使用 IAM Identity Center 会影响我的 IAM 身份或联合身份验证配置吗?

2 分钟阅读
0

我想使用 AWS IAM Identity Center(AWS Single Sign-On 的后继者)为用户提供访问我们的 AWS 账户和应用程序的权限。我想知道使用 IAM Identity Center 是否会影响我的 AWS Identity and Access Management(AWS IAM)身份(用户、组和角色)。

简短描述

您可以使用 IAM Identity Center 或 IAM 将您的员工联合到 AWS 账户和应用程序。

IAM 联合身份验证允许您为每个 AWS 账户和用户属性激活单独的 SAML 2.0 或 OIDC IdP 以进行访问控制。您可以使用身份提供者,而不是在您的 AWS 账户中创建 IAM 用户。有关更多信息,请参阅身份提供者和联合身份验证

IAM Identity Center 使用 IAM 服务关联角色。您不必使用服务关联角色手动添加权限。有关更多信息,请参阅 Using service-linked roles for IAM Identity Center(使用适用于 IAM Identity Center 的服务关联角色)。

解决方法

IAM Identity Center 独立于使用 IAM 配置的身份联合验证。使用 IAM Identity Center 不会影响 IAM 身份或您的联合身份验证配置。

IAM Identity Center 使用服务关联角色 AWSServiceRoleForSSO 来授予管理 AWS 资源的权限。在 AWS 账户中创建的 AWSServiceRoleForSSO 角色仅信任 IAM Identity Center 服务,该服务与以下 IAM 信任策略类似:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service":"sso.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

由服务关联角色 AWSServiceRoleForSSO 创建的 IAM 角色具有类似于以下内容的 IAM 信任策略:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Federated": "arn:aws:iam::AWS-account-ID:saml-provider/AWSSSO_ec48a2d3f5dc369d_DO_NOT_DELETE"
      },
      "Action": "sts:AssumeRoleWithSAML",
      "Condition": {
        "StringEquals": {
          "SAML:aud": "https://signin.aws.amazon.com/saml"
        }
      }
    }
  ]
}

**注意:**该 IAM policy 仅信任 IAM Identity Center 自动创建的 SAML 提供者。

使用 IAM 联合身份验证,您必须使用类似于以下内容的信任策略在您的 AWS 账户中手动创建 IAM 角色:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {"Federated": "arn:aws:iam::ACCOUNT-ID-WITHOUT-HYPHENS:saml-provider/MYIDP"},
    "Action": "sts:AssumeRoleWithSAML",
    "Condition": {"StringEquals": {
      "saml:edupersonorgdn": "ExampleOrg",
      "saml:aud": "https://signin.aws.amazon.com/saml"
    }}
  }]
}

**注意:**只有您组织中附加了此策略的 IAM 实体才能访问您的 AWS 账户。

要配置 IAM Identity Center,请参阅如何开始使用 IAM Identity Center 和访问 AWS 访问门户?


相关信息

如何在 AWS IAM Identity Center 内创建和管理用户

如何在 IAM Identity Center 中为用户分配云应用程序的访问权限?

如何使用 IAM Identity Center 权限集?

AWS 中的身份联合验证

AWS 官方
AWS 官方已更新 2 年前