AWS Single Sign-On (AWS SSO) — это облачный сервис, который позволяет вам предлагать своим пользователям доступ к ресурсам AWS через различные учетные записи AWS, например к инстансам Amazon EC2. AWS SSO теперь включает каталог, в котором вы можете создавать пользователей, объединять их в группы и предоставлять доступ к этим группам по умолчанию. Вы также можете предлагать разрешения для таких программ, как Salesforce, Box и Office 365, пользователям, которых вы создаете в AWS SSO. Вы можете использовать AWS SSO и его каталог без дополнительной платы.
Каталог — это важнейший компонент, позволяющий управлять пользователями, имеющими доступ к ресурсам и приложениям AWS. В рамках одной учетной записи AWS AWS Identity and Access Management (IAM) позволяет создавать пользователей, которые могут получать доступ к ресурсам AWS. С другой стороны, многие предприятия предпочитают стратегию, которая позволяет пользователям входить в систему с одними учетными данными и получать доступ к различным учетным записям и приложениям AWS. Теперь пользователей можно создавать и управлять ими централизованно в AWS SSO для всех ваших учетных записей и приложений AWS. Ваши пользователи входят на пользовательский портал, используя единый набор учетных данных AWS SSO, что дает им доступ ко всем назначенным им учетным записям и сервисам.
Шаг 1. Создайте пользователей и группы AWS SSO.
Перейдите в консоль AWS SSO, чтобы добавить пользователей в AWS SSO. Затем в AWS SSO добавьте Марту в качестве пользователя, создайте группу «Разработчики» и добавьте Марту в группу «Разработчики», следуя приведенным ниже процедурам.
Шаг 2. Настройте разрешения.
Вы должны настроить параметры разрешений, чтобы предоставить пользователям доступ к ресурсам AWS. Набор разрешений — это набор политик, определенных администратором, которые AWS SSO использует для определения разрешений пользователя для любой конкретной учетной записи AWS. Политики, управляемые AWS, или пользовательские политики, хранящиеся в AWS SSO, могут быть включены в наборы разрешений. Индивидуальные средства управления доступом (разрешить или запретить) для различных типов данных представлены утверждениями в политиках.
Шаг 3. Назначьте учетные записи и наборы разрешений группам.
На этом шаге вы предоставите своей группе разработчиков полный доступ к Amazon EC2 и Amazon S3 в учетных записях разработчиков и доступ только для чтения к этим ресурсам в рабочих учетных записях. Вы сделаете это, предоставив группе разработчиков доступ к набору разрешений EC2AndS3FullAccess и двум учетным записям разработчиков (DevAccount1 и DevAccountDevAccount2).
Шаг 4. Пользователи входят на пользовательский портал, чтобы получить доступ к своим учетным записям.
Теперь ваши пользователи могут управлять ресурсами в назначенных им аккаунтах AWS, войдя на пользовательский портал AWS SSO. Ваши пользователи могут получить доступ ко всем назначенным им учетным записям и бизнес-приложениям через пользовательский портал с помощью единого входа. Ваши пользователи могут входить в многочисленные учетные записи AWS из пользовательского интерфейса, щелкая значок учетной записи AWS и выбирая учетную запись, к которой они хотят получить доступ.
Физические или юридические лица, имеющие доступ к вашему каталогу, называются пользователями. Вместо того, чтобы применять права к каждому отдельному пользователю, группы очень удобны для предоставления или отказа в привилегиях группам пользователей. Вы переводите пользователя в другую группу, когда он переходит в другую организацию, и он автоматически получает привилегии, необходимые для новой организации.
Вы должны использовать любой экземпляр (локальный или EC2), присоединенный к вашему каталогу службы каталогов AWS, и войти в систему как пользователь с правами на создание пользователей и групп для создания пользователей и групп в каталоге службы каталогов AWS. Вам также необходимо получить программное обеспечение Active Dire.
