Administradores delegados

A administração delegada fornece uma maneira conveniente para os usuários designados em uma conta de membro registrada realizarem a maioria das tarefas administrativas do IAM Identity Center. Quando você ativa o IAM Identity Center, sua instância do IAM Identity Center é criada na conta de gerenciamento AWS Organizations por padrão. Ele foi originalmente projetado dessa forma para que o IAM Identity Center possa provisionar, desprovisionar e atualizar funções em todas as contas dos membros da sua organização. Mesmo que sua instância do IAM Identity Center deva sempre residir na conta de gerenciamento, você pode optar por delegar a administração do IAM Identity Center a uma conta membro AWS Organizations, ampliando assim a capacidade de gerenciar o IAM Identity Center de fora da conta de gerenciamento.

Habilitar a administração delegada oferece os seguintes benefícios:

Minimiza o número de pessoas que precisam de acesso à conta de gerenciamento para ajudar a mitigar as preocupações de segurança
Permite que administradores selecionados atribuam usuários e grupos aos aplicativos e às contas dos membros da sua organização

Para obter mais informações sobre como o IAM Identity Center funciona AWS Organizations, consulteConta da AWS acesso. Para obter informações adicionais e analisar um exemplo de cenário da empresa que mostra como configurar a administração delegada, consulte Introdução à administração delegada do IAM Identity Center no blog de segurança AWS .

Tópicos

Práticas recomendadas

Aqui estão algumas práticas recomendadas a serem consideradas antes de configurar a administração delegada:

Conceda o privilégio mínimo à conta de gerenciamento — Sabendo que a conta de gerenciamento é uma conta altamente privilegiada e para aderir ao princípio do privilégio mínimo, recomendamos que você restrinja o acesso à conta de gerenciamento ao menor número possível de pessoas. O atributo de administrador delegado tem como objetivo minimizar o número de pessoas que precisam de acesso à conta de gerenciamento. Você também pode considerar o uso de acesso elevado temporário para conceder esse acesso somente quando necessário.
Conjuntos de permissões dedicados para a conta de gerenciamento — Use conjuntos de permissões dedicados para a conta de gerenciamento. Por motivos de segurança, um conjunto de permissões usado para acessar a conta de gerenciamento só pode ser modificado por um administrador do IAM Identity Center da conta de gerenciamento. O administrador delegado não pode alterar os conjuntos de permissões provisionados na conta de gerenciamento.
Atribua somente usuários (não grupos) aos conjuntos de permissões na conta de gerenciamento — Como a conta de gerenciamento tem privilégios especiais, você deve ter cuidado ao atribuir acesso a essa conta no console ou ( AWS Command Line Interface CLI). Se você atribuir grupos a conjuntos de permissões com acesso à conta de gerenciamento, qualquer pessoa com permissão para modificar as associações nesses grupos poderá usar add/remove to/from esses grupos e, assim, afetar quem tem acesso à conta de gerenciamento. É qualquer administrador de grupo com controle sobre sua fonte de identidade, incluindo o administrador do provedor de identidade (IdP), o administrador do Microsoft Active Directory Domain Service (AD DS) ou o administrador do IAM Identity Center. Portanto, você deve atribuir usuários diretamente aos conjuntos de permissões que concedem acesso à conta de gerenciamento e evitar grupos. Se você usa grupos para gerenciar o acesso à conta de gerenciamento, certifique-se de que os controles adequados estejam em vigor no IdP para limitar quem tem a capacidade de modificar esses grupos e garantir que as alterações nesses grupos (ou alterações nas credenciais dos usuários na conta de gerenciamento) sejam registradas e revisadas conforme necessário.
Considere sua localização no Active Directory — Se você planeja usar o Active Directory como sua fonte de identidade do IAM Identity Center, localize o diretório na conta do membro em que você habilitou o atributo de administrador delegado do IAM Identity Center. Se você decidir alterar a fonte de identidade do IAM Identity Center de qualquer outra fonte para o Active Directory ou alterá-la do Active Directory para qualquer outra fonte, o diretório deverá residir na conta de membro do administrador delegado do IAM Identity Center. Se você quiser que seu Active Directory esteja na conta de gerenciamento, você deve realizar a configuração na conta de gerenciamento, pois o administrador delegado não terá as permissões necessárias para concluí-la.

Limite as ações de armazenamento de identidades do IAM Identity Center na conta de administração delegada com fontes de identidade externas

Se você usa uma fonte de identidade externa, como um IdP ou AWS Directory Service, deve implementar políticas que limitem as ações do repositório de identidades que um administrador do IAM Identity Center pode realizar na conta de administração delegada. As operações de gravação e exclusão devem ser cuidadosamente consideradas. Geralmente, a fonte de identidade externa é a fonte confiável para usuários e seus atributos e para associações a grupos. Se você modificá-los usando o repositório de identidades APIs ou o console, suas alterações serão substituídas durante os ciclos normais de sincronização. É melhor deixar essas operações sob o controle exclusivo da fonte confiável de sua identidade. Isso também evita que um administrador do IAM Identity Center modifique as associações de grupos para conceder acesso a um conjunto de permissões ou aplicativo atribuído ao grupo, em vez de deixar o controle de associação do grupo para o administrador do IdP. Você também deve proteger quem pode criar tokens portadores do SCIM a partir da conta de administração delegada, pois isso pode permitir que um administrador da conta membro modifique grupos e usuários por meio de um cliente SCIM.

Pode haver momentos em que as operações de gravação ou exclusão sejam apropriadas na conta de administrador delegado. Por exemplo, você pode criar um grupo sem adicionar membros e, em seguida, fazer atribuições a um conjunto de permissões sem precisar esperar que o administrador do IdP crie o grupo. Ninguém terá acesso a essa tarefa até que o administrador do IdP provisione o grupo e o processo de sincronização do IdP estabeleça os membros do grupo. Também pode ser apropriado excluir um usuário ou grupo para impedir o login ou a autorização durante um período em que você não consegue esperar que o processo de sincronização do IdP remova o acesso do usuário ou do grupo. No entanto, o uso indevido dessa permissão pode ser prejudicial para os usuários. Você deve usar o princípio do privilégio mínimo ao atribuir permissões do repositório de identidades. Você pode controlar quais ações do repositório de identidades são permitidas pelos administradores da conta de administração delegada usando uma política de controle de serviços (SCP).

O exemplo de SCP abaixo impede a atribuição de usuários a grupos por meio da API Identity Store e da AWS Management Console, o que é recomendado quando sua fonte de identidade é externa. Isso não afeta a sincronização do usuário de AWS Directory Service ou para um IdP externo (via SCIM).

nota

É possível que, embora você use uma fonte de identidade externa, sua organização dependa, total ou parcialmente, do Identity Store APIs para o provisionamento de usuários e grupos. Portanto, antes de ativar esse SCP, você deve confirmar que seu processo de provisionamento de usuários não usa essa operação da API Identity Store. Além disso, consulte a próxima seção para obter informações sobre como limitar o gerenciamento de associações de grupos a grupos específicos.


{
  "Version": "2012-10-17",
  "Statement": [
    { "Effect": "Deny",
      "Action": ["identitystore:CreateGroupMembership"],
      "Resource": [ "*" ] }
  ]
}

Se você quiser evitar a adição de usuários apenas a grupos que concedem acesso à conta de gerenciamento, você pode referenciar esses grupos específicos usando o ARN do grupo no seguinte formato:. arn:${Partition}:identitystore:::group/${GroupId} Esse e outros tipos de recursos disponíveis no Identity Store estão documentados em Tipos de recursos definidos pelo AWS Identity Store na Referência de Autorização de Serviço. Você também pode considerar a inclusão de um Identity Store adicional APIs no SCP. Para obter mais informações, consulte Ações na referência da API Identity Store.

Ao adicionar a seguinte declaração de política ao seu SCP, você pode impedir a criação de tokens portadores do SCIM pelo administrador delegado. Você pode aplicar isso para ambas as fontes de identidade externas.

nota

Se seu administrador delegado precisar configurar o provisionamento de usuários com o SCIM ou realizar a rotação periódica do token portador do SCIM, você precisará permitir temporariamente o acesso a essa API para permitir que o administrador delegado conclua essas tarefas.



    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ]
    }

Limite as ações de armazenamento de identidades do IAM Identity Center na conta de administração delegada para usuários gerenciados localmente

Se você criar seus usuários e grupos diretamente no IAM Identity Center, em vez de usar um IdP externo ou AWS Directory Service, você deve tomar precauções sobre quem pode criar usuários, redefinir senhas e controlar a associação ao grupo. Essas ações dão ao administrador grandes poderes sobre quem pode se inscrever e obter acesso por meio da participação em grupos. Essas políticas são melhor implementadas como políticas em linha dentro dos conjuntos de permissões que você usa para os administradores do IAM Identity Center, em vez de como. SCPs O exemplo a seguir de política em linha tem dois objetivos. Em primeiro lugar, impede a adição de usuários a grupos específicos. Você pode usar isso para impedir que administradores delegados adicionem usuários a grupos que concedem acesso à conta de gerenciamento. Em segundo lugar, impede a emissão de tokens portadores do SCIM.



{ 
  "Version": "2012-10-17", 
  "Statement": [ 
  { "Effect": "Deny", 
    "Action": ["identitystore:CreateGroupMembership"],
    "Resource": [ arn:${Partition}:identitystore:::group/${GroupId1}, 
                  arn:${Partition}:identitystore:::group/${GroupId2} 
                 ] 
   }
  ],
  { "Effect": "Deny", 
    "Action": ["sso-directory:CreateBearerToken"],
    "Resource": [ "*" ] }
  ]
}

Separe o gerenciamento de configurações do IAM Identity Center do gerenciamento PermissionSet

Separe as tarefas administrativas, incluindo modificação da fonte de identidade externa, gerenciamento de tokens SCIM e configuração do tempo limite da sessão, das tarefas para criar, modificar e atribuir conjuntos de permissões criando conjuntos de permissões de administrador distintos a partir de sua conta de gerenciamento.

Limitar a emissão de tokens portadores do SCIM

Os tokens portadores do SCIM permitem que uma fonte de identidade externa provisione usuários, grupos e associações de grupos por meio do protocolo SCIM quando a fonte de identidade do IAM Identity Center é um IdP externo, como Okta ou Entra ID. Você pode configurar o seguinte SCP para impedir a criação de tokens portadores do SCIM por administradores delegados. Se seu administrador delegado precisar configurar o provisionamento de usuários com o SCIM ou realizar a rotação periódica do token portador do SCIM, você precisará permitir temporariamente o acesso a essa API para permitir que o administrador delegado conclua essas tarefas.



    { "Effect": "Deny",
      "Action": ["sso-directory:CreateBearerToken"],
      "Resource": [ "*" ] 
}

Use tags de conjunto de permissões e listas de contas para delegar a administração de contas específicas

Você pode criar conjuntos de permissões que você atribui aos administradores do IAM Identity Center para delegar quem pode criar conjuntos de permissões e quem pode atribuir quais conjuntos de permissões em quais contas. Isso é feito marcando conjuntos de permissões e usando condições de política nos conjuntos de permissões que você atribui aos seus administradores. Por exemplo, você pode criar conjuntos de permissões que permitem que um usuário crie conjuntos de permissões, desde que sejam marcados de uma determinada forma. Você também pode criar políticas que permitam que um administrador atribua conjuntos de permissões que tenham uma tag específica em contas específicas. Isso pode ajudá-lo a delegar o gerenciamento de contas sem dar a um administrador os privilégios para modificar seu acesso e privilégios sobre a conta de administração delegada. Por exemplo, ao marcar os conjuntos de permissões que você usa somente na conta de administração delegada, você pode especificar uma política que conceda somente a determinadas pessoas as permissões para modificar conjuntos de permissões e atribuições que afetam a conta de administração delegada. Você também pode conceder permissões a outras pessoas para gerenciar uma lista de contas fora da conta de administração delegada. Para saber mais, consulte Delegar o gerenciamento do conjunto de permissões e a atribuição de contas AWS IAM Identity Center no Blog AWS de Segurança.

Pré-requisitos

Antes de registrar uma conta-administrador delegado, você deve primeiro implantar o seguinte ambiente:

AWS Organizations deve estar habilitado e configurado com pelo menos uma conta de membro, além da sua conta de gerenciamento padrão.
Se sua fonte de identidade estiver definida como Active Directory, o atributo Sincronização configurável no AD do IAM Identity Center deverá estar habilitado.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Conta da AWS acesso

Registre uma conta-membro