Salta al contenuto
Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post
Informazioni su re:Post

Come il Centro identità IAM influisce sulle mie identità IAM o sulla configurazione della federazione?

3 minuti di lettura
0

Desidero utilizzare il Centro identità AWS IAM per fornire agli utenti l'accesso ai nostri account e alle nostre applicazioni AWS. Desidero sapere se il Centro identità IAM influisce sulle mie identità AWS Identity and Access Management (AWS IAM).

Breve descrizione

Puoi utilizzare il Centro identità IAM o IAM per federare la forza lavoro in account e applicazioni AWS.

La federazione IAM consente di attivare un SAML 2.0 o un gestore dell'identità digitale OIDC separato per ogni account AWS. Puoi utilizzare gestori dell'identità digitale anziché utenti IAM nel tuo account AWS. Per ulteriori informazioni, consulta Gestori dell'identità digitale e federazione in AWS.

Il Centro identità IAM utilizza ruoli collegati ai servizi IAM. Non serve aggiungere manualmente le autorizzazioni con i ruoli collegati al servizio. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per il Centro identità IAM.

Risoluzione

Il Centro identità IAM è indipendente dalla federazione delle identità configurata con IAM. Il Centro identità IAM non influisce sulle identità IAM o sulla configurazione della federazione.

Il Centro identità IAM utilizza il ruolo collegato al servizio AWSServiceRoleForSSO per concedere le autorizzazioni per gestire le risorse AWS. Il ruolo AWSServiceRoleForSSO che AWS crea negli account AWS considera attendibile il servizio Centro identità IAM solo con una policy di attendibilità IAM simile alla seguente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sso.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

I ruoli IAM creati dal ruolo collegato al servizio AWSServiceRoleForSSO hanno una policy di attendibilità IAM simile alla seguente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::444455556666:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

Nota: questa policy IAM considera attendibile solo il gestore SAML creato automaticamente dal Centro identità IAM.

Con la federazione IAM, devi creare manualmente i ruoli IAM negli account AWS utilizzando una policy di attendibilità simile alla seguente:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::444455556666:saml-provider/ExampleIdP"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "saml:edupersonorgdn": "ExampleOrg",
          "saml:aud": "signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

Nota: solo le entità IAM dell'organizzazione con questa policy collegata possono accedere agli account AWS.

Informazioni correlate

How to create and manage users within AWS IAM Identity Center (Come creare e gestire utenti all’interno del Centro identità AWS IAM)

Come assegnare l'accesso degli utenti alle applicazioni cloud nel Centro Identità IAM?

Come posso utilizzare i set di autorizzazioni del Centro identità IAM?

Identity federation in AWS (Federazione di identità in AWS)

Argomenti
Security, Identity, & Compliance
Tag
AWS IAM Identity Center
Lingua
Italiano
AWS UFFICIALEAggiornata 5 mesi fa

Contenuto pertinente