观测云 × AWS SSO:权限治理可观测实践

AWS IAM Identity Center 介绍

AWS IAM Identity Center(原 AWS Single Sign-On)是 AWS 提供的一项云原生身份与访问管理(IAM)服务,旨在集中简化多 AWS 账户、多业务应用的安全访问控制。

观测云

观测云是一款专为 IT 工程师打造的全链路可观测产品,它集成了基础设施监控、应用程序性能监控和日志管理,为整个技术栈提供实时可观察性。这款产品能够帮助工程师全面了解端到端的用户体验追踪,了解应用内函数的每一次调用,以及全面监控云时代的基础设施。此外,观测云还具备快速发现系统安全风险的能力,为数字化时代提供安全保障。

注意:AWS 用户可通过 SSO 方式登录观测云,实现快速接入平台。需注意,AWS IAM Identity Center 的 SAML 2.0 单点登录功能仅适用于【 AWS 国际站点】。

配置步骤

AWS 启用 IAM Identity Center

1、登录 AWS 控制台;

2、在搜索栏中,输入 IAM Identity Center;

3、点击"启用"。

AWS 创建自定义 SAML 2.0 应用程序(1)

1、在应用程序管理页面,选择"客户托管",并点击"添加应用程序";

2、选择应用程序类型为"我想设置应用程序-SAML 2.0 ";

3、进入下一步,自定义"显示程序名",将 IAM Identity Center 元数据下载到本地;

4、现在需要到观测云控制台操作,AWS 页面暂停填写。

观测云导入 SAML

1、在观测云创建用户 SSO 身份提供商,登录进入观测云工作空间 > 管理 > 成员管理 > 用户 SSO;

2、新建身份提供商;

3、保存后,返回上一个页面,点击-更新进入查看配置,下载元数据,需要将源数据导入到 AWS 上,下载 Metadata;

AWS 创建自定义 SAML 2.0 应用程序(2)

从观测云上下载 Metadata 后,继续配置 SAML 2.0 应用程序,在此处上传元数据。

上传完成后点击提交即可。

AWS 属性映射

1、回到应用程序详情页后,在页面右上方点击操作 > 编辑属性映射,在这里进行 AWS 的用户登录的身份与观测云的角色身份的映射关系。

2、系统默认提供字段 Subject(用户唯一标识符),选择将其映射为 ${user:email};定义需要映射到角色的用户或组属性,此处选用 emailfamilyName 两个字段;定义映射到此字符串值的属性,分别为 $(user:email}$(user:familyName},如下示例:

3、配置完毕后点击保存更改。

AWS 分配用户和组访问权限

您在 Identity Center 目录中创建的用户和组仅在 IAM Identity Center 中可用。后续可为其分配权限。在本示例中,默认当前目录未添加过用户和组

1、进入控制台 > 用户页面;

2、点击"添加用户";

3、定义用户名,选择用户接受密码的方式,并输入邮箱、名字、姓氏、显示名称;

4、进入下一步。

AWS 添加用户到组

1、若当前目录中没有组,进入右侧创建入口;

2、定义组名;

3、点击右下角"创建"按钮;

4、回到添加用户页面,选择该组,进入下一步;

5、确认添加该用户。状态消息将通知您,您已成功添加该用户。

AWS 为应用程序分配用户和组

1、进入应用程序,选择配置的程序(此处示例为上文配置的 guance),为其分配用户和组;

2、搜索勾选需要分配权限的所有用户和组;

3、审核通过后即可创分配成功。

登录验证

1、登录进入观测云单点登录页面;

2、在列表中选择在 AWS 侧创建的应用程序;下图中显示为应用程序名称;

3、登录地址;

4、输入用户名、密码;

5、即可登录成功。

总结

观测云通过 SSO 深度集成,从工具级监控平台升级为企业级身份驱动的可观测中枢,在保障安全合规的同时,显著降低 60% 以上的运维复杂度,释放团队效能,实现权限配置简易化和使用便捷化。

相关推荐
威联通网络存储8 小时前
基于TS-h3087XU-RP的大型成套空分设备DCS历史趋势数据治理
aws
spider_xcxc11 小时前
MySQL备份实战:从小白到熟练使用Percona XtraBackup
mysql·云计算·运维开发·dba
主机哥哥1 天前
2026年腾讯云秒杀活动抢购攻略
云计算·腾讯云
花千烬2 天前
crictl info 连不上 containerd 怎么办?endpoint、socket 与权限一次查清
云计算
AKAMAI5 天前
每百万 Token 成本砍六成,出海 AI 团队开始重算推理这笔账
人工智能·云计算
A小辣椒15 天前
AWS Clould Support Engineer就职面试题
aws
tiancaijiben18 天前
阿里云Kubernetes集群托管完全指南:从创建到生产级运维
云计算
亚林瓜子18 天前
AWS WAF中如何放行某个触发了托管规则的接口
aws·waf
互联网推荐官18 天前
上海软件定制开发公司推荐:从PaaS工程化路径看D-coding的技术取舍
云原生·云计算·paas·软件开发·开发经验·上海
sbjdhjd18 天前
从零搭建企业级 CI/CD(下):Jenkins+GitLab+Harbor 全链路实战指南
git·servlet·ci/cd·云原生·云计算·gitlab·jenkins