如何在 IAM 身份中心中使用 AWS 托管应用程序:启用 Amazon Q,而无需迁移现有的 IA
在不迁移现有 IAM 联邦流的情况下使用 AWS 托管应用程序与 IAM 身份中心结合:启用 Amazon Q
作者:Liam Wadman 2024年5月13日 发表在 AWS IAM 身份中心
关键要点
AWS IAM 身份中心 是为员工提供访问 AWS 账户的推荐方式。本文介绍如何在不迁移现有 IAM 联邦流的情况下启用 IAM 身份中心并使用 AWS 托管应用程序。Amazon Q Developer 是与 IAM 身份中心集成的多个 AWS 托管应用程序之一。通过配置 IAM 身份中心,您可以简化身份认证和权限管理。AWS IAM 身份中心 是为 workforce 提供访问 Amazon Web Services (AWS) 账户的推荐方式,并支持多种 AWS 托管应用程序,如 Amazon Q。随着更多 AWS 托管应用程序的发布,客户希望能在不迁移现有 IAM 联邦流的情况下使用 IAM 身份中心。
在这篇博客中,我将展示如何启用 IAM 身份中心并使用 AWS 托管应用程序如 Amazon Q,而无需将现有的 IAM 联邦流迁移到身份中心。虽然本帖的示例使用了 Amazon Q Developer,但相同的方法和指导也适用与 IAM 身份中心集成的 Amazon Q Business 及其他 AWS 托管应用程序。
AWS 托管应用程序与可信身份传播回顾
在 2023 年 reInvent 刚结束之际,AWS 推出了一项技术:可信身份传播,允许您在访问 AWS 服务时使用用户的身份和组。这使得直接为用户或组分配权限成为可能,而不是在 AWS 身份与访问管理( IAM) 中建模权限。这简化了权限管理。例如,使用可信身份传播,您可以直接授予用户和组对特定 Amazon Redshift 集群的访问权限,而不必在 IAM 中建模所有可能的唯一权限组合。当前,可信身份传播适用于 Redshift 和 Amazon 简单存储服务 (Amazon S3),未来还会有更多服务和功能推出。
在 2023 年,我们发布了 Amazon Q Developer,作为与 IAM 身份中心集成的 AWS 托管应用程序,现已普遍可用。当您在 Microsoft Visual Studio Code 等集成开发环境 (IDE) 中使用 Amazon Q Developer 时,身份中心用于登录 Amazon Q Developer。
Amazon Q Developer 是众多与 IAM 身份中心的 OAuth 20 功能集成的 AWS 托管应用程序之一,并且在您的 IDE 中访问 Q Developer 服务时不使用 IAM 凭证。AWS 托管应用程序和可信身份传播不需要使用身份中心的权限集功能,而是使用 OpenID Connect 来授予员工访问 AWS 应用程序和功能的权限。
IAM 身份中心仅用于 AWS 应用程序访问
在接下来的部分中,我们将使用 IAM 身份中心登录 Amazon Q Developer,作为我们所采用的 AWS 托管应用程序的示例。
前提条件
本文中的步骤要求您拥有 AWS 组织 的管理级别访问权限。有关部署 IAM 身份中心的具体 前提条件和注意事项,请参见 文档。步骤 1:启用 IAM 身份中心的组织实例
首先,您必须启用 IAM 身份中心的组织实例。虽然可以在没有 AWS 组织 的情况下使用 IAM 身份中心,但我们通常建议客户使用这种组织。
IAM 身份中心的文档提供了 启用 IAM 身份中心的组织实例 的步骤、前提条件和注意事项。这里我强调的一点是身份源。我们建议尽可能与外部身份提供者 (IdP) 集成,因为这能提供最大的灵活性,并利用现代身份平台的高级安全功能。
IAM 身份中心无额外费用。
注意: 在 2023 年末,AWS 推出了 账户实例 用于 IAM 身份中心。账户实例允许您在组织的成员账户中创建额外的身份中心实例。我们建议客户尽可能使用组织实例的 IAM 身份中心,以便集中管理身份和权限。当您想使用身份中心进行概念证明,或没有包含您希望在 AWS 上使用的所有身份的中央 IdP 或目录时,我们建议使用 AWS 托管应用程序与不同目录。
一元机场ink步骤 2:设置 IdP 并同步身份和组
启用 IAM 身份中心实例后,您需要配置该实例以与选择的 IdP 协作并同步身份和组。IAM 身份中心的文档中包含了如何与许多流行 IdP 一起执行此操作的 示例。
在您的身份源连接后,IAM 身份中心可以作为 AWS 托管应用程序的身份和认证的单一来源,桥接您的外部身份源和 AWS 托管应用程序。您无需为每个 AWS 应用程序与您的 IdP 之间创建独立关系,而是有一个统一的位置来管理用户权限。
步骤 3:设置 IAM 身份中心的委托管理
作为最佳实践,我们建议仅在绝对必要时访问 AWS 组织 的管理账户。IAM 身份中心支持 委托管理,这使您可以从组织的成员账户管理身份中心。
设置委托管理转到 AWS Management Console 并导航到 IAM 身份中心。在左侧导航窗格中,选择 设置。然后选择 管理 选项卡并选择 注册账户。从弹出的菜单中选择将用于 IAM 身份中心的委托管理的 AWS 账户。理想情况下,该成员账户仅用于管理 IAM 身份中心,并且只能由负责维护 IAM 身份中心的用户访问。步骤 4:配置 Amazon Q Developer
现在您已经使用目录中的用户和组设置了 IAM 身份中心,准备使用 IAM 身份中心配置 AWS 托管应用程序。从您组织的一个成员账户中,您现在可以启用 Amazon Q Developer。这可以是您组织中的任何成员账户,且不应是设置 IAM 身份中心的委托管理的账户,也不是管理账户。
注意: 如果您在与 SCIM 同步的外部 IdP 配置 IAM 身份中心后立即执行这一步,请注意,来自外部 IdP 的用户和组可能尚未同步到身份中心。身份中心在收到外部 IdP 的数据后即开始更新用户信息和组成员资格,完成同步所需的时间取决于要同步到身份中心的用户和组的数量。
启用 Amazon Q Developer打开 Amazon Q Developer 控制台。这将带您进入 Amazon Q Developer 的设置。选择 订阅 Amazon Q。您将进入 Amazon Q 控制台。选择 订阅 以订阅 Amazon Q Developer Pro。选择 订阅 后,您将被提示选择要注册 Amazon Q Developer 的用户和组。选择希望注册的用户和组,然后选择 分配。完成这些步骤后,Amazon Q Developer 作为 AWS 托管应用程序的设置即完成,您现在可以使用 Amazon Q Developer。无需在外部 IdP 或内部 Microsoft Active Directory 进行额外配置,也无需创建或同步额外的用户档案到 Amazon Q Developer。
注意 :使用 Amazon Q Developer 服务会产生费用。
步骤 5:在 IDE 中设置 Amazon Q Developer
现在 Amazon Q Developer 已经配置好,您授予访问权限的用户和组可以 在其支持的 IDE 中使用 Amazon Q Developer。
在 IDE 中,用户可以通过输入起始 URL 和 AWS 区域并选择 登录 来登录 Amazon Q Developer。图6显示了在 Visual Studio Code 中的样子。 Amazon Q 的 Visual Studio Code 扩展可以在 Visual Studio Code 内部下载。
选择 使用专业许可证 后,输入其身份中心的起始 URL 和区域,用户将被引导完成 IAM 身份中心的身份验证,并授予 Amazon Q Developer 应用程序使用 Amazon Q Developer 服务的权限。
成功完成后,用户将在其 IDE 中拥有 Amazon Q Developer 的所有功能。这一切都是在不将现有联合或 AWS 账户访问模式迁移到 IAM 身份中心的情况下实现的。
清理
如果您不希望继续使用 IAM 身份中心或 Amazon Q Developer,可以在各自控制台中删除 Amazon Q Developer 个人资料和身份中心实例。删除您的身份中心实例不会对未通过 IAM 身份中心进行的现有联合或 AWS 账户访问进行任何修改。
结论
在这篇文章中,我们讨论了一些 AWS 托管应用程序和与 IAM 身份中心集成的功能的最新重大发布,并讨论了您如何使用这些功能而无需将 AWS 账户管理迁移到权限集。我们还展示了如何使用 IAM 身份中心设置 Amazon Q Developer。虽然本文的示例使用了 Amazon Q Developer,但相同的方法和指导同样适用于与 IAM 身份中心集成的 Amazon Q Business 和其他 AWS 托管应用程序。
要进一步了解 IAM 身份中心的好处和用例,请 访问产品页面, 并要了解关于 Amazon Q Developer 的更多信息,请访问 Amazon Q Developer 产品页面。
如果您对本文有任何反馈,请在下面的 评论 部分提交评论。如果您对本文有任何疑问,请 联系 AWS 支持。
想获取更多 AWS 安全新闻吗?请在 X上关注我们。
Liam Wadman
Liam 是身份解决方案团队的高级解决方案架构师。除了在 AWS 上构建令人兴奋的解决方案或帮助客户外,他通常会在不列颠哥伦比亚省的山脉中骑山地自行车。Liam 指出,LIAM 中不能没有 IAM。
标签: AWS IAM 身份中心,IAM,IAM 身份中心,身份,安全性,安全博文