AWS多账户单点登录 IAM Identity Center(AWS SSO)

需求场景 多个aws账户,登陆麻烦且不安全,SSO单点功能并且外部身份提供者 — 如果您要管理外部身份提供者(IdP)(例如 Okta 或 Active Directory)中的用户。

官方文档:https://docs.aws.amazon.com/zh_cn/singlesignon/latest/userguide/getting-started.html

最佳实践:https://aws.amazon.com/cn/blogs/security/how-to-create-and-manage-users-within-aws-sso/

大致步骤
AWS多账户单点登录 IAM Identity Center(AWS SSO)_第1张图片

前提条件:开启org 纳管多个账户,并且开启所有功能 ,会给成员账户发送确认开启所有功能的邮件确认。(组织创建的账号不会,邀请加入的账号需要确认)

1.仅能使用管理账户开启 IAM Identity Center 服务(注意分区域,仅能创建一次)

开启之后可以分配成员账户为IAM Identity Center的委托管理者,即其他账号也能管理这服务控制台

委托管理员能干的事情
AWS多账户单点登录 IAM Identity Center(AWS SSO)_第2张图片

2.创建权限集,这里我们做演示,创建最大的权限admin

AWS多账户单点登录 IAM Identity Center(AWS SSO)_第3张图片

3.使用组或者用户来管理权限

第一步,创建登陆的实体 用户 ,组可以简化我们重复的步骤,给组配权限,再给用户分配对应的组

略过,非常简单创建即可,忘记密码重置即可

4.登录测试权限

控制台首页
AWS多账户单点登录 IAM Identity Center(AWS SSO)_第4张图片
这个就是登录地址 使用刚创建的用户登录即可
AWS多账户单点登录 IAM Identity Center(AWS SSO)_第5张图片
登录到对应账号即可,其实就是IAM Identity Center 会帮你在对应的账号创建对应IAM角色 然后你使用sso的账号去代入到对应账号的IAM

你可能感兴趣的:(AWS使用日记,aws,云计算,iam)