Identity account 身份账户

AWS IAM Identity Center 配置指南

前提条件

  1. AWS Organizations 必须处于启用状态

    • Organizations必须启用所有功能(ALL FEATURES)模式

  2. 管理账户权限要求

    • 需要具有管理员权限的IAM用户或root用户

    • 确保具有创建和管理IAM Identity Center所需的权限

  3. 准备好了一个单独的成员账户作为IAM Identity Center的管理账户

    • 确保管理账户与IAM Identity Center处于同一组织中

    • 如果运维团队管理权限,则新创建一个身份管理账户,如果是安全团队管理权限,则可以使用安全账户

  4. 使用组织级实例,而不是账户级实例!!!

开启步骤

  1. 登录AWS管理控制台

    • 使用管理账户(Management Account)登录

    • 确保选择正确的区域(建议选择离您最近的区域)

  2. 启用IAM Identity Center

    • 导航至IAM Identity Center控制台

    • 点击"Enable IAM Identity Center"

    • 系统将自动在您的组织中创建服务相关角色

  3. 配置身份源

    • 选择身份源类型:

      • AWS内置身份源(默认)

      • Active Directory

      • 外部身份提供商

    • 建议初期使用AWS内置身份源,后期可根据需求更改

身份源类型
适用场景
优势
注意事项

AWS内置身份源(默认)

- 小型团队或初创公司 - 仅需要AWS资源访问管理 - 快速部署场景

- 零配置,开箱即用 - 完全集成AWS服务 - 无额外费用 - 管理简单

- 仅限于AWS环境使用 - 功能相对简单 - 不支持与现有身份系统集成 - 可以与APP集成

Active Directory

- 企业内部已有AD环境 - 需要统一身份管理 - 大型企业环境

- 与现有AD无缝集成 - 支持本地和云端混合身份 - 强大的用户管理功能 - 支持组策略

- 需要额外配置和维护 - 可能产生额外费用 - 需要维护AD连接器 - 需要网络连接

外部身份提供商

- 多云环境 - 需要SSO集成 - 使用第三方IdP的企业

- 支持多种身份协议 - 灵活的身份federation - 可与现有IdP集成 - 支持跨平台SSO

- 配置较复杂 - 需要IdP专业知识 - 可能需要第三方许可证 - 需要管理SAML/OIDC配置

选择建议:

  1. 选择AWS内置身份源的情况:

    • 新建AWS环境,没有现有身份系统

    • 需要快速部署和简单管理

    • 团队规模较小(通常小于100人)

    • 主要使用AWS服务

  2. 选择Active Directory的情况:

    • 已有Microsoft AD环境

    • 需要与现有Windows域集成

    • 需要统一的用户目录服务

    • 企业级安全和合规要求

  3. 选择外部身份提供商的情况:

    • 使用Okta、OneLogin等第三方IdP

    • 需要多云环境的统一身份管理

    • 有特殊的身份验证要求

    • 需要高级的SSO功能

权限配置(AWS内置身份源)

  1. 创建权限集(Permission Sets)

    • AWS管理的权限集

      • 常用预定义权限集:

        • AdministratorAccess:完全管理权限

        • PowerUserAccess:管理权限但不包含IAM/Organizations

        • ReadOnlyAccess:只读访问权限

        • SecurityAudit:安全审计权限

      • 使用场景建议:

        • 对于管理员:使用AdministratorAccess

        • 对于开发人员:使用PowerUserAccess

        • 对于审计人员:使用SecurityAudit

        • 对于只读用户:使用ReadOnlyAccess

    • 自定义权限集

      • 创建步骤:

        1. 在IAM Identity Center控制台选择"权限集"

        2. 点击"创建权限集"

        3. 选择"自定义权限集"

        4. 设置权限集名称和描述

        5. 选择会话持续时间(建议8/12小时,不容易打断日常的工作)

        6. 附加所需的IAM策略

      • 最佳实践:

        • 基于职责创建不同权限集

        • 遵循最小权限原则

        • 使用标签控制资源访问

        • 定期审查权限集

  2. 用户和组管理

    • 用户组创建

      • 常见用户组示例:

        • Administrators:管理员组

        • Developers:开发人员组

        • SecurityTeam:安全团队

        • ReadOnly:只读用户组

      • 组织建议:

        • 按职能划分组

        • 按项目划分组

        • 按环境划分组(如开发、测试、生产)

    • 用户管理

      • 用户创建步骤:

        1. 进入"用户"页面

        2. 点击"添加用户"

        3. 填写用户信息(邮箱、名字等)

        4. 选择密码设置方式

        5. 分配到相应用户组

      • 用户设置最佳实践:

        • 强制启用MFA

        • 设置强密码策略

        • 定期密码轮换

        • 及时禁用离职人员账号

  3. AWS账户分配

    • 账户分配策略

      • 环境隔离:

        • 开发环境账户

        • 测试环境账户

        • 生产环境账户

      • 权限映射:

        • 将权限集与用户组关联

        • 将关联关系应用到特定AWS账户

    • 分配步骤

      1. 进入"AWS账户"页面

      2. 选择目标AWS账户

      3. 选择用户/组

      4. 选择权限集

      5. 审查并完成分配

    • 权限分配矩阵示例:

      用户组
      权限集
      AWS账户

      Administrators

      AdministratorAccess

      所有账户

      Developers

      PowerUserAccess

      开发账户

      SecurityTeam

      SecurityAudit

      所有账户

      ReadOnly

      ReadOnlyAccess

      指定账户

  4. 权限管理最佳实践

    • 定期权限审计

    • 使用权限边界

    • 实施职责分离

    • 记录权限变更

    • 监控权限使用情况

    • 建立权限申请和审批流程

上一页Backup account 备份账户下一页Network account 网络账户

最后更新于