Audit dan rekonsiliasi sumber daya yang disediakan secara otomatis - AWS IAM Identity Center
Mengapa mengaudit sumber daya Anda?Cara mengaudit sumber dayaPertimbangan-pertimbangan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Audit dan rekonsiliasi sumber daya yang disediakan secara otomatis

SCIM memungkinkan Anda untuk secara otomatis menyediakan pengguna, grup, dan keanggotaan grup dari sumber identitas Anda ke IAM Identity Center. Panduan ini membantu Anda memverifikasi dan mendamaikan sumber daya ini untuk mempertahankan sinkronisasi yang akurat.

Mengapa mengaudit sumber daya Anda?

Audit rutin membantu memastikan kontrol akses Anda tetap akurat dan penyedia identitas (IDP) Anda tetap disinkronkan dengan Pusat Identitas IAM dengan benar. Ini sangat penting untuk kepatuhan keamanan dan manajemen akses.

Sumber daya yang dapat Anda audit:

  • Pengguna

  • Grup

  • Keanggotaan grup

Anda dapat menggunakan perintah AWS Identity Store APIsatau CLI untuk melakukan audit dan rekonsiliasi. Contoh berikut menggunakan AWS CLI perintah. Untuk alternatif API, lihat operasi terkait dalam referensi Identity Store API.

Cara mengaudit sumber daya

Berikut adalah contoh cara mengaudit sumber daya ini menggunakan AWS CLI perintah.

Sebelum Anda mulai, pastikan Anda memiliki:

Langkah 1: Daftar sumber daya saat ini

Anda dapat melihat sumber daya Anda saat ini menggunakan AWS CLI.

catatan

Saat menggunakan AWS CLI, pagination ditangani secara otomatis kecuali Anda menentukan. --no-paginate Jika Anda memanggil API secara langsung (misalnya, dengan SDK atau skrip khusus), tangani NextToken respons tersebut. Ini memastikan Anda mengambil semua hasil di beberapa halaman.

contoh untuk pengguna
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
contoh untuk kelompok
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
contoh untuk keanggotaan grup
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID

Langkah 2: Bandingkan dengan sumber identitas Anda

Bandingkan sumber daya yang terdaftar dengan sumber identitas Anda untuk mengidentifikasi perbedaan apa pun, seperti:

  • Sumber daya yang hilang yang harus disediakan di Pusat Identitas IAM.

  • Sumber daya tambahan yang harus dihapus dari IAM Identity Center.

contoh untuk pengguna
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
contoh untuk kelompok
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
contoh untuk keanggotaan grup
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID

Pertimbangan-pertimbangan

  • Perintah tunduk pada kuota layanan dan pembatasan API.

  • Ketika Anda menemukan banyak perbedaan selama rekonsiliasi, buat perubahan kecil dan bertahap ke Identity Store. AWS Ini membantu Anda menghindari kesalahan yang memengaruhi banyak pengguna.

  • Sinkronisasi SCIM dapat mengganti perubahan manual Anda. Periksa pengaturan IDP Anda untuk memahami perilaku ini.