na AWS. É possível optar por gerenciar o acesso apenas às suas contas da AWS, apenas às aplicações na nuvem ou ambas. Você pode criar usuários diretamente no IAM Identity Center ou trazê-los de seu diretório de força de trabalho existente. Com o IAM Identity Center, você obtém uma experiência de administração unificada para definir, personalizar e atribuir acesso detalhado. Os usuários da força de trabalho recebem um portal do usuário para acessar todas as suas contas da AWS atribuídas ou aplicações na nuvem.

O IAM Identity Center elimina a complexidade administrativa de federar e gerenciar permissões separadamente para cada conta da AWS. Ele permite que você configure aplicações da AWS a partir de uma única interface e atribua acesso a suas aplicações em nuvem a partir de um único local.

O Centro de Identidade do IAM também ajuda a melhorar a visibilidade do acesso, integrando-se ao AWS CloudTrail e fornecendo um local central para você fazer auditoria do acesso por logon único às contas da AWS e aplicações em nuvem habilitadas para SAML, como Microsoft 365, Salesforce e Box.

O IAM Identity Center é nossa porta de entrada recomendada para a AWS. Deve ser sua principal ferramenta para gerenciar o acesso à AWS de seus usuários de força de trabalho. Ele permite que você gerencie suas identidades em sua fonte de identidade preferida, conecte-as uma vez para uso na AWS, defina permissões refinadas e aplique-as de forma consistente nas contas. À medida que o número de contas aumenta, o IAM Identity Center oferece a opção de usá-lo como um único local para gerenciar o acesso do usuário a todas as suas aplicações em nuvem.

O IAM Identity Center serve para administradores que gerenciam várias contas e aplicativos empresariais da AWS, desejam centralizar o gerenciamento de acesso do usuário a esses serviços de nuvem e querem fornecer aos funcionários um único local para acessar essas contas e aplicativos sem precisar se lembrar de outra senha.

Como um novo cliente do IAM Identity Center, você:

Entra no Console de Gerenciamento da AWS da conta de gerenciamento na sua conta da AWS e navegue até o console do IAM Identity Center.

Seleciona o diretório que utiliza para armazenar identidades e grupos de usuários no console do IAM Identity Center. O IAM Identity Center oferece por padrão um diretório que você pode usar para gerenciar usuários e grupos dentro do IAM Identity Center. Você também pode alterar o diretório para conectar-se a um diretório do Microsoft AD clicando em uma lista de instâncias do AD gerenciadas pelas Microsoft e do AD Connector que o IAM Identity Center descobre em sua conta automaticamente. Se quiser se conectar a um diretório do Microsoft AD, consulte Comece a usar o AWS Directory Service.

Concede aos usuários acesso por logon único às contas da AWS em sua organização, selecionando as contas da AWS de uma lista preenchida pelo IAM Identity Center e, em seguida, usuários ou grupos de seu diretório e as permissões que você deseja conceder a eles.

Conceda aos usuários o acesso aos aplicativos empresariais de nuvem fazendo o seguinte:

a. Selecionando um dos aplicativos na lista de aplicações pré-integradas que têm suporte do IAM Identity Center.

b. Configurando o aplicativo seguindo as instruções de configuração.

c. Selecionando os usuários ou grupos que devem poder acessar esse aplicativo.

Dê aos seus usuários o endereço da Web de entrada do IAM Identity Center gerado durante a configuração do diretório. Assim, eles poderão entrar no IAM Identity Center e acessar as contas e aplicações empresariais.

O IAM Identity Center é oferecido gratuitamente.

Consulte a Tabela de regiões da AWS para saber a disponibilidade do Centro de Identidade do IAM por região.

Suporte a origens de identidade e a aplicações

Não. Em um determinado momento, você só pode ter um diretório ou um provedor de identidade SAML 2.0 conectado ao IAM Identity Center. Porém, você pode alterar a origem da identidade que esteja conectada a um diferente.

Você pode conectar o Centro de identidade do IAM à maioria dos provedores de identidade (IdPs) SAML 2.0, como o Diretório universal da Okta ou o Microsoft Entra ID (anteriormente Azure AD). Consulte o Guia do usuário do Centro de Identidade do IAM para saber mais.

Não, o Centro de Identidade do IAM não modifica nenhum perfil, usuário ou política do IAM existente em suas contas da AWS. O Centro de Identidade do IAM cria novas funções e políticas especificamente para uso por meio do Centro de Identidade do IAM.

Depois de ativar o Centro de Identidade do IAM, todos os perfis ou usuários existentes do IAM que você tenha continuarão funcionando como estão. Isso significa que você pode migrar para o Centro de Identidade do IAM em uma abordagem em fases sem interromper o acesso existente à AWS.

O Centro de Identidade do IAM provisiona novas funções para uso em suas contas da AWS. Você pode anexar as mesmas políticas que usa com seus perfis atuais do IAM aos novos perfis usados com o Centro de Identidade do IAM.

O Centro de Identidade do IAM não cria usuários e grupos do IAM. Ele tem seu próprio armazenamento de identidade criado especificamente para armazenar as informações do usuário. Ao usar um provedor de identidade externo, o Centro de Identidade mantém uma cópia sincronizada dos atributos do usuário e da associação ao grupo, mas nenhum material de autenticação, como senhas ou dispositivos de MFA. Seu provedor de identidade externo continua sendo a fonte confiável das informações e atributos do usuário.

Sim. Se você usar o Diretório universal da Okta, o Microsoft Entra ID (anteriormente Azure AD), o OneLogin ou o PingFederate, poderá usar o SCIM para sincronizar automaticamente as informações de usuário e grupo de seu IdP para o Centro de identidade do IAM. Consulte o Guia do usuário do Centro de Identidade do IAM para saber mais.

É possível conectar o IAM Identity Center ao seu Active Directory (AD) on-premises ou a um diretório do AWS Managed Microsoft AD usando o AWS Directory Service. Consulte o Guia do usuário do Centro de Identidade do IAM para saber mais.

Você tem duas opções para conectar o Active Directory hospedado on-premises ao IAM Identity Center: (1) usar o AD Connector ou (2) usar a relação de confiança do AWS Managed Microsoft AD. O AD Connector simplesmente conecta o Active Directory no local à AWS. O AD Connector é um gateway de diretório com o qual é possível redirecionar solicitações para o Microsoft Active Directory no local sem armazenar em cache quaisquer informações na nuvem. Para conectar diretórios on-premises usando o AD Connector, consulte o Guia de administração do AWS Directory Service. O AWS Managed Microsoft AD facilita a configuração e a execução do Microsoft Active Directory na AWS. Ele pode ser usado para configurar uma relação de confiança de floresta entre seu diretório on-premises e o AWS Managed Microsoft AD. Para configurar uma relação de confiança, consulte o Guia de administração do AWS Directory Service.

O Amazon Cognito é um serviço que ajuda você a gerenciar identidades para aplicações direcionadas a clientes; não é uma origem de identidade compatível com o Centro de Identidade do IAM. Você pode criar e gerenciar identidades da sua força de trabalho no Centro de identidade do IAM ou na sua origem de identidade externa, incluindo o Microsoft Active Directory, o Diretório universal da Okta, o Microsoft Entra ID (anteriormente Azure AD) ou outro IdP compatível.

Sim, é possível usar o IAM Identity Center para controlar o acesso ao Console de gerenciamento da AWS e à CLI v2. O IAM Identity Center permite que seus usuários acessem a CLI e o Console de gerenciamento da AWS por meio de logon único. O aplicativo AWS Mobile Console também oferece suporte ao IAM Identity Center, para que você tenha uma experiência consistente de login nas interfaces de navegador, dispositivos móveis e linha de comando.

É possível conectar as seguintes aplicações ao IAM Identity Center:

Aplicações integradas ao Centro de Identidade do IAM: aplicações integradas ao Centro de Identidade do IAM, como o SageMaker Studio e o IoT SiteWise, usam o Centro de Identidade do IAM para autenticação e trabalho com as identidades que você tiver no Centro de Identidade do IAM. Não é necessária qualquer configuração adicional para sincronizar identidades com essas aplicações ou para configurar federações a elas separadamente.

Aplicações SAML pré-integradas: o IAM Identity Center é fornecido pre-integrado com as aplicações empresariais mais usadas. Para uma lista abrangente, consulte o console do IAM Identity Center.

Aplicações SAML personalizados: o IAM Identity Center oferece suporte a aplicações que aceitam a federação de identidades com o SAML 2.0. É possível habilitar o IAM Identity Center para oferecer suporte a essas aplicações usando o assistente personalizado das aplicações.

Acesso de logon único para contas da AWS

Adicione qualquer conta da AWS gerenciada usando o AWS Organizations para o Centro de Identidade do IAM. Você precisa permitir que todos os atributos em suas organizações gerenciem o logon único de suas contas.

Escolha as contas dentro da organização ou filtre as contas por UO.

O principal uso da propagação de identidade confiável é permitir que aplicações de business intelligence (BI) consultem os serviços de análise da AWS, como o Amazon Redshift ou o Amazon Quicksight, para obter os dados exigidos pelos usuários corporativos com um único login por meio do provedor de identidade existente do cliente, mantendo o conhecimento da identidade do usuário. O recurso oferece suporte a diferentes tipos de aplicações de BI comumente usadas e usa mecanismos diferentes para propagar a identidade do usuário entre os serviços.

Ao conceder acesso aos seus usuários, é possível limitar as permissões dos usuários escolhendo um conjunto de permissões. Os conjuntos de permissão são uma coleção de permissões que você pode criar no IAM Identity Center, modelando-as com base nas políticas gerenciadas pela AWS para funções de trabalho ou quaisquer políticas gerenciadas pela AWS. As políticas gerenciadas pela AWS para funções de trabalho foram desenvolvidas para ficarem alinhadas da forma mais próxima possível às funções de trabalho no setor de TI. Se for necessário, também será possível personalizar totalmente o conjunto de permissões a fim de atender aos seus requisitos de segurança. O IAM Identity Center aplica automaticamente essas permissões às contas selecionadas. À medida que você altera os conjuntos de permissão, o IAM Identity Center permite que você aplique as alterações às contas relevantes. Quando seus usuários acessam as contas por meio do portal de acesso da AWS, essas permissões restringem o que eles podem fazer nessas contas. Também é possível conceder vários conjuntos de permissão aos seus usuários. Ao acessarem a conta por meio do portal do usuário, eles podem escolher qual conjunto de permissões desejam aceitar para essa sessão.

O Centro de Identidade do IAM fornece suporte a APIs e ao AWS CloudFormation para automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada, para fins de auditoria e governança.

Para implementar o ABAC, você pode selecionar os atributos no armazenamento de identidades do Centro de identidade do IAM para os usuários do Centro de identidade do IAM e usuários sincronizados do Microsoft AD ou IdPs externos do SAML 2.0, inclusive Diretório universal da Okta, Microsoft Entra ID (anteriormente Azure AD), OneLogin ou PingFederate. Ao usar um IdP como sua fonte de identidade, é possível enviar opcionalmente os atributos como parte de uma declaração do SAML 2.0.

Você pode obter credenciais da AWS CLI para quaisquer contas e permissões de usuário da AWS atribuídas a você pelo administrador do Centro de Identidade do IAM. Essas credenciais da ILC podem ser usadas para acesso programático à conta da AWS.

As credenciais da AWS CLI obtidas pelo portal de usuários do Centro de Identidade do IAM são válidas por 60 minutos. Você pode obter um novo conjunto de credenciais quantas vezes quiser.

Acesso por logon único a aplicações empresariais

No console do IAM Identity Center, navegue até o painel de aplicações, escolha Configurar nova aplicação e escolha uma aplicação na lista de aplicações de nuvem pré-integradas ao IAM Identity Center. Siga as instruções na tela para configurar a aplicação. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais deseja fornecer acesso ao aplicativo e Escolher Atribuir Acesso para completar o processo.

Sim. Se a aplicação for compatível com SAML 2.0, você poderá configurá-la como uma aplicação SAML 2.0 personalizado. No console do IAM Identity Center, navegue até o painel de aplicações, escolha Configurar nova aplicação e escolha a aplicação SAML 2.0 Personalizada. Siga as instruções para configurar a aplicação. Agora, seu aplicativo está configurado, e você pode atribuir acesso a ele. Escolha os grupos ou usuários para os quais você quer fornecer acesso ao aplicativo, e escolha Atribuir Acesso para completar o processo.

Não. O Centro de Identidade do IAM só é compatível com aplicações com base em SAML 2.0.

Não. O IAM Identity Center é compatível ao logon único para aplicativos empresariais exclusivamente por meio de navegadores da web.

Diversos

O IAM Identity Center armazenará dados sobre quais contas e aplicações de nuvem da AWS foram atribuídos a quais usuários e grupos e, também, quais permissões foram concedidas para acesso às contas da AWS. O IAM Identity Center também criará e gerenciará funções do IAM em contas individuais da AWS para cada conjunto de permissões para o qual você concede acesso aos seus usuários.

Com o IAM Identity Center, é possível habilitar recursos de autenticação forte baseada em padrões para todos os usuários em todas as fontes de identidade. Se você usar um IdP SAML 2.0 compatível como sua fonte de identidade, poderá habilitar os recursos de autenticação multifator do seu provedor. Ao usar o IAM Identity Center ou o Active Directory como sua fonte de identidade, o IAM Identity Center suporta a especificação Web Authentication para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações corporativas com as chaves de segurança habilitadas para FIDO, como YubiKey, e autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar TOTPs (senhas exclusivas) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy.

Também pode usar sua configuração MFA RADIUS (Remote Authentication Dial-In User Service) existente com IAM Identity Center e AWS Directory Services para autenticar seus usuários como uma forma secundária de verificação. Para saber mais sobre como configurar o MFA com o Centro de Identidade do IAM, visite o Guia do usuário do Centro de Identidade do IAM.

Sim. Para as identidades no armazenamento de identidades do IAM Identity Center e no Active Directory, o IAM Identity Center é compatível com a especificação Web Authentication (WebAuthn) para ajudar a proteger o acesso do usuário às contas da AWS e às aplicações corporativas com as chaves de segurança habilitadas para FIDO, como YubiKey, e autenticadores biométricos incorporados, como Touch ID nos Apple MacBooks e reconhecimento facial nos PCs. Você também pode habilitar TOTPs (senhas exclusivas) usando aplicações de autenticação, como Google Authenticator ou Twilio Authy.

Os funcionários podem começar a usar o IAM Identity Center acessando o portal de usuário do IAM Identity Center gerado quando você configura a identidade da sua origem no IAM Identity Center. Se você gerenciar usuários no IAM Identity Center, seus funcionários poderão usar seus endereços de e-mail e senhas configurados no IAM Identity Center para entrar no portal do usuário. Se você conectar o Centro de Identidade do IAM a um Microsoft Active Directory ou a um provedor de identidade SAML 2.0, seus funcionários poderão acessar o portal do usuário com suas credenciais corporativas existentes e, em seguida, ver as contas e aplicações atribuídas a eles. Para acessar uma conta ou aplicação, os funcionários devem escolher o ícone associado no portal de acesso.

Sim. O Centro de Identidade do IAM fornece APIs de atribuição de conta para ajudá-lo a automatizar o gerenciamento de permissões em ambientes com várias contas e recuperar as permissões de forma programada para fins de auditoria e governança.