Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
IAM Identity Center 會如何影響我的 IAM 身分或聯合組態?
我想要使用 AWS IAM Identity Center,為使用者提供對 AWS 帳戶與應用程式的存取權。我想知道 IAM Identity Center 是否會影響我的 AWS Identity and Access Management (IAM) 身分。
簡短說明
您可以使用 IAM Identity Center 或 IAM,將您的員工聯合到 AWS 帳戶與應用程式中。
IAM 聯合可讓您為每個 AWS 帳戶啟用個別的 SAML 2.0 或 OIDC IdP。您可以在 AWS 帳戶中使用身分提供者,而非 IAM 使用者。如需詳細資訊,請參閱身分提供者與聯合。
IAM Identity Center 使用 IAM 服務連結角色。您不需要使用服務連結角色手動新增權限。如需詳細資訊,請參閱使用 IAM Identity Center 的服務連結角色。
解決方法
IAM Identity Center 獨立於您使用 IAM 設定的聯合身分。IAM Identity Center 不會影響 IAM 身分或您的聯合設定。
IAM Identity Center 使用服務連結角色 AWSServiceRoleForSSO,授予管理 AWS 資源的權限。AWS 在 AWS 帳戶中建立的 AWSServiceRoleForSSO 角色,只會透過類似下列內容的 IAM 信任政策,信任 IAM Identity Center 服務:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "sso.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
服務連角色 AWSServiceRoleForSSO 所建立的 IAM 角色,具有類似下列內容的 IAM 信任政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::444455556666:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "SAML:aud": "signin.aws.amazon.com/saml" } } } ] }
**注意:**此 IAM 政策只會信任 IAM Identity Center 自動建立的 SAML 身分提供者。
使用 IAM 聯合時,您必須在 AWS 帳戶中手動建立 IAM 角色,並使用類似下列內容的信任政策:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::444455556666:saml-provider/ExampleIdP" }, "Action": "sts:AssumeRoleWithSAML", "Condition": { "StringEquals": { "saml:edupersonorgdn": "ExampleOrg", "saml:aud": "signin.aws.amazon.com/saml" } } } ] }
**注意:**只有在您的組織中,且已附加此政策的 IAM 實體,才能存取您的 AWS 帳戶。
相關資訊
如何在 AWS IAM Identity Center 中建立及管理使用者
如何在 IAM Identity Center 中指派使用者對雲端應用程式的存取權?
- 語言
- 中文 (繁體)
相關內容
- 已提問 1 年前
- 已提問 2 年前
- AWS 官方已更新 2 年前
