O uso do Centro de Identidade do IAM afeta minhas identidades do IAM ou minha configuração de federação?

3 minuto de leitura
0

Quero usar o Centro de Identidade do AWS IAM (sucessor do AWS Single Sign-On) para fornecer aos usuários acesso às nossas contas e aplicações da AWS. Quero saber se o uso do Centro de Identidade do IAM afeta minhas identidades (usuários, grupos e funções) do AWS Identity and Access Management (AWS IAM).

Breve descrição

Você pode usar o Centro de Identidade do IAM ou o IAM para federar sua força de trabalho em contas e aplicações da AWS.

A federação do IAM permite que você ative um SAML 2.0 ou um IdP de OIDC separado para cada conta da AWS e atributos de usuário para controle de acesso. Você pode usar provedores de identidade em vez de criar usuários do IAM na conta da AWS. Para obter mais informações, consulte Identity providers and federation (Provedores de identidade e federação).

O Centro de Identidade do IAM usa funções vinculadas a serviço do IAM. Você não precisa adicionar permissões manualmente com funções vinculadas a serviço. Para obter mais informações, consulte Using service-linked roles for IAM Identity Center (Usar funções vinculadas a serviço para o IAM Identity Center).

Resolução

O IAM Identity Center é independente da federação de identidades configurada usando o IAM. O uso do IAM Identity Center não afeta as identidades do IAM nem sua configuração de federação.

O IAM Identity Center usa a função vinculada a serviço AWSServiceRoleForSSO para conceder permissões para gerenciar recursos da AWS. A função AWSServiceRoleForSSO criada nas contas da AWS só confia no serviço do IAM Identity Center, que é semelhante à seguinte política de confiança do IAM:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service":"sso.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Os perfis do IAM criados pela função vinculada a serviço AWSServiceRoleForSSO têm uma política de confiança do IAM semelhante à seguinte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::AWS-account-ID:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

Observação: essa política do IAM só confia no provedor SAML criado automaticamente pelo IAM Identity Center.

Com a federação do IAM, você deve criar manualmente perfis do IAM nas suas contas da AWS usando uma política de confiança semelhante à seguinte:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/MYIDP"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {"StringEquals": {
      "saml:edupersonorgdn": "ExampleOrg",
      "saml:aud": "https://signin.aws.amazon.com/saml"
    }}
  }]
}

Observação: somente entidades do IAM na sua organização com essa política anexada podem acessar suas contas da AWS.

Para configurar o IAM Identity Center, consulte How do I get started with using IAM Identity Center and access the AWS access portal? (Como começo a usar o IAM Identity Center e acessar o portal de acesso da AWS?)


Informações relacionadas

How to create and manage users within AWS IAM Identity Center (Como criar e gerenciar usuários no Centro de Identidade do AWS IAM)

How do I assign user access to cloud applications in the IAM Identity Center? (Como atribuo o acesso de usuário a aplicações de nuvem no IAM Identity Center?)

How do I use IAM Identity Center permission sets? (Como uso os conjuntos de permissões do IAM Identity Center?)

Identity federation in AWS (Federação de identidades na AWS)

AWS OFICIAL
AWS OFICIALAtualizada há um ano