Verifica e riconcilia le risorse con provisioning automatico - AWS IAM Identity Center
Perché controllare le tue risorse?Come controllare le risorseConsiderazioni

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Verifica e riconcilia le risorse con provisioning automatico

SCIM ti consente di fornire automaticamente utenti, gruppi e appartenenze ai gruppi dalla tua fonte di identità a IAM Identity Center. Questa guida ti aiuta a verificare e riconciliare queste risorse per mantenere una sincronizzazione accurata.

Perché controllare le tue risorse?

Un controllo regolare aiuta a garantire che i controlli di accesso rimangano accurati e che il tuo provider di identità (IdP) rimanga correttamente sincronizzato con IAM Identity Center. Ciò è particolarmente importante per la conformità alla sicurezza e la gestione degli accessi.

Risorse che puoi controllare:

  • Utenti

  • Gruppi

  • Appartenenze ai gruppi

È possibile utilizzare i comandi AWS Identity Store APIso CLI per eseguire il controllo e la riconciliazione. Negli esempi seguenti vengono utilizzati AWS CLI i comandi. Per le alternative alle API, fai riferimento alle operazioni corrispondenti nel riferimento all'API di Identity Store.

Come controllare le risorse

Ecco alcuni esempi su come controllare queste risorse utilizzando AWS CLI i comandi.

Prima di iniziare, assicurati di disporre dei seguenti elementi:

Fase 1: Elenca le risorse correnti

È possibile visualizzare le risorse correnti utilizzando il AWS CLI.

Nota

Quando si utilizza AWS CLI, l'impaginazione viene gestita automaticamente a meno che non venga specificato. --no-paginate Se stai chiamando direttamente l'API (ad esempio, con un SDK o uno script personalizzato), gestiscila NextToken nella risposta. In questo modo puoi recuperare tutti i risultati su più pagine.

Esempio per gli utenti
aws identitystore list-users \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
Esempio per gruppi
aws identitystore list-groups \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
Esempio per appartenenze a gruppi
aws identitystore list-group-memberships \
  --region REGION \
  --identity-store-id IDENTITY_STORE_ID
  --group-id GROUP_ID

Fase 2: confrontalo con la fonte della tua identità

Confronta le risorse elencate con la tua fonte di identità per identificare eventuali discrepanze, ad esempio:

  • Risorse mancanti che devono essere fornite in IAM Identity Center.

  • Risorse aggiuntive che devono essere rimosse da IAM Identity Center.

Esempio per gli utenti
# Create missing users
aws identitystore create-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-name USERNAME \
  --display-name DISPLAY_NAME \
  --name GivenName=FIRST_NAME,FamilyName=LAST_NAME \
  --emails Value=EMAIL,Primary=true

# Delete extra users
aws identitystore delete-user \
  --identity-store-id IDENTITY_STORE_ID \
  --user-id USER_ID
Esempio per gruppi
# Create missing groups
aws identitystore create-group \
  --identity-store-id IDENTITY_STORE_ID \
  [group attributes]
  
# Delete extra groups
aws identitystore delete-group \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID
Esempio per appartenenze a gruppi
# Add missing members
aws identitystore create-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --group-id GROUP_ID \
  --member-id '{"UserId": "USER_ID"}'
  
# Remove extra members
aws identitystore delete-group-membership \
  --identity-store-id IDENTITY_STORE_ID \
  --membership-id MEMBERSHIP_ID

Considerazioni

  • I comandi sono soggetti alle quote di servizio e alla limitazione delle API.

  • Se riscontri molte differenze durante la riconciliazione, apporta piccole modifiche graduali a Identity Store. AWS Questo ti aiuta a evitare errori che riguardano più utenti.

  • La sincronizzazione SCIM può ignorare le modifiche manuali. Controlla le impostazioni del tuo IdP per comprendere questo comportamento.