AWS Single Sign-On (AWS SSO) hiện là  AWS IAM Identity Center. Amazon Web Services (AWS) sẽ thay đổi tên để nhấn mạnh  nền tảng của dịch vụ trong AWS Identity and Access Management (IAM), để phản ánh tốt hơn toàn bộ các khả năng của nó và để củng cố vai trò được đề xuất của nó là nơi trung tâm để quản lý quyền truy cập trên các tài khoản AWS và các ứng dụng. Mặc dù các khả năng kỹ thuật của dịch vụ không thay đổi với thông báo này, nhưng chúng tôi muốn nhân cơ hội này đi qua một số tính năng quan trọng để thúc đẩy bạn xem xét IAM Identity Center là điểm bắt đầu của bạn với AWS.

Nếu bạn đã làm việc với tài khoản AWS, rất có thể bạn đã làm việc với IAM. Đây là dịch vụ xử lý các yêu cầu xác thực và ủy quyền cho bất kỳ ai muốn thực hiện bất kỳ điều gì trong AWS. Đây là một công cụ mạnh mẽ, xử lý nửa tỷ lệnh gọi API mỗi giây trên toàn cầu và nó đã củng cố và đảm bảo sự phát triển của khách hàng AWS kể từ năm 2011. IAM cung cấp xác thực trên cơ sở chi tiết — theo tài nguyên, trong mỗi tài khoản AWS. Mặc dù điều này mang lại cho bạn khả năng điều chỉnh quyền vượt trội, nhưng nó cũng yêu cầu bạn thiết lập quyền và thông tin đăng nhập (IAM user) trên cơ sở từng tài khoản.

Khi khách hàng AWS ngày càng áp dụng chiến lược nhiều tài khoản cho môi trường của họ, vào tháng 12 năm 2017, chúng tôi đã ra mắt  AWS Single Sign-On (AWS SSO) —một dịch vụ được xây dựng dựa trên IAM để đơn giản hóa việc quản lý truy cập trên các tài khoản AWS. Trong những năm kể từ đó, việc khách hàng sử dụng môi trường AWS nhiều tài khoản tiếp tục làm tăng nhu cầu kiểm soát truy cập tập trung và quản lý truy cập phân tán. AWS SSO đã phát triển theo đó, bổ sung tích hợp với các nhà cung cấp nhận dạng mới, dịch vụ AWS và ứng dụng; các tính năng để quản lý nhất quán các quyền trên quy mô lớn; nhiều chứng nhận tuân thủ; và tính khả dụng ở hầu hết các AWS Region. Sự đa dạng của các trường hợp sử dụng được hỗ trợ bởi AWS SSO, hiện được gọi là  AWS IAM Identity Center, khiến đây là cách chúng tôi đề xuất để quản lý quyền truy cập AWS cho người dùng lực lượng lao động.

IAM Identity Center, giống như AWS SSO trước đó, được cung cấp miễn phí. Bạn có thể làm theo hướng dẫn của chúng tôi trong console  của riêng bạn bằng cách chọn Getting started trên trang chính của console. Nếu bạn chưa bật dịch vụ này, bạn sẽ được nhắc chọn Enable IAM Identity Center, như thể hiện trong Hình 1.

Hình 1: IAM Identity Center Getting Started page

Tự do lựa chọn identity source của bạn

Khi đã ở trong console của IAM Identity Center, bạn có thể chọn identity source ưa thích của mình để sử dụng trên AWS, như thể hiện trong Hình 2. Nếu bạn đã có workforce directory, bạn có thể tiếp tục sử dụng nó bằng cách kết nối hoặc liên kết (federate) . Bạn có thể kết nối với các nhà cung cấp danh tính cloud  lớn, bao gồm Okta, Ping Identity, Azure AD, JumpCloud, CyberArk và OneLogin, cũng như Microsoft Active Directory Domain Services. Nếu bạn không có hoặc không muốn sử dụng workforce directory, bạn có tùy chọn tạo người dùng trong Identity Center. Cho dù bạn quyết định sử dụng nguồn nào, bạn kết nối hoặc tạo nó ở một nơi để sử dụng trong nhiều tài khoản và ứng dụng AWS hoặc SAML 2.0.

Hình 2 Chọn và kết nối nguồn nhận dạng của bạn

Quản lý chi tiết  các quyền ở quy mô lớn

Như đã nói trước đây, IAM Identity Center được xây dựng dựa trên các khả năng ở mỗi tài khoản của IAM. Sự khác biệt là trong IAM Identity Center, bạn có thể xác định và chỉ định quyền truy cập trên nhiều tài khoản AWS. Ví dụ: bộ quyền tạo vai trò IAM và áp dụng chính sách IAM trong nhiều tài khoản AWS, giúp mở rộng quyền truy cập của người dùng của bạn một cách an toàn và nhất quán.

Bạn có thể sử dụng các permission sets được xác định trước dựa trên các policies được AWS quản lý hoặc các permission sets tùy chỉnh, nơi bạn vẫn có thể bắt đầu với các chính sách được AWS quản lý nhưng sau đó điều chỉnh chúng cho phù hợp với nhu cầu của mình.

Gần đây, chúng tôi đã thêm khả năng sử dụng các customer managed policies (CMPs) và permissions boundary policies như một phần của permission sets của Identity Center, như trong Hình 3. Điều này giúp bạn cải thiện tình hình bảo mật của mình bằng cách tạo các policies  lớn hơn và chi tiết hơn cho least privilege access và bằng cách điều chỉnh chúng để reference đến các tài nguyên của tài khoản mà chúng được áp dụng. Bằng cách sử dụng CMP, bạn có thể duy trì tính nhất quán của các chính sách của mình vì các thay đổi CMP tự động áp dụng cho permission sets và roles sử dụng CMP. Bạn có thể quản lý tập trung các permission boundaries  và CMP của mình, đồng thời kiểm toán viên có thể tìm, giám sát và xem xét chúng ở một nơi. Nếu bạn đã có CMP hiện tại cho các vai trò mà bạn quản lý trong IAM, bạn có thể sử dụng lại chúng mà không cần tạo, xem xét và phê duyệt các inline policies mới.

Hình 3: Chỉ định bộ quyền trong IAM Identity Center

Theo mặc định, người dùng và bộ quyền trong IAM Identity Center được quản lý bởi tài khoản quản lý trong một tổ chức trong AWS Organizations. Tài khoản quản lý này có quyền hạn để quản lý các tài khoản thành viên trong tổ chức. Do sức mạnh của tài khoản này, điều quan trọng là phải thực hiện least privilege  và kiểm soát chặt chẽ quyền truy cập vào nó. Nếu bạn đang quản lý một tổ chức phức tạp hỗ trợ nhiều hoạt động hoặc đơn vị kinh doanh, IAM Identity Center cho phép bạn ủy quyền tài khoản thành viên  để quản lý quyền của người dùng, giảm nhu cầu truy cập vào tài khoản quản lý của AWS Organizations cho công việc quản trị  hàng ngày.

Một nơi dành cho các bài tập ứng dụng

Nếu lực lượng lao động của bạn sử dụng các ứng dụng hỗ trợ Identity Center, chẳng hạn như Amazon Managed Grafana, Amazon SageMaker Studio, hoặc AWS Systems Manager Change Manager, bạn có thể chỉ định quyền truy cập cho họ  một cách tập trung, thông qua IAM Identity Center và người dùng của bạn có thể có trải nghiệm đăng nhập một lần .

Nếu bạn không có nhà cung cấp nhận dạng đám mây riêng biệt, bạn có tùy chọn sử dụng IAM Identity Center làm một nơi duy nhất để quản lý các nhiệm vụ của người dùng đối với các ứng dụng đám mây dựa trên SAML 2.0, chẳng hạn như các ứng dụng quản lý quan hệ khách hàng (CRM) cấp cao nhất, tài liệu các công cụ cộng tác và bộ năng suất. Hình 4 cho thấy tùy chọn này.

Hình 4: Chỉ định người dùng cho các ứng dụng trong IAM Identity Center

Kết luận

IAM Identity Center (kế thừa của AWS Single Sign-On) là nơi bạn tạo hoặc kết nối tập trung người dùng trong lực lượng lao động của mình một lần và quản lý quyền truy cập của họ vào nhiều tài khoản và ứng dụng AWS. Đây là bước đầu tiên  chúng tôi đề xuất đối với AWS, vì nó cho phép bạn tự do chọn identity source ưa thích của mình để sử dụng trên AWS, giúp bạn củng cố vị thế bảo mật của mình với các quyền nhất quán trên các tài khoản và ứng dụng AWS, đồng thời mang lại trải nghiệm thuận tiện cho người dùng của bạn. Tên mới của nó làm nổi bật nền tảng của dịch vụ trong IAM, đồng thời phản ánh khả năng mở rộng và vai trò được đề xuất của nó.

Tìm hiểu thêm về IAM Identity Center. Nếu bạn có câu hỏi về bài đăng này, hãy bắt đầu một chủ đề mới trên trang diễn đàn của IAM Identity Center.

---

Bài được dịch từ bài viết trên AWS Blogs, bạn có thể xem bài viết gốc tại đây.