AWS IAM Identity Center concetti per il AWS CLI - AWS Command Line Interface
Cos'è IAM Identity CenterTerminiCome funziona IAM Identity CenterRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

AWS IAM Identity Center concetti per il AWS CLI

Questo argomento descrive i concetti chiave di AWS IAM Identity Center (IAM Identity Center). IAM Identity Center è un servizio IAM basato sul cloud che semplifica la gestione degli accessi degli utenti su più Account AWS applicazioni e strumenti integrandosi con gli identity provider (IdP) esistenti. SDKs Consente il single sign-on sicuro, la gestione delle autorizzazioni e il controllo attraverso un portale utenti centralizzato, semplificando la governance delle identità e degli accessi per le organizzazioni.

Cos'è IAM Identity Center

IAM Identity Center è un servizio di gestione delle identità e degli accessi (IAM) basato sul cloud che consente di gestire centralmente l'accesso a più applicazioni Account AWS aziendali.

Fornisce un portale utenti in cui gli utenti autorizzati possono accedere alle applicazioni per Account AWS le quali hanno ottenuto l'autorizzazione, utilizzando le credenziali aziendali esistenti. Ciò consente alle organizzazioni di applicare politiche di sicurezza coerenti e semplificare la gestione degli accessi degli utenti.

Indipendentemente dall'IdP utilizzato, IAM Identity Center elimina queste distinzioni. Ad esempio, puoi connettere Microsoft Azure AD come descritto nell'articolo del blog The Next Evolution in IAM Identity Center.

Nota

Per informazioni sull'utilizzo dell'autenticazione del portatore, che non utilizza l'ID e il ruolo dell'account, consulta Configurazione per l'utilizzo di AWS CLI with CodeCatalyst nella Amazon CodeCatalyst User Guide.

Termini

I termini comuni per l'utilizzo di IAM Identity Center sono i seguenti:

Provider di identità

Un sistema di gestione delle identità come IAM Identity Center, Microsoft Azure AD, Okta o il tuo servizio di directory aziendale.

AWS IAM Identity Center

IAM Identity Center è il servizio IdP AWS di proprietà. Precedentemente noti come AWS Single Sign-On, SDKs gli strumenti mantengono i namespace delle sso API per garantire la compatibilità con le versioni precedenti. Per ulteriori informazioni, consulta IAM Identity Center rename nella Guida per l'utente.AWS IAM Identity Center

Portale di accesso AWS URL, URL iniziale SSO, URL di avvio

L'URL unico dell'IAM Identity Center della tua organizzazione per accedere ai tuoi servizi e risorse autorizzati Account AWS.

URL dell'emittente

L'URL univoco dell'emittente di IAM Identity Center della tua organizzazione per l'accesso programmatico ai tuoi servizi e risorse autorizzati Account AWS. A partire dalla versione 2.22.0 dell'URL dell' AWS CLI emittente può essere utilizzato in modo intercambiabile con l'URL iniziale.

Federazione

Il processo di creazione di un rapporto di fiducia tra IAM Identity Center e un provider di identità per abilitare il Single Sign-On (SSO).

Account AWS

Il tramite il Account AWS quale fornisci l'accesso agli utenti. AWS IAM Identity Center

Set di autorizzazioni, AWS credenziali, credenziali sigv4

Raccolte predefinite di autorizzazioni che possono essere assegnate a utenti o gruppi a cui concedere l'accesso. Servizi AWS

Ambiti di registrazione, ambiti di accesso, ambiti

Gli ambiti sono un meccanismo della OAuth versione 2.0 per limitare l'accesso di un'applicazione all'account di un utente. Un'applicazione può richiedere uno o più ambiti e il token di accesso rilasciato all'applicazione è limitato agli ambiti concessi. Per informazioni sugli ambiti, consulta Access scopes nella Guida per l'utente di IAM Identity Center.

Token, token di aggiornamento, token di accesso

I token sono credenziali di sicurezza temporanee che ti vengono rilasciate al momento dell'autenticazione. Questi token contengono informazioni sulla tua identità e sulle autorizzazioni che ti sono state concesse.

Quando accedi a una AWS risorsa o a un'applicazione tramite il portale IAM Identity Center, il token viene sottoposto all'autenticazione e AWS all'autorizzazione. Ciò consente di AWS verificare la tua identità e assicurarti di disporre delle autorizzazioni necessarie per eseguire le azioni richieste.

Il token di autenticazione viene memorizzato nella cache su disco nella ~/.aws/sso/cache directory con un nome di file JSON basato sul nome della sessione.

Sessione

Una sessione di IAM Identity Center si riferisce al periodo di tempo in cui un utente è autenticato e autorizzato ad accedere a risorse o applicazioni. AWS Quando un utente accede al portale IAM Identity Center, viene stabilita una sessione e il token dell'utente è valido per una durata specificata. Per ulteriori informazioni sull'impostazione della durata delle sessioni, consulta Impostare la durata della sessione nella Guida per l'AWS IAM Identity Center utente.

Durante la sessione, puoi navigare tra diversi AWS account e applicazioni senza dover effettuare nuovamente l'autenticazione, purché la sessione rimanga attiva. Quando la sessione scade, accedi nuovamente per rinnovare l'accesso.

Le sessioni di IAM Identity Center aiutano a fornire un'esperienza utente senza interruzioni, rafforzando al contempo le migliori pratiche di sicurezza limitando la validità delle credenziali di accesso degli utenti.

Concessione del codice di autorizzazione con PKCE, PKCE, Proof Key for Code Exchange

A partire dalla versione 2.22.0, Proof Key for Code Exchange (PKCE) è un flusso di autorizzazione all'autenticazione OAuth 2.0 per dispositivi dotati di browser. PKCE è un modo semplice e sicuro per autenticarsi e ottenere il consenso all'accesso alle AWS risorse da desktop e dispositivi mobili con browser web. Questo è il comportamento di autorizzazione predefinito. Per ulteriori informazioni su PKCE, vedere Authorization Code Grant with PKCE nella Guida per l'AWS IAM Identity Center utente.

Concessione dell'autorizzazione del dispositivo

Un flusso di autorizzazione all'autenticazione OAuth 2.0 per dispositivi con o senza browser Web. Per ulteriori informazioni sull'impostazione della durata delle sessioni, consulta Device Authorization Grant nella Guida per l'AWS IAM Identity Center utente.

Come funziona IAM Identity Center

IAM Identity Center si integra con il provider di identità della tua organizzazione, come IAM Identity Center, Microsoft Azure AD o Okta. Gli utenti si autenticano con questo provider di identità e IAM Identity Center associa quindi tali identità alle autorizzazioni e agli accessi appropriati all'interno dell'ambiente. AWS

Il seguente flusso di lavoro di IAM Identity Center presuppone che tu abbia già configurato il tuo IAM Identity Center AWS CLI per utilizzare IAM Identity Center:

  1. Nel tuo terminale preferito, esegui il aws sso login comando.

  2. Accedi al tuo Portale di accesso AWS per iniziare una nuova sessione.

    • Quando inizi una nuova sessione, ricevi un token di aggiornamento e un token di accesso memorizzati nella cache.

    • Se hai già una sessione attiva, la sessione esistente viene riutilizzata e scade quando scade la sessione esistente.

  3. In base al profilo che hai impostato nel tuo config file, IAM Identity Center presuppone i set di autorizzazioni appropriati, garantendo l'accesso alle applicazioni pertinenti. Account AWS

  4. Gli AWS CLI SDKs, and Tools utilizzano il ruolo IAM che assumi per effettuare chiamate, ad Servizi AWS esempio la creazione di bucket Amazon S3, fino alla scadenza della sessione.

  5. Il token di accesso di IAM Identity Center viene controllato ogni ora e viene aggiornato automaticamente utilizzando il token di aggiornamento.

    • Se il token di accesso è scaduto, l'SDK o lo strumento utilizza il token di aggiornamento per ottenere un nuovo token di accesso. Le durate delle sessioni di questi token vengono quindi confrontate e, se il token di aggiornamento non è scaduto, IAM Identity Center fornisce un nuovo token di accesso.

    • Se il token di aggiornamento è scaduto, non vengono forniti nuovi token di accesso e la sessione è terminata.

  6. Le sessioni terminano dopo la scadenza dei token di aggiornamento o quando ci si disconnette manualmente utilizzando il comando. aws sso logout Le credenziali memorizzate nella cache vengono rimosse. Per continuare ad accedere ai servizi utilizzando IAM Identity Center, è necessario avviare una nuova sessione utilizzando il aws sso login comando.

Risorse aggiuntive

Le risorse aggiuntive sono le seguenti.