AWS IAM Identity Center 介绍

AWS IAM Identity Center（原 AWS Single Sign-On）是 AWS 提供的一项云原生身份与访问管理（IAM）服务，旨在集中简化多 AWS 账户、多业务应用的安全访问控制。

观测云

观测云是一款专为 IT 工程师打造的全链路可观测产品，它集成了基础设施监控、应用程序性能监控和日志管理，为整个技术栈提供实时可观察性。这款产品能够帮助工程师全面了解端到端的用户体验追踪，了解应用内函数的每一次调用，以及全面监控云时代的基础设施。此外，观测云还具备快速发现系统安全风险的能力，为数字化时代提供安全保障。

注意：AWS 用户可通过 SSO 方式登录观测云，实现快速接入平台。需注意，AWS IAM Identity Center 的 SAML 2.0 单点登录功能仅适用于【 AWS 国际站点】。

配置步骤

AWS 启用 IAM Identity Center

1、登录 AWS 控制台；

2、在搜索栏中，输入 IAM Identity Center；

3、点击“启用”。

AWS 创建自定义 SAML 2.0 应用程序(1)

1、在应用程序管理页面，选择“客户托管”，并点击“添加应用程序”；

2、选择应用程序类型为“我想设置应用程序-SAML 2.0 ”；

3、进入下一步，自定义“显示程序名”，将 IAM Identity Center 元数据下载到本地；

4、现在需要到观测云控制台操作，AWS 页面暂停填写。

观测云导入 SAML

1、在观测云创建用户 SSO 身份提供商，登录进入观测云工作空间 > 管理 > 成员管理 > 用户 SSO；

2、新建身份提供商；

3、保存后，返回上一个页面，点击-更新进入查看配置，下载元数据,需要将源数据导入到 AWS 上，下载 Metadata；

AWS 创建自定义 SAML 2.0 应用程序(2)

从观测云上下载 Metadata 后，继续配置 SAML 2.0 应用程序，在此处上传元数据。

上传完成后点击提交即可。

AWS 属性映射

1、回到应用程序详情页后，在页面右上方点击操作 > 编辑属性映射，在这里进行 AWS 的用户登录的身份与观测云的角色身份的映射关系。

2、系统默认提供字段 Subject（用户唯一标识符），选择将其映射为 ${user:email}；定义需要映射到角色的用户或组属性，此处选用 email、familyName 两个字段；定义映射到此字符串值的属性，分别为 $(user:email}、$(user:familyName}，如下示例：

3、配置完毕后点击保存更改。

AWS 分配用户和组访问权限

您在 Identity Center 目录中创建的用户和组仅在 IAM Identity Center 中可用。后续可为其分配权限。在本示例中，默认当前目录未添加过用户和组。

1、进入控制台 > 用户页面；

2、点击“添加用户”；

3、定义用户名，选择用户接受密码的方式，并输入邮箱、名字、姓氏、显示名称；

4、进入下一步。

AWS 添加用户到组

1、若当前目录中没有组，进入右侧创建入口；

2、定义组名；

3、点击右下角“创建”按钮；

4、回到添加用户页面，选择该组，进入下一步；

5、确认添加该用户。状态消息将通知您，您已成功添加该用户。

AWS 为应用程序分配用户和组

1、进入应用程序，选择配置的程序（此处示例为上文配置的 guance），为其分配用户和组；

2、搜索勾选需要分配权限的所有用户和组；

3、审核通过后即可创分配成功。

登录验证

1、登录进入观测云单点登录页面；

2、在列表中选择在 AWS 侧创建的应用程序；下图中显示为应用程序名称；

3、登录地址；

4、输入用户名、密码；

5、即可登录成功。

总结

观测云通过 SSO 深度集成，从工具级监控平台升级为企业级身份驱动的可观测中枢，在保障安全合规的同时，显著降低 60% 以上的运维复杂度，释放团队效能，实现权限配置简易化和使用便捷化。