Ir para o conteúdo
Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post
sobre o re:Post

Como o Centro de Identidade do IAM afeta minhas identidades do IAM ou minha configuração de federação?

3 minuto de leitura
0

Quero usar o Centro de Identidade do AWS IAM para fornecer acesso aos usuários às nossas contas e aplicações da AWS. Quero saber se o Centro de Identidade do IAM afeta minhas identidades do AWS Identity and Access Management (AWS IAM).

Breve descrição

É possível usar o Centro de Identidade do IAM ou o IAM para federar sua equipe em contas e aplicações da AWS.

A federação do IAM permite que você ative um SAML 2.0 ou um IdP do OIDC separado para cada conta da AWS. É possível usar provedores de identidade em vez de usuários do IAM em sua conta da AWS. Para mais informações, consulte Provedores de identidade e federação.

O Centro de Identidade do IAM usa perfis vinculados ao serviço do IAM. Você não precisa adicionar permissões manualmente com perfis vinculados ao serviço. Para mais informações, consulte Using service-linked roles for IAM Identity Center (Usar perfis vinculados ao serviço para o Centro de Identidade do IAM).

Resolução

O Centro de Identidade do IAM independe da federação de identidades que você configura com o IAM. O Centro de Identidade do IAM não afeta as identidades do IAM nem a configuração da sua federação.

O Centro de Identidade do IAM usa o perfil vinculado ao serviço AWSServiceRoleForSSO para conceder permissões para gerenciar recursos da AWS. O perfil AWSServiceRoleForSSO que a AWS cria nas contas da AWS confia somente ao serviço do Centro de Identidade do IAM uma política de confiança do IAM semelhante à seguinte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "sso.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Os perfis do IAM que o perfil vinculado ao serviço AWSServiceRoleForSSO cria têm uma política de confiança do IAM semelhante à seguinte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::444455556666:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

Observação: essa política do IAM confia somente no provedor SAML que o Centro de Identidade do IAM cria automaticamente.

Com a federação do IAM, você deve criar manualmente perfis do IAM em suas contas da AWS com uma política de confiança semelhante à seguinte:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::444455556666:saml-provider/ExampleIdP"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "saml:edupersonorgdn": "ExampleOrg",
          "saml:aud": "signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

Observação: somente entidades do IAM em sua organização com essa política anexada podem acessar suas contas da AWS.

Informações relacionadas

How to create and manage users within AWS IAM Identity Center (Como criar e gerenciar usuários no Centro de Identidade do AWS IAM)

Como atribuir acesso a aplicações na nuvem para os usuários no Centro de Identidade do IAM?

How do I use IAM Identity Center permission sets? (Como usar os conjuntos de permissões do Centro de Identidade do IAM?)

Federação de identidades na AWS

Tópicos
Security, Identity, & Compliance
Tags
AWS IAM Identity Center
Idioma
Português
AWS OFICIALAtualizada há 6 meses
Sem comentários

Conteúdo relevante