Cos'è IAM Identity Center?Termini Come funziona il Centro identità IAM Risorse aggiuntive

Concetti diAWS IAM Identity Center per la AWS CLI

Questo argomento descrive i concetti chiave di AWS IAM Identity Center (Centro identità IAM). Il Centro identità IAM è un servizio IAM basato sul cloud che semplifica la gestione degli accessi degli utenti su più Account AWS, applicazioni, SDK e strumenti integrandosi con i gestori dell’identità digitale (IdP) esistenti. Consente il single sign-on sicuro, la gestione delle autorizzazioni e il controllo attraverso un portale utenti centralizzato, semplificando la governance delle identità e degli accessi per le organizzazioni.

Cos'è IAM Identity Center?

Il Centro identità IAM è un servizio di gestione delle identità e degli accessi (IAM) basato sul cloud che consente di gestire centralmente l’accesso a più Account AWS e applicazioni aziendali.

Fornisce un portale utenti in cui gli utenti autorizzati possono accedere alle applicazioni per gli Account AWS che hanno ottenuto l’autorizzazione, utilizzando le credenziali aziendali esistenti. Ciò consente alle organizzazioni di applicare policy di sicurezza coerenti e semplificare la gestione degli accessi degli utenti.

Indipendentemente dall’IdP utilizzato, il Centro identità IAM astrae queste distinzioni. Ad esempio, è possibile connettere Microsoft Azure AD come descritto nell’articolo del blog The Next Evolution in IAM Identity Center.

Nota

Per informazioni sull’utilizzo dell’autenticazione tramite token di connessione, che non impiega alcun ID account e ruolo, consulta Configurazione per l’utilizzo di AWS CLI con CodeCatalyst nella Guida per l’utente di Amazon CodeCatalyst.

Termini

I termini comuni per l’utilizzo del Centro identità IAM sono i seguenti:

Provider di identità

Un sistema di gestione delle identità come il Centro identità IAM, Microsoft Azure AD, Okta o il tuo servizio di directory aziendale.

AWS IAM Identity Center

Il Centro identità IAM è il servizio IdP proprietario di AWS. Precedentemente noti come AWS Single Sign-On, gli SDK e gli strumenti mantengono i namespace delle API sso per garantire la compatibilità con le versioni precedenti. Per ulteriori informazioni, consulta IAM Identity Center rename nella Guida per l’utente di AWS IAM Identity Center.

URL, URL di avvio SSO, URL di avvio del Portale di accesso AWS

L’URL univoco del Centro identità IAM della tua organizzazione per accedere agli Account AWS, ai servizi e alle risorse autorizzati.

URL emittente

L’URL univoco del Centro identità IAM emittente della tua organizzazione per l’accesso programmatico agli Account AWS, ai servizi e alle risorse autorizzati. A partire dalla versione 2.22.0 della AWS CLI, l’URL dell’emittente può essere utilizzato in modo intercambiabile con l’URL iniziale.

Federazione

Il processo di creazione dell’attendibilità tra il Centro identità IAM e un gestore dell’identità digitale per abilitare il Single Sign-On (SSO).

Account AWS

Gli Account AWS per i quali fornisci l’accesso agli utenti tramite AWS IAM Identity Center.

Set di autorizzazioni, credenziali AWS, credenziali sigv4

Raccolte predefinite di autorizzazioni che possono essere assegnate a utenti o gruppi a cui concedere l’accesso agli Servizi AWS.

Ambiti di registrazione, ambiti di accesso, ambiti

Gli ambiti sono un meccanismo di OAuth 2.0 per limitare l’accesso di un’applicazione a un account utente. Un’applicazione può richiedere uno o più ambiti e il token di accesso emesso all’applicazione è limitato agli ambiti consentiti. Per informazioni sugli ambiti, consulta Access scopes nella Guida per l’utente del Centro identità IAM.

Token, token di aggiornamento, token di accesso

I token sono credenziali di sicurezza temporanee che ti vengono rilasciate al momento dell’autenticazione. Questi token contengono informazioni sulla tua identità e sulle autorizzazioni che ti sono state concesse.

Quando accedi a una risorsa o a un’applicazione AWS tramite il portale Centro identità IAM, il token viene sottoposto all’autenticazione e all’autorizzazione di AWS. Ciò consente ad AWS di verificare l’identità dell’utente e avere la certezza di disporre delle autorizzazioni necessarie per eseguire le azioni richieste.

Il token di autenticazione viene memorizzato nella cache su disco all’interno della directory ~/.aws/sso/cache con un nome di file JSON basato sul nome della sessione.

Sessione

Una sessione del Centro identità IAM si riferisce al periodo di tempo in cui un utente è autenticato e autorizzato ad accedere a risorse o applicazioni AWS. Quando un utente accede al portale del Centro identità IAM, viene stabilita una sessione e il token dell’utente è valido per una durata specificata. Per ulteriori informazioni sull’impostazione della durata delle sessioni, consulta Impostazione della durata della sessione nella Guida per l’utente di AWS IAM Identity Center.

Durante la sessione, puoi passare tra diversi account e applicazioni AWS senza dover effettuare nuovamente l’autenticazione, purché la sessione rimanga attiva. Quando la sessione scade, accedi nuovamente per rinnovare l’accesso.

Le sessioni del Centro identità IAM aiutano a fornire un’esperienza utente senza interruzioni, rafforzando al contempo le best practice di sicurezza limitando la validità delle credenziali di accesso degli utenti.

Concessione del codice di autorizzazione con PKCE, PKCE, Proof Key for Code Exchange

A partire dalla versione 2.22.0, Proof Key for Code Exchange (PKCE) è un flusso di autorizzazione all’autenticazione OAuth 2.0 per dispositivi dotati di browser. Il PKCE è un modo semplice e sicuro per autenticarsi e ottenere il consenso all’accesso alle risorse AWS da desktop e dispositivi mobili con browser web. Questo è il comportamento di autorizzazione per impostazione predefinita. Per ulteriori informazioni su PKCE, consulta Authorization Code Grant with PKCE nella Guida per l’utente di AWS IAM Identity Center.

Concessione dell’autorizzazione a un dispositivo

Un flusso di autorizzazione all’autenticazione OAuth 2.0 per dispositivi con o senza browser web. Per ulteriori informazioni sull’impostazione della durata delle sessioni, consulta Concessione dell’autorizzazione a un dispositivo nella Guida per l’utente di AWS IAM Identity Center.

Come funziona il Centro identità IAM

Il Centro identità IAM si integra con il gestore dell’identità digitale della tua organizzazione, come il Centro identità IAM, Microsoft Azure AD oppure Okta. Gli utenti si autenticano con questo gestore dell’identità digitale e il Centro identità IAM associa quindi tali identità alle autorizzazioni e agli accessi appropriati all’interno dell’ambiente AWS.

Il seguente flusso di lavoro del Centro identità IAM presuppone che tu abbia già configurato la AWS CLI per utilizzare il Centro identità IAM:

Nel terminale preferito, esegui il comando aws sso login.
Accedi al tuo account Portale di accesso AWS per avviare una nuova sessione.
- Quando avvii una nuova sessione, ricevi un token di aggiornamento e un token di accesso che vengono memorizzati nella cache.
- Se hai già una sessione attiva, la sessione esistente viene riutilizzata e scade quando scade la sessione esistente.
In base al profilo che hai impostato nel tuo file config, il Centro identità IAM presuppone i set di autorizzazioni appropriati, garantendo l’accesso agli Account AWS e alle applicazioni pertinenti.
La AWS CLI, gli SDK e gli strumenti utilizzano il ruolo IAM che assumi per effettuare chiamate ai Servizi AWS come la creazione di bucket Amazon S3, fino alla scadenza della sessione.
Il token di accesso del Centro identità IAM viene controllato ogni ora e aggiornato automaticamente utilizzando il token di aggiornamento.
- Se il token di accesso è scaduto, l’SDK o lo strumento utilizza il token di aggiornamento per ottenere un nuovo token di accesso. Le durate delle sessioni di questi token vengono quindi confrontate e, se il token di aggiornamento non è scaduto, il Centro identità IAM ne fornisce uno nuovo.
- Se il token di aggiornamento è scaduto, non vengono forniti nuovi token di accesso e la sessione è terminata.
Le sessioni terminano dopo la scadenza dei token di aggiornamento o quando ti disconnetti manualmente utilizzando il comando aws sso logout. Le credenziali memorizzate nella cache vengono rimosse. Per continuare ad accedere ai servizi utilizzando il Centro identità IAM, è necessario avviare una nuova sessione con il comando aws sso login.

Risorse aggiuntive

Di seguito sono elencate alcune risorse aggiuntive.

Configurazione dell’autenticazione in Centro identità IAM con AWS CLI
Tutorial: Using IAM Identity Center to run Amazon S3 commands in the AWS CLI
Installazione o aggiornamento dell’ultima versione di AWS CLI
Impostazioni dei file di configurazione e delle credenziali nella AWS CLI
aws configure sso in AWS CLI version 2 Reference
aws configure sso-session in AWS CLI version 2 Reference
aws sso login in AWS CLI version 2 Reference
aws sso logout in AWS CLI version 2 Reference
Configurazione per l’utilizzo di AWS CLI con CodeCatalyst nella Guida per l’utente di Amazon CodeCatalyst
IAM Identity Center rename nella Guida per l’utente di AWS IAM Identity Center
Ambiti di accesso OAuth 2.0 nella Guida per l’utente del Centro identità IAM
Set session duration nella Guida per l’utente di AWS IAM Identity Center
Tutorial introduttivi nella Guida per l’utente del Centro identità IAM

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autenticazione in Centro identità IAM

Tutorial: AWS IAM Identity Center e Amazon S3