Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Auditoría y conciliación de recursos aprovisionados automáticamente
SCIM le permite aprovisionar usuarios, grupos y membresías grupales de forma automática desde su origen de identidad a IAM Identity Center. Esta guía le ayuda a verificar y conciliar estos recursos para mantener una sincronización precisa.
¿Por qué auditar sus recursos?
Las auditorías periódicas ayudan a garantizar que sus controles de acceso sigan siendo precisos y que su proveedor de identidades (IdP) permanezca correctamente sincronizado con IAM Identity Center. Esto es particularmente importante para el cumplimiento de las normas de seguridad y la administración de los accesos.
Recursos que se pueden auditar:
Users
Groups
Membresías grupales
Puede usar comandos CLI APIso AWS Identity Store para realizar la auditoría y la reconciliación. En los ejemplos siguientes se utilizan comandos de AWS CLI . Para obtener información sobre las alternativas de API, consulte las operaciones correspondientes en la referencia de Identity Store API.
¿Cómo auditar los recursos?
A continuación, se muestran ejemplos de cómo auditar estos recursos mediante AWS CLI comandos.
Antes de comenzar, asegúrese de que dispone de lo siguiente:
Acceso de administrador a IAM Identity Center.
AWS CLI instalado y configurado. Para obtener más información, consulte la Guía del usuario de la interfaz de línea de comandos de AWS .
Permisos de IAM necesarios para los comandos del almacén de identidades.
Paso 1: enumeración de los recursos actuales
Puede ver sus recursos actuales mediante AWS CLI.
nota
Al utilizar el AWS CLI, la paginación se gestiona automáticamente a menos que lo especifique--no-paginate. Si llama a la API directamente (por ejemplo, con un SDK o un script personalizado), gestione NextToken en la respuesta. Esto garantiza que recupere todos los resultados en varias páginas.
ejemplo para usuarios
aws identitystore list-users \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
ejemplo para grupos
aws identitystore list-groups \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
ejemplo para membresías grupales
aws identitystore list-group-memberships \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID--group-idGROUP_ID
Paso 2: comparar con su origen de identidad
Compare los recursos de la lista con su origen de identidad para identificar cualquier discrepancia, como las siguientes:
-
Falta de recursos que deberían aprovisionarse en IAM Identity Center.
-
Recursos adicionales que deberían eliminarse de IAM Identity Center.
ejemplo para usuarios
# Create missing users aws identitystore create-user \ --identity-store-idIDENTITY_STORE_ID\ --user-nameUSERNAME\ --display-nameDISPLAY_NAME\ --name GivenName=FIRST_NAME,FamilyName=LAST_NAME\ --emails Value=IDENTITY_STORE_ID\ --user-idUSER_ID
ejemplo para grupos
# Create missing groups aws identitystore create-group \ --identity-store-idIDENTITY_STORE_ID\[group attributes]# Delete extra groups aws identitystore delete-group \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID
ejemplo para membresías grupales
# Add missing members aws identitystore create-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID\ --member-id '{"UserId": "USER_ID"}' # Remove extra members aws identitystore delete-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --membership-idMEMBERSHIP_ID
Consideraciones
Los comandos están sujetos a las cuotas de servicio y a la limitación de las API.
Si encuentra muchas diferencias durante la reconciliación, realice cambios pequeños y graduales en AWS Identity Store. Esto le ayuda a evitar errores que afecten a varios usuarios.
-
La sincronización con SCIM puede anular los cambios manuales. Compruebe la configuración de su IdP para comprender este comportamiento.
