As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Auditar e reconciliar recursos provisionados automaticamente
O SCIM permite que você provisione automaticamente usuários, grupos e associações de grupos da fonte de identidade para o IAM Identity Center. Este guia ajuda você a verificar e reconciliar esses recursos para manter uma sincronização precisa.
Por que auditar os recursos?
A auditoria regular ajuda a garantir que os controles de acesso permaneçam precisos e que seu provedor de identidade (IdP) permaneça devidamente sincronizado com o IAM Identity Center. Isso é particularmente importante para a conformidade de segurança e o gerenciamento de acesso.
Recursos que podem ser auditados:
Usuários
Groups (Grupos)
Associações de grupo
Você pode usar os comandos do AWS Identity Store APIsou da CLI para conduzir a auditoria e a reconciliação. Os exemplos a seguir usam comandos AWS CLI . Para alternativas de API, consulte as operações correspondentes na referência da API do Identity Store.
Como auditar recursos
Aqui estão alguns exemplos de como auditar esses recursos usando AWS CLI comandos.
Antes de começar, verifique se você tem:
Acesso de administrador ao IAM Identity Center.
AWS CLI instalado e configurado. Para obter informações, consulte o Guia do usuário da interface da linha de comando da AWS .
Permissões do IAM exigidas para comandos do Identity Store.
Etapa 1: listar os recursos atuais
Você pode visualizar seus recursos atuais usando AWS CLI o.
nota
Ao usar o AWS CLI, a paginação é processada automaticamente, a menos que você especifique. --no-paginate Se você estiver chamando a API diretamente (por exemplo, com um SDK ou um script personalizado), manipule o NextToken na resposta. Isso garante que você recupere todos os resultados em várias páginas.
exemplo para usuários
aws identitystore list-users \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
exemplo para grupos
aws identitystore list-groups \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
exemplo para associações de grupo
aws identitystore list-group-memberships \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID--group-idGROUP_ID
Etapa 2: comparar a fonte de identidade
Compare os recursos listados com a fonte de identidade para identificar quaisquer discrepâncias, como:
-
Recursos ausentes que devem ser provisionados no IAM Identity Center.
-
Recursos extras que devem ser removidos do IAM Identity Center.
exemplo para usuários
# Create missing users aws identitystore create-user \ --identity-store-idIDENTITY_STORE_ID\ --user-nameUSERNAME\ --display-nameDISPLAY_NAME\ --name GivenName=FIRST_NAME,FamilyName=LAST_NAME\ --emails Value=IDENTITY_STORE_ID\ --user-idUSER_ID
exemplo para grupos
# Create missing groups aws identitystore create-group \ --identity-store-idIDENTITY_STORE_ID\[group attributes]# Delete extra groups aws identitystore delete-group \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID
exemplo para associações de grupo
# Add missing members aws identitystore create-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID\ --member-id '{"UserId": "USER_ID"}' # Remove extra members aws identitystore delete-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --membership-idMEMBERSHIP_ID
Considerações
Os comandos estão sujeitos a cotas de serviço e controle de utilização de API.
Quando você encontrar muitas diferenças durante a reconciliação, faça pequenas alterações graduais no AWS Identity Store. Isso ajuda a evitar erros que afetam vários usuários.
-
A sincronização do SCIM pode substituir as alterações manuais. Verifique as configurações de IdP para entender esse comportamento.
