使用 IAM Identity Center 是否會影響我的 IAM 身分或聯合組態?

2 分的閱讀內容
0

我想要使用 AWS IAM Identity Center (AWS Single Sign-On 的後繼者) 為使用者提供我們的 AWS 帳戶和應用程式的存取權。我想要知道使用 IAM Identity Center 是否會影響我的 AWS Identity and Access Management (IAM) 身分 (使用者、群組和角色)。

簡短描述

您可以使用 IAM Identity Center 或 IAM 將您的人力聯合到 AWS 帳戶和應用程式。

IAM 聯合可讓您針對存取控制,為每個 AWS 帳戶和使用者屬性啟動獨立 SAML 2.0 或 OIDC IdP。您可以使用身分提供者,而不是在 AWS 帳戶中建立 IAM 使用者。如需詳細資訊,請參閱身分提供者和聯合

IAM Identity Center 會使用 IAM 服務連結角色。您不必使用服務連結角色手動新增許可。如需詳細資訊,請參閱為 IAM Identity Center 使用服務連結角色

解決方案

IAM Identity Center 獨立於使用 IAM 設定的聯合身分。使用 IAM Identity Center 不會影響 IAM 身分或您的聯合組態。

IAM Identity Center 會使用服務連結角色 AWSServiceRoleForSSO 授與管理 AWS 資源的許可。在 AWS 帳戶中建立的 AWSServiceRoleForSSO 角色只會信任與下列 IAM 信任政策類似的 IAM Identity Center 服務:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service":"sso.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

服務連結角色 AWSServiceRoleForSSO 所建立的 IAM 角色具有類似以下內容的 IAM 信任政策:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::AWS-account-ID:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

**注意:**此 IAM 政策僅信任 IAM Identity Center 自動建立的 SAML 提供者。

使用 IAM 聯合時,您必須使用類似下列內容的信任政策,在 AWS 帳戶中手動建立 IAM 角色:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/MYIDP"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {"StringEquals": {
      "saml:edupersonorgdn": "ExampleOrg",
      "saml:aud": "https://signin.aws.amazon.com/saml"
    }}
  }]
}

**注意:**只有組織中附加了此政策的 IAM 實體才能存取您的 AWS 帳戶。

若要設定 IAM Identity Center,請參閱如何開始使用 IAM Identity Center 並存取 AWS 存取入口網站?


相關資訊

如何在 AWS IAM Identity Center 內建立和管理使用者

如何在 IAM Identity Center 中分配使用者對雲端應用程式的存取權限?

如何使用 IAM Identity Center 許可集?

AWS 中的聯合身分

AWS 官方
AWS 官方已更新 1 年前