AWS IAM Identity Center 介紹

AWS IAM Identity Center（原 AWS Single Sign-On）是 AWS 提供的一項云原生身份與訪問管理（IAM）服務，旨在集中簡化多 AWS 賬戶、多業務應用的安全訪問控制。

觀測云

觀測云是一款專為 IT 工程師打造的全鏈路可觀測產品，它集成了基礎設施監控、應用程序性能監控和日志管理，為整個技術棧提供實時可觀察性。這款產品能夠幫助工程師全面了解端到端的用戶體驗追蹤，了解應用內函數的每一次調用，以及全面監控云時代的基礎設施。此外，觀測云還具備快速發現系統安全風險的能力，為數字化時代提供安全保障。

注意：AWS 用戶可通過 SSO 方式登錄觀測云，實現快速接入平臺。需注意，AWS IAM Identity Center 的 SAML 2.0 單點登錄功能僅適用于【 AWS 國際站點】。

配置步驟

AWS 啟用 IAM Identity Center

1、登錄 AWS 控制臺；

2、在搜索欄中，輸入 IAM Identity Center；

3、點擊“啟用”。

AWS 創建自定義 SAML 2.0 應用程序(1)

1、在應用程序管理頁面，選擇“客戶托管”，并點擊“添加應用程序”；

2、選擇應用程序類型為“我想設置應用程序-SAML 2.0 ”；

3、進入下一步，自定義“顯示程序名”，將 IAM Identity Center 元數據下載到本地；

4、現在需要到觀測云控制臺操作，AWS 頁面暫停填寫。

觀測云導入 SAML

1、在觀測云創建用戶 SSO 身份提供商，登錄進入觀測云工作空間 > 管理 > 成員管理 > 用戶 SSO；

2、新建身份提供商；

3、保存后，返回上一個頁面，點擊-更新進入查看配置，下載元數據,需要將源數據導入到 AWS 上，下載 Metadata；

AWS 創建自定義 SAML 2.0 應用程序(2)

從觀測云上下載 Metadata 后，繼續配置 SAML 2.0 應用程序，在此處上傳元數據。

上傳完成后點擊提交即可。

AWS 屬性映射

1、回到應用程序詳情頁后，在頁面右上方點擊操作 > 編輯屬性映射，在這里進行 AWS 的用戶登錄的身份與觀測云的角色身份的映射關系。

2、系統默認提供字段?Subject（用戶唯一標識符），選擇將其映射為?${user:email}；定義需要映射到角色的用戶或組屬性，此處選用?email、familyName?兩個字段；定義映射到此字符串值的屬性，分別為?$(user:email}、$(user:familyName}，如下示例：

3、配置完畢后點擊保存更改。

AWS 分配用戶和組訪問權限

您在 Identity Center 目錄中創建的用戶和組僅在 IAM Identity Center 中可用。后續可為其分配權限。在本示例中，默認當前目錄未添加過用戶和組。

1、進入控制臺 > 用戶頁面；

2、點擊“添加用戶”；

3、定義用戶名，選擇用戶接受密碼的方式，并輸入郵箱、名字、姓氏、顯示名稱；

4、進入下一步。

AWS 添加用戶到組

1、若當前目錄中沒有組，進入右側創建入口；

2、定義組名；

3、點擊右下角“創建”按鈕；

4、回到添加用戶頁面，選擇該組，進入下一步；

5、確認添加該用戶。狀態消息將通知您，您已成功添加該用戶。

AWS 為應用程序分配用戶和組

1、進入應用程序，選擇配置的程序（此處示例為上文配置的 guance），為其分配用戶和組；

2、搜索勾選需要分配權限的所有用戶和組；

3、審核通過后即可創分配成功。

登錄驗證

1、登錄進入觀測云單點登錄頁面；

2、在列表中選擇在 AWS 側創建的應用程序；下圖中顯示為應用程序名稱；

3、登錄地址；

4、輸入用戶名、密碼；

5、即可登錄成功。

總結

觀測云通過 SSO 深度集成，從工具級監控平臺升級為企業級身份驅動的可觀測中樞，在保障安全合規的同時，顯著降低 60% 以上的運維復雜度，釋放團隊效能，實現權限配置簡易化和使用便捷化。