Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Automatisch bereitgestellte Ressourcen prüfen und abgleichen
Mit SCIM können Sie automatisch Benutzer, Gruppen und Gruppenmitgliedschaften aus Ihrer Identitätsquelle für IAM Identity Center bereitstellen. Dieses Handbuch hilft Ihnen dabei, diese Ressourcen zu überprüfen und abzugleichen, um eine korrekte Synchronisation zu gewährleisten.
Warum sollten Sie Ihre Ressourcen prüfen?
Regelmäßige Prüfungen tragen dazu bei, dass Ihre Zugriffskontrollen korrekt bleiben und Ihr Identity Provider (IdP) ordnungsgemäß mit IAM Identity Center synchronisiert bleibt. Dies ist besonders wichtig für die Einhaltung von Sicherheitsbestimmungen und das Zugriffsmanagement.
Ressourcen, die Sie prüfen können:
Benutzer
Gruppen
Gruppenmitgliedschaften
Sie können AWS Identity Store APIs- oder CLI-Befehle verwenden, um die Prüfung und den Abgleich durchzuführen. In den folgenden Beispielen AWS CLI werden Befehle verwendet. API-Alternativen finden Sie in den entsprechenden Vorgängen in der Identity Store-API-Referenz.
Wie prüft man Ressourcen
Im Folgenden finden Sie Beispiele dafür, wie Sie diese Ressourcen mithilfe von AWS CLI Befehlen prüfen können.
Stellen Sie vor Beginn sicher, dass Sie über Folgendes verfügen:
Administratorzugriff auf IAM Identity Center.
AWS CLI installiert und konfiguriert. Weitere Informationen finden Sie im Benutzerhandbuch für die AWS Befehlszeilenschnittstelle.
Erforderliche IAM-Berechtigungen für Identity Store-Befehle.
Schritt 1: Aktuelle Ressourcen auflisten
Sie können Ihre aktuellen Ressourcen mit dem anzeigen AWS CLI.
Anmerkung
Wenn Sie den verwenden AWS CLI, erfolgt die Seitennummerierung automatisch, sofern Sie nichts anderes angeben--no-paginate. Wenn Sie die API direkt aufrufen (z. B. mit einem SDK oder einem benutzerdefinierten Skript), behandeln Sie das NextToken in der Antwort. Dadurch wird sichergestellt, dass Sie alle Ergebnisse auf mehreren Seiten abrufen.
Beispiel für Benutzer
aws identitystore list-users \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
Beispiel für Gruppen
aws identitystore list-groups \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
Beispiel für Gruppenmitgliedschaften
aws identitystore list-group-memberships \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID--group-idGROUP_ID
Schritt 2: Mit Ihrer Identitätsquelle vergleichen
Vergleichen Sie die aufgelisteten Ressourcen mit Ihrer Identitätsquelle, um etwaige Unstimmigkeiten zu ermitteln, z. B.:
-
Fehlende Ressourcen, die in IAM Identity Center bereitgestellt werden sollten.
-
Zusätzliche Ressourcen, die aus IAM Identity Center entfernt werden sollten.
Beispiel für Benutzer
# Create missing users aws identitystore create-user \ --identity-store-idIDENTITY_STORE_ID\ --user-nameUSERNAME\ --display-nameDISPLAY_NAME\ --name GivenName=FIRST_NAME,FamilyName=LAST_NAME\ --emails Value=IDENTITY_STORE_ID\ --user-idUSER_ID
Beispiel für Gruppen
# Create missing groups aws identitystore create-group \ --identity-store-idIDENTITY_STORE_ID\[group attributes]# Delete extra groups aws identitystore delete-group \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID
Beispiel für Gruppenmitgliedschaften
# Add missing members aws identitystore create-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID\ --member-id '{"UserId": "USER_ID"}' # Remove extra members aws identitystore delete-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --membership-idMEMBERSHIP_ID
Überlegungen
Befehle unterliegen Dienstkontingenten und API-Drosselung.
Wenn Sie beim Abgleich viele Unterschiede feststellen, nehmen Sie kleine, schrittweise Änderungen am AWS Identity Store vor. Auf diese Weise können Sie Fehler vermeiden, die mehrere Benutzer betreffen.
-
Die SCIM-Synchronisierung kann Ihre manuellen Änderungen außer Kraft setzen. Überprüfe deine IdP-Einstellungen, um dieses Verhalten zu verstehen.
