Configuración única de una aplicación de federación de IAM directa en Okta
Inicie sesión en su cuenta de Okta como usuario con permisos administrativos.
En la Consola de administración de Okta, en Aplicaciones, seleccione Aplicaciones.
Seleccione Explorar el catálogo de aplicaciones. Busque y elija Federación de cuentas de AWS. Seleccione Agregar integración.
Configure la federación de IAM directa con AWS siguiendo los pasos de Cómo configurar SAML 2.0 para la federación de cuentas de AWS
. En la pestaña Opciones de inicio de sesión, seleccione SAML 2.0 e introduzca los ajustes de Filtro de grupo y Patrón de valores de rol. El nombre del grupo para el directorio de usuarios depende del filtro que configure.
En la figura anterior, la variable
rolecorresponde al rol de operaciones de emergencia en su cuenta de acceso de emergencia. Por ejemplo, si crea el rolEmergencyAccess_Role1_RO(tal como se describe en la tabla de asignación) en su Cuenta de AWS123456789012, y si la configuración del filtro de grupo está configurada como se muestra en la figura anterior, el nombre de su grupo debería seraws#EmergencyAccess_Role1_RO#123456789012.En el directorio (por ejemplo, el directorio de Active Directory), cree el grupo de acceso de emergencia y especifique un nombre para el directorio (por ejemplo,
aws#EmergencyAccess_Role1_RO#123456789012). Asigne sus usuarios a este grupo mediante el mecanismo de aprovisionamiento existente.En la cuenta de acceso de emergencia, configure una política de confianza personalizada que proporcione los permisos necesarios para que se asuma el rol de acceso de emergencia durante una interrupción. A continuación, se muestra un ejemplo de una política de confianza personalizada asociada al rol
EmergencyAccess_Role1_RO. Para ver un ejemplo, consulte la cuenta de emergencia en el diagrama en Cómo diseñar una asignación de roles, cuentas y grupos de emergencia.{ "Version": "2012-10-17", "Statement": [ { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/Okta" }, "Action":[ "sts:AssumeRoleWithSAML", "sts:SetSourceIdentity", "sts:TagSession" ], "Condition":{ "StringEquals":{ "SAML:aud":"https:~/~/signin.aws.amazon.com/saml" } } } ] }A continuación se muestra un ejemplo de una declaración de una política de permisos asociada al rol
EmergencyAccess_Role1_RO. Para ver un ejemplo, consulte la cuenta de emergencia en el diagrama en Cómo diseñar una asignación de roles, cuentas y grupos de emergencia.{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"sts:AssumeRole", "Resource":[ "arn:aws:iam::<account 1>:role/EmergencyAccess_RO", "arn:aws:iam::<account 2>:role/EmergencyAccess_RO" ] } ] }En las cuentas de carga de trabajo, configure una política de confianza personalizada. A continuación se muestra un ejemplo de declaración de una política de confianza asociada al rol
EmergencyAccess_RO. En este ejemplo, la cuenta123456789012es la cuenta de acceso de emergencia. Para ver un ejemplo, consulte la cuenta de carga de trabajo en el diagrama en Cómo diseñar una asignación de roles, cuentas y grupos de emergencia.{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::123456789012:root" }, "Action":"sts:AssumeRole" } ] }nota
La mayoría de los IdP le permiten mantener desactivada la integración de una aplicación hasta que sea necesaria. Le recomendamos que mantenga la aplicación de federación de IAM directa desactivada en su IdP hasta que sea necesaria para el acceso de emergencia.
