Mục lục bài viết

Nội dung cập nhật

Khi tạo một QuickSight subscription mới, account instances của IAM Identity Center đã được hỗ trợ.

IAM Identity Center đã có thể sử dụng từ trước, được tích hợp với nền tảng xác thực của QuickSight trong bản cập nhật vào tháng 8 năm 2023.

Ưu điểm của bản cập nhật trước là không cần thiết lập single sign-on.

Có 2 loại instances trong IAM Identity Center

Instance tổ chức

Khi kích hoạt IAM Identity Center từ AWS Organizations, instance tổ chức của IAM Identity Center được tạo ra. Instance tổ chức được khuyến nghị khi kích hoạt IAM Identity Center. Instance tổ chức cho phép tạo hoặc kết nối người dùng sử dụng ứng dụng với nhiều tài khoản AWS.

Account instance

Trước đây, việc sử dụng IAM Identity Center (tên cũ AWS SSO) cần phải sử dụng AWS Organizations, và cần phải kích hoạt AWS Organizations dù sử dụng trong môi trường single-account. Đó là việc sử dụng Organizations của riêng bạn.

Trong bài phát biểu ngày 17 tháng 11 năm 2023, việc hỗ trợ [Account instance] áp dụng cho chỉ một tài khoản đã được thông báo chính thức. Điều này đã sẵn sàng sử dụng ở tất cả các khu vực bao gồm cả khu vực Tokyo.

Lợi ích của bài phát biểu này nhằm mục đích kiểm tra các ứng dụng cần IAM Identity Center. Bạn có thể sử dụng dịch vụ mà không cần thiết lập hoặc kết nối với identity center instance của toàn bộ tổ chức. Dưới đây là các dịch vụ AWS được hỗ trợ tại thời điểm viết bài này theo tài liệu chính thức:

– Amazon Athena

– Amazon CodeCatalyst

– Amazon EMR

– AWS Lake Formation

– Amazon Redshift

Lợi ích của việc sử dụng Instance tổ chức

Khi tích hợp QuickSight với instance tổ chức của IAM Identity Center, bạn có thể sử dụng các identity stores khác để truy cập vào các tài khoản và ứng dụng AWS. Trong blog chính thức, lấy Okata làm ví dụ: nếu được giới thiệu IdP, bạn có thể sử dụng instance tổ chức để quản lý tập trung người dùng và nhóm trong Organizations, và thực hiện xác thực đồng loạt cho nhiều tài khoản AWS và QuickSight.

Lợi ích của việc sử dụng Account instance

Khi tích hợp QuickSight với Account instance, người dùng và nhóm của IdP sẽ tự động được đồng bộ hóa với Account instance thông qua hệ thống quản lý Cross-domain ID (SCIM). Sau khi đồng bộ hóa, có thể sử dụng như người dùng và nhóm trong QuickSight.

Trong bản cập nhật này cho phép tích hợp với Account instance. 

Lợi ích của việc này là : 

– Nhóm IdP dễ sử dụng khi đồng bộ với IAM Identity Center

– Không cần cấp quyền truy cập cá nhân khi muốn khách hàng xem ứng dụng được nhúng vào để thử nghiệm

– Để dễ dàng kiểm soát quyền truy cập chỉ cần xoá nhóm khi không cần thiết. 

– Việc cấp phép cho các ứng dụng và tài nguyên, chẳng hạn như quyền truy cập vào QuickSight dashboards, datasets, dành cho người dùng và nhóm đã tạo trong IdP để dễ quản lý.