¿El uso de IAM Identity Center afecta a mis identidades de IAM o a mi configuración de federación?
Quiero utilizar AWS IAM Identity Center (sucesor de AWS Single Sign-On) para proporcionar a los usuarios acceso a nuestras cuentas y aplicaciones de AWS. Quiero saber si el uso de IAM Identity Center afecta a mis identidades de AWS Identity and Access Management (IAM) (usuarios, grupos y roles).
Descripción breve
Puede utilizar IAM Identity Center o IAM para federar a su personal en cuentas y aplicaciones de AWS.
La federación de IAM le permite activar un SAML 2.0 o un IdP de OIDC independiente en cada cuenta de AWS y atributos de usuario para el control de acceso. Puede utilizar proveedores de identidades en lugar de crear usuarios de IAM en su cuenta de AWS. Para más información, consulte Federación y proveedores de identidades.
IAM Identity Center utiliza roles vinculados a servicios de IAM. No es necesario agregar permisos manualmente con los roles vinculados a servicios. Para más información, consulte Using service-linked roles for IAM Identity Center (Uso de roles vinculados a servicios para IAM Identity Center).
Resolución
IAM Identity Center es independiente de la federación de identidades configurada mediante IAM. El uso de IAM Identity Center no afecta a las identidades de IAM ni a la configuración de la federación.
IAM Identity Center utiliza el rol vinculado al servicio AWSServiceRoleForSSO para conceder permisos para administrar los recursos de AWS. El rol AWSServiceRoleForSSO creado en las cuentas de AWS solo otorga confianza al servicio IAM Identity Center, que es similar a la siguiente política de confianza de IAM:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service":"sso.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
Los roles de IAM creados por el rol vinculado al servicio AWSServiceRoleForSSO tienen una política de confianza de IAM similar a la siguiente:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::AWS-account-ID:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "https://signin.aws.amazon.com/saml" } } } ] }
Nota: Esta política de IAM solo confía en el proveedor de SAML creado automáticamente por IAM Identity Center.
Con la federación de IAM, debe crear manualmente roles de IAM en sus cuentas de AWS mediante una política de confianza similar a la siguiente:
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/MYIDP"}, "Action": "sts:AssumeRoleWithSAML", "Condition": {"StringEquals": { "saml:edupersonorgdn": "ExampleOrg", "saml:aud": "https://signin.aws.amazon.com/saml" }} }] }
Nota: Solo las entidades de IAM de su organización con esta política adjunta pueden acceder a sus cuentas de AWS.
Para configurar IAM Identity Center, consulte How do I get started with using IAM Identity Center and access the AWS access portal? (¿Cómo puedo empezar a utilizar IAM Identity Center y acceder al portal de acceso de AWS?).
Información relacionada
How to create and manage users within AWS IAM Identity Center (Cómo crear y administrar usuarios en AWS IAM Identity Center)
How do I assign user access to cloud applications in the IAM Identity Center? (¿Cómo asigno el acceso de usuario a las aplicaciones en la nube en IAM Identity Center?)
How do I use IAM Identity Center permission sets? (¿Cómo uso los conjuntos de permisos de IAM Identity Center?)
Identity federation in AWS (Federación de identidades en AWS)
Contenido relevante
- OFICIAL DE AWSActualizada hace un año
- OFICIAL DE AWSActualizada hace 3 años
- OFICIAL DE AWSActualizada hace 5 meses
- OFICIAL DE AWSActualizada hace 3 años