AWS IAM Identity Center 集中身份管理和登录流程大纲
IAM Identity Center(原 AWS SSO)是 AWS 推荐的多账户身份管理方案,统一管理用户和权限。
1. 启用 IAM Identity Center
- 在管理账户中操作。
- 登录 AWS 控制台,找到 IAM Identity Center 服务并启用。
- 选择部署区域(通常是离用户最近的区域)。
2. 配置身份源
- 在 IAM Identity Center 控制台中。
- 默认: 使用 IAM Identity Center 目录(直接在其中创建用户)。
- 可选: 集成外部身份提供商(如 Azure AD, Okta)或 Active Directory。
3. 创建用户和组(如果使用 IAM Identity Center 目录)
- 在 IAM Identity Center 控制台中。
- 创建用户: 设置用户名、邮箱,系统会发送一次性密码到用户邮箱。
- 创建组(可选): 将用户分组,方便权限管理。
4. 创建权限集
- 在 IAM Identity Center 控制台中。
- 权限集定义用户在 特定 AWS 账户 中能做什么(类似 IAM 策略集合)。
- 可选择:预定义权限集(如
AdministratorAccess
),或自定义权限集。
5. 分配用户/组到 AWS 账户
- 在 IAM Identity Center 控制台中。
- 选择要授权的 AWS 账户(子账号)。
- 将之前创建的 用户或组 分配给该账户。
- 选择要分配的 权限集。
6. 用户登录
- 用户通过 IAM Identity Center 控制台的**“AWS 访问门户 URL”** 登录。
- 输入统一的用户名和密码。
- 登录后,用户会看到被授权访问的账户列表及其对应的角色(权限集)。
- 点击角色即可进入对应 AWS 账户的控制台。
这个流程简化了多账户环境下的身份和访问管理,提高了安全性和操作效率。