本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
稽核和協調自動佈建的資源
SCIM 可讓您自動將使用者、群組和群組成員資格從身分來源佈建至 IAM Identity Center。本指南可協助您驗證和協調這些資源,以維持準確的同步。
為什麼要稽核您的資源?
定期稽核有助於確保您的存取控制保持準確,且您的身分提供者 (IdP) 與 IAM Identity Center 保持適當同步。這對安全合規和存取管理尤其重要。
您可以稽核的資源:
使用者
Groups (群組)
群組成員資格
您可以使用 AWS Identity Store APIs或 CLI 命令來執行稽核和調校。下列範例使用 AWS CLI 命令。如需 API 替代方案,請參閱 Identity Store API 參考中的對應操作。
如何稽核資源
以下是如何使用 AWS CLI 命令稽核這些資源的範例。
開始前,請確保您具備以下條件:
管理員存取 IAM Identity Center。
AWS CLI 已安裝並設定。如需詳細資訊,請參閱 AWS 命令列界面使用者指南。
Identity Store 命令所需的 IAM 許可。
步驟 1:列出目前的資源
您可以使用 檢視目前的 資源 AWS CLI。
注意
使用 時 AWS CLI,除非您指定 ,否則系統會自動處理分頁--no-paginate。如果您直接呼叫 API (例如使用 SDK 或自訂指令碼),請在回應NextToken中處理 。這可確保您擷取跨多個頁面的所有結果。
範例 適用於 使用者
aws identitystore list-users \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
範例 適用於 群組的
aws identitystore list-groups \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID
範例 群組成員資格
aws identitystore list-group-memberships \ --regionREGION\ --identity-store-idIDENTITY_STORE_ID--group-idGROUP_ID
步驟 2:與您的身分來源比較
將列出的資源與您的身分來源進行比較,以識別任何差異,例如:
-
IAM Identity Center 中應佈建的遺失資源。
-
應從 IAM Identity Center 移除的額外資源。
範例 適用於 使用者
# Create missing users aws identitystore create-user \ --identity-store-idIDENTITY_STORE_ID\ --user-nameUSERNAME\ --display-nameDISPLAY_NAME\ --name GivenName=FIRST_NAME,FamilyName=LAST_NAME\ --emails Value=IDENTITY_STORE_ID\ --user-idUSER_ID
範例 適用於 群組的
# Create missing groups aws identitystore create-group \ --identity-store-idIDENTITY_STORE_ID\[group attributes]# Delete extra groups aws identitystore delete-group \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID
範例 群組成員資格
# Add missing members aws identitystore create-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --group-idGROUP_ID\ --member-id '{"UserId": "USER_ID"}' # Remove extra members aws identitystore delete-group-membership \ --identity-store-idIDENTITY_STORE_ID\ --membership-idMEMBERSHIP_ID
考量事項
命令受限於服務配額和 API 限流。
當您在對帳期間發現許多差異時,請對 AWS Identity Store 進行小型、漸進的變更。這可協助您避免影響多個使用者的錯誤。
-
SCIM 同步可以覆寫您的手動變更。檢查您的 IdP 設定以了解此行為。
