Recursos do Centro de Identidade do AWS IAM

O IAM Identity Center utiliza as funções e as políticas do AWS Identity and Access Management (IAM) para ajudá-lo a gerenciar o acesso de modo central a todas as contas AWS em sua empresa AWS. O IAM Identity Center usa conjuntos de permissões, que são coleções de uma ou mais políticas do IAM. Em seguida, você atribui conjuntos de permissões para definir o acesso para seus usuários/grupos. Com base nessas atribuições, o serviço cria um perfil do IAM controlado pelo IAM Identity Center e anexa as políticas especificadas no conjunto de permissões a essas funções em cada conta atribuída. Nenhuma configuração adicional é necessária para as contas individuais.  

O Centro de Identidade do IAM oferece acesso temporário elevado por meio de uma gama de opções de integração de parceiros. A AWS confirmou que você pode usar o acesso seguro à nuvem da CyberArk, o Tenable Cloud Security e as solicitações de acesso da Okta para ajudar a lidar com uma série de cenários temporários de acesso elevado, incluindo operações confidenciais que exigem auditoria total, ambientes multinuvem com direitos e necessidades de auditoria complexos e organizações que usam várias fontes de identidade e integrações de aplicações. Seu usuário da força de trabalho que não tem permissões permanentes para realizar operações confidenciais, como alterar a configuração de um recurso de alto valor em um ambiente de produção, pode solicitar acesso, receber aprovação e realizar a operação durante um período especificado. Além disso, seus auditores podem ver um log de ações e aprovações na solução do parceiro.

No console do IAM Identity Center, use atribuições de aplicações para fornecer acesso de logon único a muitas aplicações de negócios SAML 2.0, incluindo Salesforce, Box e Microsoft 365. Você pode configurar facilmente o acesso por logon único a essas aplicações, seguindo as instruções passo a passo contidas no IAM Identity Center. Ele orientará você em relação à entrada dos URLs, dos certificados e dos metadados exigidos. Para obter uma lista completa de aplicações de negócios pré-integradas ao Centro de Identidade do IAM, consulte as aplicações em nuvem do Centro de Identidade do IAM.

A propagação de identidade confiável é baseada na Framework de Autorização OAuth 2.0, que permite que as aplicações acessem dados e outros recursos em nome de um usuário específico, sem compartilhar as credenciais desse usuário. Esse atributo do Centro de Identidade do IAM simplifica o gerenciamento de acesso a dados para usuários, a auditoria e melhora a experiência de login para usuários de análise em várias aplicações de análise da AWS. Para começar, o proprietário da aplicação, a fonte de identidade e o administrador de dados conectam a aplicação ao serviço e começam a gerenciar o acesso com base em usuários e grupos. Os administradores de recursos podem, então, configurar e gerenciar o acesso aos recursos de dados nos aplicativos usando identidades existentes e associações de grupos a partir de sua fonte de identidade. As equipes de auditoria e segurança podem rastrear o acesso aos recursos de dados até cada usuário. Os analistas de dados podem acessar facilmente seus dados atribuídos em todos os serviços de análise da AWS (Amazon Redshift, Amazon Quicksight, Amazon S3, Amazon EMR e AWS LakeFormation) usando uma experiência familiar de login único. Saiba mais sobre a propagação de identidade confiável. 

O IAM Identity Center facilita criar e usar permissões refinadas para sua força de trabalho com base nos atributos do usuário definidos no armazenamento de identidades do IAM Identity Center. O IAM Identity Center permite selecionar vários atributos, como central de custos, cargo ou local, e usá-los para o ABAC (controle de acesso por atributo) para simplificar e centralizar a administração do acesso. Você pode definir as permissões uma vez para toda a empresa AWS, então conceder, revogar ou modificar o acesso AWS apenas mudando os atributos em sua fonte de identidade.

Saiba mais sobre o ABAC »

O IAM Identity Center é compatível com acesso de API e administração centralizados diretamente de uma conta de administrador delegada no AWS Organizations para todas as contas-membro em sua organização. Isso significa que você pode designar uma conta em sua organização que poderá ser usada para administrar centralmente todas as contas-membro. Com a administração delegada, é possível aderir às práticas recomendadas reduzindo a necessidade de uso da sua conta de gerenciamento.

O IAM Identity Center comporta padrões de segurança e requisitos de conformidade, incluindo suporte para Payment Card Industry - Data Security Standard (PCI DSS – Padrão de segurança de dados para o setor de cartões de pagamento), International Organization for Standardization (ISO), System and Organization Controls (SOC – Controles de sistemas e organizações) 1, 2 e 3, Esquema Nacional de Seguridad (ENS) Elevado, os requisitos de relatórios Tipo 2 da International Standard on Assurance Engagements (ISAE – Norma Internacional de Compromissos de seguros) 3000 da Financial Market Supervisory Authority (FINMA – Autoridade de Supervisão do Mercado Financeiro) e Multi-Tier Cloud Security (MTCS – Segurança em nuvem de várias camadas). O serviço continua avaliado pelo Information Security Registered Assessors Program (IRAP – Programa de avaliadores de segurança registrados) no nível PROTECTED.

O Centro de Identidade do IAM pode ser implantado como uma instância da organização ou como uma instância de conta. Uma instância organizacional do Centro de Identidade do IAM é implantada na conta de gerenciamento do AWS Organizations. É a melhor prática e a abordagem recomendada para autenticar e autorizar sua força de trabalho. É um ponto de controle de acesso único e central para contas e aplicações da AWS em um ambiente de produção com várias contas. Uma instância de conta do Centro de Identidade do IAM é uma implantação de escopo limitado que pode ser feita por usuários corporativos com o objetivo de avaliar rapidamente uma aplicação da AWS compatível (por exemplo, Amazon Redshift) e disponibilizá-la para um conjunto restrito de usuários da aplicação. O administrador de uma instância da organização pode controlar a capacidade dos usuários corporativos de criar instâncias de conta por meio de políticas de controle de serviços (SCPs), um atributo do AWS Organizations.

Você pode criar integrações de autenticação única para aplicações habilitadas para SAML 2.0 usando o assistente de configuração de aplicações do Centro de Identidade do IAM. O assistente de configuração de atribuições de aplicações ajuda você a selecionar e formatar as informações para enviar aplicações para a habilitação do acesso por autenticação única. Por exemplo, você pode criar um atributo de SAML para nome de usuário e especificar o formato do atributo com base no endereço de email do perfil do AD de um usuário.

Todas as atividades de acesso administrativo e multiconta são registradas no AWS CloudTrail, dando a você visibilidade para auditar a atividade do Centro de Identidade do IAM de maneira centralizada. Por meio do CloudTrail, você pode ver atividades como tentativas de entrada, atribuições de aplicações e mudanças de integração de diretório. Por exemplo, você pode ver as aplicações que um usuário acessou durante certo período ou quando um usuário recebeu acesso a uma aplicação específica.