前言在 AWS 多账号环境下传统 IAM 用户分散管理、权限混乱、审计困难是绝大多数团队的痛点。AWS IAM Identity Center原 AWS SSO就是为解决这个问题而生的统一身份认证与权限中心。本篇从0 基础入门到企业级落地实践详细记录操作步骤。一、IAM Identity Center 到底是什么一句话总结IAM Identity Center AWS 官方统一身份平台 多账号 SSO 集中权限管控核心作用一套账号密码登录所有 AWS 账号集中管理员工身份、MFA、密码策略用「权限集」标准化跨账号权限替代各账号独立 IAM User更安全、易审计可对接企业 AD、Entra ID、Okta 等身份源简单区分IAM 管服务 / 程序Identity Center 管人 / 员工。二、启用前必备条件拥有AWS Organizations 管理账户已开启Organizations 全功能非仅账单选定Home Region启用后不可修改账户具备管理员级权限注意检查是否为管理账号请看文末。三、Step-by-Step 实战操作全程可照做1. 启用 IAM Identity Center登录 AWS管理账户控制台搜索 IAM Identity Center点击 启用系统自动创建实例、内置用户目录、SSO 访问门户保存自动生成的门户地址https://xxxxxxx.awsapps.com/start⚠️重要警告Home Region 一旦选定无法更改只能删除实例重建请务必选就近稳定区域如 us-east-1、ap-northeast-1、ap-southeast-1。2. 配置身份源3 选 1小白首选内置目录身份源适用场景难度内置目录小团队、测试、快速上手⭐AWS Managed AD企业本地 AD 上云⭐⭐外部 IdPEntra ID/Okta大企业统一认证⭐⭐⭐快速创建用户与用户组左侧菜单 → 用户 → 添加用户填写用户名、邮箱、姓名勾选 通过邮件发送账号设置创建用户组按角色dev-admin、test-readonly、prod-ops务必按组分配权限不要按人分配3. 核心创建权限集Permission Set权限集 可复用的跨账号权限模板分配后自动在目标账号生成 IAM 角色。操作步骤左侧 → 权限集 → 创建权限集支持三种方式预定义权限快速使用 AWS 托管策略自定义权限集企业最常用复制现有权限集以自定义为例名称Dev-EC2-S3-ReadOnly会话时长1–8 小时安全合规添加策略AWS 托管策略 / 客户托管策略 / 内联策略可选权限边界防止权限放大✅ 最佳实践按岗位创建开发、测试、运维、只读、管理员坚持最小权限原则所有权限集强制加权限边界4. 分配权限到账号 / OU左侧 →AWS 账户选择要授权的账号或 OU点击分配用户或组选择用户组不要选单个用户选择已创建的权限集提交系统自动跨账号部署角色5. 用户 SSO 登录与账号切换打开 SSO 门户https://xxx.awsapps.com/start使用邮箱密码登录完成MFA 认证强烈建议强制开启看到可访问的账号与权限集点击管理控制台直接登录支持一键切换账号 / 权限无需重复登录6. 必配安全基线企业级标配强制 MFA强密码策略长度、过期、复杂度会话时长控制普通 1h管理员 1h权限边界限制最大权限CloudTrail 集中日志审计可追溯SCP 策略禁止手动创建 IAM User四、企业级最佳实践直接照搬账号组织架构按环境分 OUdev /test/prodSCP 限制禁止本地 IAM、禁止修改 Identity Center 角色权限模型标准用户组 → 权限集 → 账户 / OU生产环境使用申请 审批 临时授权身份集成大企业使用 SCIM 同步 Entra ID / AD员工离职自动禁用杜绝僵尸账号审计合规全组织 CloudTrail定期使用 Access Analyzer 检查过度权限日志留存 ≥ 180 天五、90% 人都会踩的坑避坑指南Home Region 选错启用后不能改直接给用户授权后期维护灾难权限给太大直接给 AdministratorAccess不设会话时长长期在线泄露风险高不开启 MFA无 MFA 等于裸奔成员账号手动删角色会被自动重建引发异常不搭配 SCP无法限制本地 IAM形成安全漏洞六、IAM Identity Center vs 传统 IAM一张表看懂对比维度IAM Identity Center传统 IAM管理对象人 / 员工 / 终端用户服务 / 应用 / 程序多账号支持原生支持跨账号配置复杂SSO 能力开箱即用需手动配置权限复用权限集统一分发各账号独立维护审计日志集中可查分散难以统一推荐场景员工日常访问、运维操作服务账号、程序调用七、总结IAM Identity Center 是AWS 云上身份安全基建整套流程就 4 步启用 → 建用户 / 组 → 做权限集 → 分配访问个人 / 小团队用内置目录快速上手中大型企业上AD/IdP SCIM一步到位配合 MFA、权限边界、SCP、CloudTrail就是一套安全、合规、可审计的企业级统一权限体系。其他如果你登录的是成员账号IAM Identity Center 的界面功能栏只有“控制面板”和“应用程序分配”管理员账户多了“多账户权限”的功能模块。如何查看成员账号的管理员账户找到“”组织“”--“管理账户ID”你可以找到管理人员​​​​​​​