Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
Wie wirkt sich IAM Identity Center auf meine IAM-Identitäten oder meine Verbundkonfiguration aus?
Ich möchte das AWS IAM Identity Center verwenden, um Benutzern den Zugriff auf unsere AWS-Konten und -Anwendungen zu ermöglichen. Ich möchte wissen, ob sich IAM Identity Center auf meine AWS Identity and Access Management (IAM)-Identitäten auswirkt.
Kurzbeschreibung
Du kannst IAM Identity Center oder IAM verwenden, um deine Mitarbeiter mit AWS-Konten und -Anwendungen zu verbinden.
Mit dem IAM-Verbund kannst du für jedes AWS-Konto einen separaten SAML 2.0- oder OIDC-IdP aktivieren. Du kannst Identitätsanbieter anstelle von IAM-Benutzern in deinem AWS-Konto verwenden. Weitere Informationen findest du unter Identitätsanbieter und Verbund.
IAM Identity Center verwendet mit IAM-Services verknüpfte Rollen. Du musst Berechtigungen mit dienstverknüpften Rollen nicht manuell hinzufügen. Weitere Informationen findest du unter Verwenden von dienstverknüpften Rollen für das IAM Identity Center.
Lösung
IAM Identity Center ist unabhängig vom Identitätsverbund, den du mit IAM konfigurierst. IAM Identity Center hat keinen Einfluss auf IAM-Identitäten oder deine Verbundkonfiguration.
IAM Identity Center verwendet die serviceverknüpfte Rolle AWSServiceRoleForSSO, um Berechtigungen zur Verwaltung von AWS-Ressourcen zu gewähren. Die AWSServiceRoleForSSO-Rolle, die AWS in AWS-Konten erstellt, vertraut dem IAM Identity Center-Service nur mit einer IAM-Vertrauensrichtlinie, die der folgenden ähnelt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sso.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Für die IAM-Rollen, die die dienstverknüpfte Rolle AWSServiceRoleForSSO erstellt, gilt eine IAM-Vertrauensrichtlinie, die der folgenden ähnelt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::444455556666:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "signin.aws.amazon.com/saml" } } } ] }
Hinweis: Diese IAM-Richtlinie vertraut nur dem SAML-Anbieter, den IAM Identity Center automatisch erstellt.
Beim IAM-Verbund musst du IAM-Rollen in deinen AWS-Konten manuell mit einer Vertrauensrichtlinie erstellen, die der folgenden ähnelt:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::444455556666:saml-provider/ExampleIdP" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "saml:edupersonorgdn": "ExampleOrg", "saml:aud": "signin.aws.amazon.com/saml" } } } ] }
Hinweis: Nur IAM-Entitäten in deiner Organisation, denen diese Richtlinie beigefügt ist, können auf deine AWS-Konten zugreifen.
Ähnliche Informationen
So erstellst und verwaltest du Benutzer im AWS IAM Identity Center
Wie weise ich im IAM Identity Center Benutzerzugriff auf Cloud-Anwendungen zu?
- Sprache
- Deutsch
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 3 Monaten
- AWS OFFICIALAktualisiert vor 2 Jahren