Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

L'utilizzo di IAM Identity Center influisce sulle mie identità IAM o sulla configurazione della federazione?

3 minuti di lettura
0

Desidero utilizzare AWS IAM Identity Center (successore di AWS Single Sign-On) per fornire agli utenti l'accesso ai nostri account e alle nostre applicazioni AWS. Desidero sapere se l'utilizzo di IAM Identity Center influisce sulle mie identità AWS Identity and Access Management (IAM) (utenti, gruppi e ruoli).

Breve descrizione

Puoi utilizzare IAM Identity Center o IAM per eseguire la federazione della tua forza lavoro in account e applicazioni AWS.

La federazione IAM consente di attivare un IdP SAML 2.0 o OIDC separato per ogni account AWS e attributi utente per il controllo degli accessi. Puoi utilizzare provider di identità invece di creare utenti IAM nel tuo account AWS. Per ulteriori informazioni, consulta Provider di identità e federazione.

IAM Identity Center utilizza ruoli collegati ai servizi IAM. Non è necessario aggiungere manualmente le autorizzazioni per i ruoli collegati ai servizi. Per ulteriori informazioni, consulta Utilizzo dei ruoli collegati al servizio per IAM Identity Center.

Risoluzione

IAM Identity Center è indipendente dalla federazione delle identità configurata tramite IAM. L'utilizzo di IAM Identity Center non influisce sulle identità IAM o sulla configurazione della federazione.

L'IAM Identity Center utilizza il ruolo collegato ai servizi AWS ServiceRoleForSSO per concedere le autorizzazioni per la gestione delle risorse AWS. Il ruolo AWS ServiceRoleForSSO creato negli account AWS si affida solo al servizio IAM Identity Center che è simile al seguente criterio di attendibilità IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service":"sso.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

I ruoli IAM creati dal ruolo collegato al servizio AWSServiceRoleForSSO hanno un criterio di affidabilità IAM simile al seguente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::AWS-account-ID:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

Nota: questa policy IAM si fida solo del provider SAML creato automaticamente da IAM Identity Center.

Con la federazione IAM, devi creare manualmente ruoli IAM nei tuoi account AWS utilizzando un criterio di attendibilità simile al seguente:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/MYIDP"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {"StringEquals": {
      "saml:edupersonorgdn": "ExampleOrg",
      "saml:aud": "https://signin.aws.amazon.com/saml"
    }}
  }]
}

Nota: solo le entità IAM della tua organizzazione con questo criterio allegato possono accedere ai tuoi account AWS.

Per configurare l'IAM Identity Center, consulta Come posso iniziare a usare IAM Identity Center e accedere al portale di accesso AWS?

Informazioni correlate

Come creare e gestire utenti all'interno di AWS IAM Identity Center

In che modo posso concedere agli utenti l'accesso ad applicazioni cloud in IAM Identity Center?

Come posso utilizzare i set di autorizzazioni di IAM Identity Center?

Federazione delle identità in AWS

Argomenti
Sicurezza, identità e conformità
Tag
AWS IAM Identity Center
Lingua
Italiano
AWS UFFICIALE
AWS UFFICIALEAggiornata un anno fa

Contenuto pertinente