As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Auditar e reconciliar recursos provisionados automaticamente
O SCIM permite que você provisione automaticamente usuários, grupos e associações de grupos da fonte de identidade para o IAM Identity Center. Este guia ajuda você a verificar e reconciliar esses recursos para manter uma sincronização precisa.
## Por que auditar os recursos?
A auditoria regular ajuda a garantir que os controles de acesso permaneçam precisos e que seu provedor de identidade (IdP) permaneça devidamente sincronizado com o IAM Identity Center. Isso é particularmente importante para a conformidade de segurança e o gerenciamento de acesso.
Recursos que podem ser auditados:
+ Usuários
+ Groups (Grupos)
+ Associações de grupo
Você pode usar os [comandos do AWS Identity Store [APIs](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/welcome.html)ou da CLI](https://docs.aws.amazon.com/cli/latest/reference/identitystore/) para conduzir a auditoria e a reconciliação. Os exemplos a seguir usam comandos AWS CLI . Para alternativas de API, consulte as [operações correspondentes](https://docs.aws.amazon.com/singlesignon/latest/IdentityStoreAPIReference/API_Operations.html) na *referência da API do Identity Store*.
## Como auditar recursos
Aqui estão alguns exemplos de como auditar esses recursos usando AWS CLI comandos.
Antes de começar, verifique se você tem:
+ Acesso de administrador ao IAM Identity Center.
+ AWS CLI instalado e configurado. Para obter informações, consulte o Guia do usuário da interface da linha de comando da [https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-welcome.html).
+ Permissões do IAM exigidas para comandos do Identity Store.
### Etapa 1: listar os recursos atuais
Você pode visualizar seus recursos atuais usando AWS CLI o.
**nota**
Ao usar o AWS CLI, a paginação é processada automaticamente, a menos que você especifique. `--no-paginate` Se você estiver chamando a API diretamente (por exemplo, com um SDK ou um script personalizado), manipule o `NextToken` na resposta. Isso garante que você recupere todos os resultados em várias páginas.
**Example para usuários**
```
aws identitystore list-users \
--region {{REGION}} \
--identity-store-id {{IDENTITY_STORE_ID}}
```
**Example para grupos**
```
aws identitystore list-groups \
--region {{REGION}} \
--identity-store-id {{IDENTITY_STORE_ID}}
```
**Example para associações de grupo**
```
aws identitystore list-group-memberships \
--region {{REGION}} \
--identity-store-id {{IDENTITY_STORE_ID}}
--group-id {{GROUP_ID}}
```
### Etapa 2: comparar a fonte de identidade
Compare os recursos listados com a fonte de identidade para identificar quaisquer discrepâncias, como:
+ Recursos ausentes que devem ser provisionados no IAM Identity Center.
+ Recursos extras que devem ser removidos do IAM Identity Center.
**Example para usuários**
```
# Create missing users
aws identitystore create-user \
--identity-store-id {{IDENTITY_STORE_ID }}\
--user-name {{USERNAME}} \
--display-name {{DISPLAY_NAME}} \
--name GivenName={{FIRST_NAME}},FamilyName={{LAST_NAME}} \
--emails Value={{EMAIL}},Primary=true
# Delete extra users
aws identitystore delete-user \
--identity-store-id {{IDENTITY_STORE_ID}} \
--user-id {{USER_ID}}
```
**Example para grupos**
```
# Create missing groups
aws identitystore create-group \
--identity-store-id {{IDENTITY_STORE_ID}} \
{{[group attributes]}}
# Delete extra groups
aws identitystore delete-group \
--identity-store-id {{IDENTITY_STORE_ID }}\
--group-id {{GROUP_ID}}
```
**Example para associações de grupo**
```
# Add missing members
aws identitystore create-group-membership \
--identity-store-id {{IDENTITY_STORE_ID}} \
--group-id {{GROUP_ID}} \
--member-id '{"UserId": "{{USER_ID}}"}'
# Remove extra members
aws identitystore delete-group-membership \
--identity-store-id {{IDENTITY_STORE_ID}} \
--membership-id {{MEMBERSHIP_ID}}
```
## Considerações
+ Os comandos estão sujeitos a [cotas de serviço e controle de utilização de API.](limits.md#ssothrottlelimits)
+ Quando você encontrar muitas diferenças durante a reconciliação, faça pequenas alterações graduais no AWS Identity Store. Isso ajuda a evitar erros que afetam vários usuários.
+ A sincronização do SCIM pode substituir as alterações manuais. Verifique as configurações de IdP para entender esse comportamento.