AWS IAM Identity Center 介绍
AWS IAM Identity Center(原 AWS Single Sign-On)是 AWS 提供的一项云原生身份与访问管理(IAM)服务,旨在集中简化多 AWS 账户、多业务应用的安全访问控制。
观测云
观测云是一款专为 IT 工程师打造的全链路可观测产品,它集成了基础设施监控、应用程序性能监控和日志管理,为整个技术栈提供实时可观察性。这款产品能够帮助工程师全面了解端到端的用户体验追踪,了解应用内函数的每一次调用,以及全面监控云时代的基础设施。此外,观测云还具备快速发现系统安全风险的能力,为数字化时代提供安全保障。
注意:AWS 用户可通过 SSO 方式登录观测云,实现快速接入平台。需注意,AWS IAM Identity Center 的 SAML 2.0 单点登录功能仅适用于【 AWS 国际站点】。
配置步骤
AWS 启用 IAM Identity Center
1、登录 AWS 控制台;
2、在搜索栏中,输入 IAM Identity Center;
3、点击"启用"。
AWS 创建自定义 SAML 2.0 应用程序(1)
1、在应用程序管理页面,选择"客户托管",并点击"添加应用程序";
2、选择应用程序类型为"我想设置应用程序-SAML 2.0 ";
3、进入下一步,自定义"显示程序名",将 IAM Identity Center 元数据下载到本地;
4、现在需要到观测云控制台操作,AWS 页面暂停填写。
观测云导入 SAML
1、在观测云创建用户 SSO 身份提供商,登录进入观测云工作空间 > 管理 > 成员管理 > 用户 SSO;
2、新建身份提供商;
3、保存后,返回上一个页面,点击-更新进入查看配置,下载元数据,需要将源数据导入到 AWS 上,下载 Metadata;
AWS 创建自定义 SAML 2.0 应用程序(2)
从观测云上下载 Metadata 后,继续配置 SAML 2.0 应用程序,在此处上传元数据。
上传完成后点击提交即可。
AWS 属性映射
1、回到应用程序详情页后,在页面右上方点击操作 > 编辑属性映射,在这里进行 AWS 的用户登录的身份与观测云的角色身份的映射关系。
2、系统默认提供字段 Subject(用户唯一标识符),选择将其映射为 ${user:email};定义需要映射到角色的用户或组属性,此处选用 email、familyName 两个字段;定义映射到此字符串值的属性,分别为 $(user:email}、$(user:familyName},如下示例:
3、配置完毕后点击保存更改。
AWS 分配用户和组访问权限
您在 Identity Center 目录中创建的用户和组仅在 IAM Identity Center 中可用。后续可为其分配权限。在本示例中,默认当前目录未添加过用户和组。
1、进入控制台 > 用户页面;
2、点击"添加用户";
3、定义用户名,选择用户接受密码的方式,并输入邮箱、名字、姓氏、显示名称;
4、进入下一步。
AWS 添加用户到组
1、若当前目录中没有组,进入右侧创建入口;
2、定义组名;
3、点击右下角"创建"按钮;
4、回到添加用户页面,选择该组,进入下一步;
5、确认添加该用户。状态消息将通知您,您已成功添加该用户。
AWS 为应用程序分配用户和组
1、进入应用程序,选择配置的程序(此处示例为上文配置的 guance),为其分配用户和组;
2、搜索勾选需要分配权限的所有用户和组;
3、审核通过后即可创分配成功。
登录验证
1、登录进入观测云单点登录页面;
2、在列表中选择在 AWS 侧创建的应用程序;下图中显示为应用程序名称;
3、登录地址;
4、输入用户名、密码;
5、即可登录成功。
总结
观测云通过 SSO 深度集成,从工具级监控平台升级为企业级身份驱动的可观测中枢,在保障安全合规的同时,显著降低 60% 以上的运维复杂度,释放团队效能,实现权限配置简易化和使用便捷化。