Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

Wirkt sich die Verwendung des IAM Identity Center auf meine IAM-Identitäten oder die Verbundkonfiguration aus?

Lesedauer: 3 Minute
0

Ich möchte das AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) verwenden, um Benutzern Zugriff auf unsere AWS-Konten und -Anwendungen zu gewähren. Ich möchte wissen, ob sich die Verwendung des IAM Identity Center auf meine Identitäten von AWS Identity and Access Management (IAM) (Benutzer, Gruppen und Rollen) auswirkt.

Kurzbeschreibung

Sie können den IAM Identity Center oder IAM verwenden, um Ihre Belegschaft mit AWS-Konten und -Anwendungen zu verbinden.

Mit dem IAM-Verbund können Sie für jedes AWS-Konto und Benutzerattribute für die Zugriffskontrolle ein separates SAML-2.0- oder OIDC-IdP aktivieren. Sie können Identitätsanbieter verwenden, anstatt IAM-Benutzer in Ihrem AWS-Konto zu erstellen. Weitere Informationen finden Sie unter Identitätsanbieter und Verbund.

IAM Identity Center verwendet serviceverknüpfte IAM-Rollen. Bei serviceverknüpften Rollen müssen Sie Berechtigungen nicht manuell hinzufügen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für IAM Identity Center.

Lösung

Das IAM Identity Center ist unabhängig vom Identitätsverbund, der mithilfe von IAM konfiguriert wurde. Die Verwendung des IAM Identity Center hat keine Auswirkungen auf IAM-Identitäten oder Ihre Verbundkonfiguration.

Das IAM Identity Center verwendet die serviceverknüpfte Rolle AWSServiceRoleForSSO, um Berechtigungen für die Verwaltung von AWS-Ressourcen zu gewähren. Die in AWS-Konten erstellte AWSServiceRoleForSSO-Rolle vertraut nur dem IAM-Identity-Center-Service, der der folgenden IAM-Vertrauensrichtlinie ähnelt:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service":"sso.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Die IAM-Rollen, die von der serviceverknüpften Rolle AWSServiceRoleForSSO erstellt wurden, haben eine IAM-Vertrauensrichtlinie, die der folgenden ähnelt:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::AWS-account-ID:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

Hinweis: Diese IAM-Richtlinie vertraut nur dem SAML-Anbieter, der automatisch vom IAM Identity Center erstellt wurde.

Beim IAM-Verbund müssen Sie IAM-Rollen in Ihren AWS-Konten manuell erstellen. Verwenden Sie dazu eine Vertrauensrichtlinie, die der folgenden ähnelt:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/MYIDP"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {"StringEquals": {
      "saml:edupersonorgdn": "ExampleOrg",
      "saml:aud": "https://signin.aws.amazon.com/saml"
    }}
  }]
}

Hinweis: Nur IAM-Entitäten in Ihrer Organisation, denen diese Richtlinie beigefügt ist, können auf Ihre AWS-Konten zugreifen.

Informationen zur Konfiguration des IAM Identity Center finden Sie unter Wie beginne ich mit der Verwendung von IAM Identity Center und greife auf das AWS-Zugangsportal zu?

Ähnliche Informationen

So erstellen und verwalten Sie Benutzer im AWS IAM Identity Center

Wie weise ich den Benutzerzugriff auf Cloud-Anwendungen in IAM Identity Center zu?

Wie verwende ich IAM-Identity-Center-Berechtigungssätze?

AWS-Identitätsverbund

Themen
Sicherheit, Identität & Konformität
Tags
AWS IAM Identity Center
Sprache
Deutsch
AWS OFFICIAL
AWS OFFICIALAktualisiert vor einem Jahr

Relevanter Inhalt