AWS’de Merkezi Erişim Yönetimi:AWS Identity Center mı, IAM mi?
by Gökay Öztürk21 Ekim 202510 dk okuma
by Gökay Öztürk
AWS kullanan çoğu şirket, başlangıçta IAM kullanıcılarıyla yola çıkıyor ancak sistem büyüdükçe bu model hızla yetersiz kalıyor. Uzun süre geçerliliğini koruyan erişim anahtarları, herkesin farklı şekilde uyguladığı MFA kuralları ve birden fazla hesabı yönetmenin getirdiği karmaşa bir noktadan sonra sadece operasyonel değil, ciddi bir güvenlik riski de yaratıyor.
Bizim deneyimimiz şu: IAM’den AWS Identity Center’a geçiş yapmak, bu sorunların büyük kısmını kökünden çözüyor. Çünkü Identity Center, geçici kimlik bilgileri kullanıyor, erişim politikalarını tek noktadan yönetmenizi sağlıyor ve ister harici bir IdP ile entegre çalışın ister doğrudan AWS üzerinde kullanın, rahat bir SSO deneyimi sunuyor.
Bugün AWS üzerinde erişim yönetimi yapmak isteyen ekiplerin önünde iki seçenek var: Geleneksel IAM yapısına devam etmek ya da daha ölçeklenebilir bir model olan AWS Identity Center'a geçmek. Güvenliği artırmak, yönetimi sadeleştirmek ve uzun vadede operasyon yükünü azaltmak isteyen ekipler için ikinci seçenek çoğunlukla çok daha mantıklı.
AWS Identity Center’a Geçişi Neden Ciddiye Almalısınız?
Sahada gördüğümüz en büyük problemlerden biri, IAM’de MFA’nın (Multi-Factor Authentication) zorunlu olmaması. Başlangıçta bu durum pratik gibi görünse de kullanıcı sayısı arttıkça büyük bir yönetim yüküne dönüşüyor. Daha da önemlisi, birçok güvenlik ihlalinin temelinde uzun süre geçerliliğini koruyan IAM erişim anahtarları var, üstelik çoğu zaman gereğinden fazla yetkiye sahip şekilde bırakılmış oluyorlar.
Identity Center ise bu riski daha mimari seviyede çözerek geliyor. Kalıcı erişim anahtarları yerine geçici oturum tabanlı kimlik doğrulama kullanıyor; yani birinin anahtarı sızsa bile uzun süre kullanılabilir olmuyor. Güvenlik sadece bir politika değil, sistemin doğal davranışı hâline geliyor.
Kullanıcı yönetimi tarafında da durum benzer. IAM’de kullanıcı sayısı arttıkça her bir hesaba ayrı ayrı kullanıcı açmak, yetki vermek, MFA zorlamak hem yorucu hem dağınık bir süreç. Identity Center ise tüm kullanıcıları merkezi bir arayüzden yönetmenizi sağlıyor. İsterseniz tamamen AWS üzerinde tutabilir, isterseniz Google Workspace veya Azure AD gibi zaten kullandığınız kimlik sağlayıcılarla entegre ederek giriş deneyimini bozmadan kullanmaya devam edebilirsiniz.
Birden fazla AWS hesabı olan yapılarda avantajlar daha da belirgin. Kullanıcılar artık bir hesaptan çıkıp diğerine geçmek zorunda kalmıyor; SSO ile tek giriş yaparak tüm yetkili hesaplarına erişebiliyor. Bizim büyük ölçekli müşterilerimizin çoğu bu kullanım kolaylığı nedeniyle zaten geçişi çoktan tamamladı.
Identity Center'a geçmeden önce, bu sistemin geleneksel IAM'den nasıl farklı olduğunu ve bu farkların günlük operasyonlarda ne anlama geldiğini iyi kavramak gerek.
IAM Kullanıcıları & Grupları vs. Identity Center Kavramları
IAM, kullanıcıları tekil olarak yönetir ve kalıcı kimlik bilgilerine (şifre ve erişim anahtarları) dayanır. Yetkiler, IAM policy'leri aracılığıyla doğrudan kullanıcılara ya da gruplara bağlanır.
Identity Center ise federe veya kendi içinde yönetilen kimliklerle çalışır ve AWS için built-in bir Single Sign-On (SSO) deneyimi sağlar. Önemli bir nokta: Identity Center kendi başına mükemmel çalışıyor, harici bir SSO'ya ihtiyaç duymadan tüm kullanıcı ve gruplarınızı doğrudan Identity Center içinde yönetebilirsiniz.
Eğer şirketinizin zaten Google Workspace, Azure AD veya Okta gibi bir kimlik sağlayıcısı (IdP) varsa, bunu sorunsuz bir şekilde entegre ederek kullanıcılarınızın mevcut kurumsal kimlik bilgileriyle giriş yapmalarını sağlayabilirsiniz. Ancak bu entegrasyon tamamen opsiyonel, sadece mevcut kimlik doğrulama süreçlerinizle uyumu artırmak için sunulan bir kolaylık.
Hızlı Karşılaştırma: IAM vs AWS Identity Center
Özellik | AWS IAM | AWS Identity Center |
Kimlik Bilgisi Tipi | Kalıcı şifre ve anahtarlar | Geçici, oturum tabanlı |
MFA | Manuel kurulum | Tek tuş ile zorunlu hale getir |
Kullanıcı Yönetimi | Her hesapta ayrı | Merkezi |
SSO | Native değil | Built-in, IdP entegrasyonu ile |
Çoklu Hesap Desteği | Manuel | Anında geçiş |
Identity Center'ın IAM'e Göre Temel Avantajları:
Tasarımdan Gelen Güvenlik – Tüm kimlik bilgileri geçici ve oturum tabanlı olduğu için sızan erişim anahtarı riski önemli ölçüde azalıyor.
Merkezi Yönetim – Birden fazla AWS hesabınız olsa bile tüm kullanıcıları, grupları ve yetkileri tek noktadan yönetebiliyorsunuz.
Built-in veya Harici SSO – Identity Center'ın kendi SSO yeteneklerini kullanabilir ya da harici bir IdP ile entegre edebilirsiniz, fonksiyonellik açısından hiçbir kayıp olmadan. Ama unutmayın: Identity Center tek başına mükemmel bir SSO olarak çalışıyor, harici IdP'ye ihtiyacınız yok.
Ölçeklenebilirlik – Kullanıcı eklemek ya da çıkarmak için her AWS hesabında ayrı IAM kullanıcısı oluşturmak zorunda kalmıyorsunuz.
Identity Center İçin Tipik Kullanım Senaryoları
Hesaplar arasında hızlı ve güvenli geçiş yapmanız gereken çoklu hesap yapıları.
Henüz SSO çözümü olmayan ancak kullanıma hazır, AWS-native bir SSO isteyen ekipler.
Mevcut SSO çözümlerini AWS erişimiyle sorunsuz entegre etmek isteyen kurumsal yapılar.
Kalıcı kimlik bilgilerinden tamamen kurtulmak isteyen güvenlik odaklı ekipler.
Kullanıcı ekleme/çıkarma süreçlerinin hızlı ve tutarlı olması gereken hızla büyüyen ortamlar.
IAM'den Identity Center'a sorunsuz bir geçiş yapmak için net bir plana ihtiyacınız var. Aşağıdaki adımlar, süreç boyunca sürprizlerle karşılaşmamanızı sağlayacak.
AWS Organizations Var mı?
Identity Center, AWS Organizations'ın management hesabında kurulmalıdır. Eğer AWS hesabınız başka bir Organization'ın üyesiyse, Identity Center'ı kendiniz aktif edemezsiniz, merkezi olarak Organization'ın yönetim hesabı tarafından yönetilmesi gerekir. Bu, AWS Organizations kullanıyorsanız mutlaka dikkate almanız gereken kritik bir gereklilik. Eğer Organizations kullanmıyorsanız, bu uyarı tek başına çalışan AWS hesapları için geçerli değil.
1. Mevcut IAM Yapınızı Gözden Geçirin
Tüm IAM kullanıcılarınızı, gruplarınızı ve bunların policy'lerini listeleyin. Özellikle şu noktalara dikkat edin:
Uzun süre geçerliliğini koruyan erişim anahtarlarına sahip kullanıcılar
Gereğinden fazla yetki verilmiş policy'ler (örneğin AdministratorAccess)
MFA'sı aktif olmayan kullanıcılar
Bunlar en yaygın güvenlik açıklarıdır ve Identity Center'da yetkileri nasıl yapılandıracağınız konusunda size fikir verecektir.
2. AWS Organizations Bağlamını Anlayın
AWS Organizations, Identity Center için önerilen ancak zorunlu olmayan bir yapıdır.
Identity Center'ı bir Organization olmadan aktif ederseniz, sadece o tek hesap için çalışır.
Eğer AWS Organizations ile aktif ederseniz, kurulumu yapan hesap management hesabı hâline gelir. Bu hesap organizational unit'ler oluşturabilir, policy uygulayabilir ve davet ettiği üye hesaplara yetki dağıtabilir.
Çoklu hesap yapılarında Organizations ile aktif etmek, erişimi merkezi olarak yönetmenizi sağlar, bu çok daha ölçeklenebilir bir yaklaşımdır.
3. Kimlik Kaynağına Karar Verin
Identity Center'ın kendi built-in kimlik deposunu kullanabilir ya da Google Workspace veya Azure AD gibi harici bir IdP ile entegre edebilirsiniz. Eğer halihazırda bir IdP'niz yoksa, built-in seçenekle başlamak işleri basitleştirir, daha sonra her zaman entegrasyon yapabilirsiniz.
4. Permission Set'leri Planlayın
IAM'de policy'ler doğrudan kullanıcılara ya da gruplara bağlanır. Identity Center'da ise yetkiler, hesap seviyesinde Permission Set'ler aracılığıyla atanır. Bu, gereğinden fazla yetki verilmiş erişimleri temizlemek ve en baştan least privilege (en az yetki) prensibini uygulamak için mükemmel bir fırsat.
5. Paralel Test Planı Yapın
Herkesi toptan geçirmeden önce küçük bir pilot grupla test yapın. Bu sayede giriş akışlarını, MFA zorunluluğunu ve erişim eşlemelerini tam dağıtımdan önce doğrulamış olursunuz.
6. Değişikliği Duyurun
Identity Center, giriş deneyimini değiştiriyor. Ekibinizi yeni giriş süreci, MFA gereklilikleri ve eski IAM kimlik bilgilerinin kaldırılacağı konusunda bilgilendirin. Net iletişim, geçişten sonraki sürtüşmeleri ve destek taleplerini azaltır.
İşte müşterilerimizle IAM'den Identity Center'a minimum kesinti ile geçiş yapmak için kullandığımız kanıtlanmış bir akış:
1. IAM Identity Center'ı Aktif Edin
AWS Console'da IAM Identity Center bölümüne gidin ve Enable'a tıklayın.
AWS Organizations ile mi (çoklu hesap yapıları için önerilen) yoksa tek bir hesap için standalone olarak mı çalıştıracağınıza karar verin.
2. Mevcut IAM Kullanıcılarını Denetleyin
IAM bölümünde, tüm aktif kullanıcıları şu bilgilerle birlikte listeleyin:
E-posta adresleri
Bağlı yetki policy'leri veya rolleri
Bu listeyi paydaşlarla paylaşarak şunları doğrulayın:
Hangi kullanıcıların hâlâ aktif olduğu
Yetkilerinin geçerli ve hâlâ gerekli olup olmadığı
3. IAM Identity Center'da Kullanıcı Oluşturun
Doğrulanmış her aktif kullanıcı için Identity Center'da karşılık gelen bir kullanıcı oluşturun.
Onlara IAM rolüyle mümkün olduğunca uyumlu bir Permission Set atayın (örneğin Admin, Developer, ReadOnly).
4. Kullanıcıları Identity Center'a Davet Edin
AWS otomatik olarak her yeni kullanıcıya giriş linki içeren bir davet e-postası gönderecektir.
Her kullanıcının Identity Center üzerinden başarıyla giriş yaptığını ve ihtiyaç duydukları hesaplara ve servislere erişebildiğini teyit etmek için takip yapın.
5. Eski IAM Kullanıcılarını Devre Dışı Bırakın
Tüm insan kullanıcıları Identity Center'a geçtiğinde, IAM kullanıcı hesaplarını kaldırın ya da devre dışı bırakın.
Herhangi bir IAM kullanıcısını silmeden önce, erişim anahtarlarını gözden geçirin. Birçoğu CI/CD pipeline'larına (GitHub, GitLab, Jenkins), AWS depolamaya (S3) ya da diğer üçüncü parti entegrasyonlara bağlıdır. İş akışlarını bozmamak için kaldırmadan önce alternatif çözümler planlayın.
İnsan kullanıcıları: IAM Identity Center üzerinden merkezi olarak yönetin, bu sistem geçici kimlik kimlik bilgileri sağlar ve SAML/SCIM üzerinden harici IdP'lerle entegre olabilir. Least privilege prensibini zorlamak için Permission Set'ler üzerinden yetkilendirme yapın.
Makine/workload erişimi: Sunucular, edge cihazlar ya da on-premise sistemler gibi etkileşimsiz otomasyon için IAM OIDC provider (örneğin GitHub Actions), IAM Roles ya da IAM Roles Anywhere kullanın. Bu seçenekler geçici kimlik bilgileri sağlar (sts:AssumeRoleWithWebIdentity ya da imzalı sertifikalar üzerinden) ve trust policy'leri belirli repo'lar, branch'ler ya da ortamlarla sınırlandırılabilir.
Best practice: İnsan erişimi için Identity Center'ı, makine veya workload erişimi için OIDC/Roles Anywhere'i paralel olarak kullanın. Bu yaklaşım net güvenlik sınırları oluşturur ve kalıcı kimlik bilgilerine olan ihtiyacı tamamen ortadan kaldırır.
6. Yeni Giriş Süreciyle İlerleyin
Artık tüm kullanıcılar AWS'ye Identity Center giriş linki üzerinden erişmeli.
Bunu net bir şekilde iletin ki karışıklık olmasın ve destek talebi azalsın.
Sorunsuz bir IAM'den Identity Center geçişi sadece özellikleri açmakla ilgili değil, ilk günden sürdürülebilir ve güvenli uygulamalar oluşturmakla ilgili.
1. İnsan ve Makine Erişimini Ayırın
İnsan kullanıcıları için IAM Identity Center kullanın, Permission Set'ler üzerinden least-privilege roller atayın.
Makine/workload kimlikleri için (örneğin CI/CD pipeline'lar, uygulamalar) IAM OIDC provider'lar ya da IAM Roles kullanın.
Net güvenlik sınırları oluşturmak ve kalıcı kimlik bilgilerinden kaçınmak için ikisini paralel çalıştırın.
2. Kalıcı Erişim Anahtarlarını Ortadan Kaldırın
Hesapları devre dışı bırakmadan önce tüm IAM erişim anahtarlarını gözden geçirin.
Bunları Identity Center üzerinden (insanlar için) ya da OIDC/roller üzerinden (makineler için) geçici kimlik kimlik bilgileriyle değiştirin.
3. Bir Pilot Grupla Başlayın
Önce küçük bir kullanıcı grubuyla başlayarak yetkileri, MFA'yı ve giriş akışlarını test edin.
Tam dağıtımdan önce uyumsuzlukları erkenden düzeltin.
4. İlk Günden Least Privilege Uygulayın
Geçişi bir temizlik fırsatı olarak kullanın.
Herkese körü körüne AdministratorAccess vermeyin, Permission Set'leri gerçek iş ihtiyaçlarına göre hizalayın.
Eğer birisi tam yetki talep ediyorsa, bunu sorumlu bir şekilde yönetecek AWS bilgisine sahip olduğundan emin olun.
Yeni veya daha az deneyimli kullanıcılar için ConsoleRead gibi güvenli bir rolle başlayın ve kendilerini daha rahat hissettikçe yetkileri kademeli olarak artırın. Bu, güvenlik ihlali veya istem dışı değişiklik riskini azaltır.
5. Erken ve Sık İletişim Kurun
Geçiş planını tüm kullanıcılara duyurun.
Yeni giriş süreci için rehberler ya da adım adım açıklamalar sağlayın.
IAM hesaplarını devre dışı bırakmadan önce her kullanıcının erişimini teyit edin.
6. Geçiş Sonrası Aktiviteyi İzleyin
Erişim desenlerinin beklendiği gibi olup olmadığını doğrulamak için CloudTrail ve Access Analyzer kullanın.
Kullanım fazla yetkilendirme gösteriyorsa Permission Set'leri ayarlayın.
IAM'den AWS Identity Center'a geçiş, başlangıçta biraz daha fazla efor gerektirebilir ama güvenlik, ölçeklenebilirlik ve operasyonel verimlilik açısından kazanımlar yadsınamaz. İnsan erişimini merkezileştirerek, kalıcı kimlik bilgilerini ortadan kaldırarak ve workforce ile workload kimliklerini ayırarak, AWS ortamınızla birlikte büyüyebilecek ve riski azaltabilecek bir temel oluşturuyorsunuz.
AWS Partner olarak bizim deneyimimize göre, en başarılı geçişler şu özelliklere sahip olanlar:
Küçük bir pilot grupla başlamak,
En başından least privilege uygulamak,
Tüm paydaşlarla net iletişim kurmak ve
İnsan ve makine erişim yollarını açıkça ayrı tutmak.
Bir kez kurulduğunda, Identity Center kullanıcı katılımını basitleştirir, güvenliği güçlendirir ve hem AWS-native hem de üçüncü parti kimlik sağlayıcılarla sorunsuz bir şekilde entegre olur. Bunu workload'lar için IAM rolleri veya OIDC provider'larla birleştirdiğinizde, hem ekibinizi hem de altyapınızı güvende tutan modern, best-practice bir kimlik stratejisi elde edersiniz.
Sufle olarak birçok müşterimizin bu geçişi başarıyla yapmasına yardımcı olduk ve geri dönüşler son derece olumlu oldu — daha hızlı hesap erişiminden daha güçlü güvenlik duruşlarına kadar. Eğer AWS Identity Center'a geçmeyi düşünüyorsanız ya da sorunsuz bir geçiş için uzman rehberliğine ihtiyacınız varsa, organizasyonunuz için doğru çözümü tasarlamak ve uygulamak konusunda size yardımcı olmaktan mutluluk duyarız.
Nihai hedef basit: Erişimi doğru insanlar için kolay, diğer herkes için imkânsız hâle getirmek. Doğru planlama ve yürütmeyle AWS Identity Center'a geçiş sadece bir araç değişikliği değil — daha güvenli ve yönetilebilir bir AWS ortamına doğru önemli bir adımdır. Bugün bizimle iletişime geçin ve AWS erişiminizi güvenli, ölçeklenebilir ve basit hâle getirelim.
AWS – IAM Identity Center Documentation (AWS Docs, 2025)
aws.amazon.com
AWS – IAM Documentation (AWS Docs, 2025)
aws.amazon.com
AWS – Getting Started with IAM Identity Center (AWS Docs, 2025)
aws.amazon.com
AWS – Integrating IAM Identity Center with an External Identity Provider (AWS Docs, 2025)
aws.amazon.com
AWS – IAM Roles Anywhere (AWS Docs, 2025)
aws.amazon.com
GitHub – Configuring OpenID Connect in Amazon Web Services (GitHub Docs, 2025)
docs.github.com
AWS – Well-Architected Framework: Security Pillar (AWS Docs, 2025)
aws.amazon.com
AWS hesaplarınızda erişim yönetimini kolaylaştırmaya hazır mısınız? Sufle ile iletişime geçin, AWS IAM’den AWS Identity Center’a geçiş yapın, güvenli, merkezi ve ölçeklenebilir bir kimlik yönetimi yapısına kavuşun.
Gökay, erken aşama start-uplardan büyük ölçekli kurumsal yapılara kadar farklı büyüklükteki projelerde deneyim kazanmış bir Cloud ve Platform Mühendisidir. Müşteri odaklı çalışmanın ve açık iletişimin, güvenilir ve ölçeklenebilir bulut çözümleri sunmanın temel unsurları olduğunu düşünerek hareket eder.
Teknoloji kullanımımız, çözümlerimiz ve rehberlerimizle ilgili en son güncellemeleri ve makaleleri keşfedin.
We use cookies to offer you a better experience.
