Buat peran untuk federasi SAML 2.0 (konsol) - AWS Identity and Access Management
Prasyarat untuk menciptakan peran untuk SAMLMenciptakan peran untuk SAML

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran untuk federasi SAML 2.0 (konsol)

Anda dapat menggunakan federasi SAML 2.0 alih-alih membuat IAM pengguna di Akun AWS. Dengan penyedia identitas (iDP), Anda dapat mengelola identitas pengguna di luar AWS dan memberikan izin identitas pengguna eksternal ini untuk mengakses AWS sumber daya di akun Anda. Untuk informasi lebih lanjut tentang federasi dan penyedia identitas, lihat Penyedia dan federasi identitas.

catatan

Untuk meningkatkan ketahanan federasi, kami menyarankan Anda mengonfigurasi IDP dan AWS federasi Anda untuk mendukung beberapa titik akhir masuk. SAML Untuk detailnya, lihat artikel Blog AWS Keamanan Cara menggunakan SAML titik akhir regional untuk failover.

Prasyarat untuk menciptakan peran untuk SAML

Sebelum Anda dapat membuat peran untuk federasi SAML 2.0, Anda harus terlebih dahulu menyelesaikan langkah-langkah prasyarat berikut.

Untuk mempersiapkan diri untuk membuat peran untuk federasi SAML 2.0

  1. Sebelum Anda membuat peran untuk federasi SAML berbasis, Anda harus membuat SAML penyedia diIAM. Untuk informasi selengkapnya, lihat Buat penyedia SAML identitas di IAM.

  2. Siapkan kebijakan untuk peran yang akan diasumsikan oleh pengguna yang SAML diautentikasi 2.0. Seperti halnya peran apa pun, peran SAML federasi mencakup dua kebijakan. Salah satunya adalah kebijakan kepercayaan peran yang dapat mengasumsikan peran. Yang lainnya adalah kebijakan IAM izin yang menentukan AWS tindakan dan sumber daya yang diizinkan atau ditolak aksesnya oleh pengguna federasi.

    Ketika Anda membuat kebijakan kepercayaan untuk peran Anda, Anda harus menggunakan tiga nilai untuk memastikan bahwa hanya aplikasi Anda yang dapat mengambil peran:

    • Untuk elemen Action, gunakan tindakan sts:AssumeRoleWithSAML.

    • Untuk elemen Principal, gunakan string {"Federated":ARNofIdentityProvider}. Ganti ARNofIdentityProvider dengan penyedia SAML identitas yang Anda buatTahapĀ 1. ARN

    • Untuk Condition elemen, gunakan StringEquals kondisi untuk menguji apakah saml:aud atribut dari SAML respons cocok dengan titik akhir SAML federasi. AWS

    Contoh kebijakan kepercayaan berikut dirancang untuk pengguna SAML federasi:

    {
    "Version": "2012-10-17",
    "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRoleWithSAML",
      "Principal": {"Federated": "arn:aws:iam::account-id:saml-provider/PROVIDER-NAME"},
      "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}}
    }
  }

    Ganti prinsipal ARN dengan yang sebenarnya ARN untuk SAML penyedia yang Anda buatIAM. Itu akan memiliki ID akun dan nama penyedia Anda sendiri.

Menciptakan peran untuk SAML

Setelah Anda menyelesaikan langkah-langkah prasyarat, Anda dapat membuat peran untuk SAML federasi berbasis.

Untuk membuat peran untuk federasi SAML berbasis

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi IAM konsol, pilih Peran, lalu pilih Buat peran.

  3. Pilih jenis peran federasi SAML 2.0.

  4. Untuk Pilih SAML penyedia, pilih penyedia untuk peran Anda.

  5. Pilih metode tingkat akses SAML 2.0.

    • Pilih Izinkan akses terprogram hanya untuk membuat peran yang dapat diasumsikan secara terprogram dari atau. AWS API AWS CLI

    • Pilih Izinkan programatik dan AWS Management Console akses untuk membuat peran yang dapat diasumsikan secara terprogram dan dari. AWS Management Console

    Peran yang dibuat oleh keduanya serupa, tetapi peran yang juga dapat diasumsikan dari konsol mencakup suatu kebijakan kepercayaan dengan syarat tertentu. Kondisi itu secara eksplisit memastikan bahwa SAML audiens (SAML:audatribut) disetel ke titik akhir AWS masuk untuk SAML (https://signin.aws.amazon.com/saml).

  6. Jika Anda membuat peran untuk akses terprogram, pilih atribut dari daftar Atribut. Kemudian, di kotak Nilai, masukkan nilai untuk disertakan dalam peran. Ini membatasi akses peran ke pengguna dari penyedia identitas yang respons SAML autentikasi (pernyataan) menyertakan atribut yang Anda tentukan. Anda harus menentukan setidaknya satu atribut untuk memastikan bahwa peran Anda terbatas pada subset pengguna dalam organisasi Anda.

    Jika Anda membuat peran untuk akses terprogram dan konsol, SAML:aud atribut secara otomatis ditambahkan dan disetel ke AWS SAML titik URL akhir (https://signin.aws.amazon.com/saml).

  7. Untuk menambahkan lebih banyak kondisi terkait atribut ke kebijakan trust, pilih Kondisi (opsional), pilih kondisi tambahan, dan tentukan nilai.

    catatan

    Daftar ini mencakup SAML atribut yang paling umum digunakan. IAMmendukung atribut tambahan yang dapat Anda gunakan untuk membuat kondisi. Untuk daftar atribut yang didukung, lihat Kunci yang Tersedia untuk SAML Federasi. Jika Anda memerlukan kondisi untuk SAML atribut yang didukung yang tidak ada dalam daftar, Anda dapat menambahkan kondisi tersebut secara manual. Untuk melakukannya, ubah kebijakan kepercayaan setelah Anda membuat peran tersebut.

  8. Tinjau informasi kepercayaan SAML 2.0 Anda dan kemudian pilih Berikutnya.

  9. IAMmenyertakan daftar kebijakan yang AWS dikelola dan dikelola pelanggan di akun Anda. Pilih kebijakan yang akan digunakan untuk kebijakan izin, atau pilih Buat kebijakan untuk membuka tab browser baru dan membuat kebijakan baru dari awal. Untuk informasi selengkapnya, lihat Membuat IAM kebijakan. Setelah Anda membuat kebijakan, tutup tab tersebut dan kembali ke tab asli Anda. Pilih kotak centang di samping kebijakan izin yang ingin dimiliki OIDC oleh pengguna federasi. Jika Anda lebih suka, Anda boleh tidak memilih kebijakan saat ini, kemudian melampirkan kebijakan kepada peran di lain waktu. Secara default, peran tidak memiliki izin.

  10. (Opsional) Tetapkan batas izin. Ini adalah fitur lanjutan.

    Buka bagian batas izin dan pilih Gunakan batas izin untuk mengontrol izin peran maksimum. Pilih kebijakan yang akan digunakan untuk batas izin.

  11. Pilih Berikutnya.

  12. Pilih Berikutnya: Tinjau.

  13. Untuk Nama peran, masukkan nama peran. Nama peran harus unik dalam diri Anda Akun AWS. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat peran dengan nama PRODROLE dan prodrole. Karena AWS sumber daya lain mungkin merujuk peran, Anda tidak dapat mengedit nama peran setelah dibuat.

  14. (Opsional) Untuk Deskripsi, masukkan deskripsi untuk peran baru ini.

  15. Pilih Edit di Langkah 1: Pilih entitas tepercaya atau Langkah 2: Tambahkan bagian izin untuk mengedit kasus penggunaan dan izin untuk peran tersebut.

  16. (Opsional) Tambahkan metadata ke dalam peran dengan melampirkan tanda sebagai pasangan nilai-kunci. Untuk informasi selengkapnya tentang penggunaan tag diIAM, lihatTag untuk AWS Identity and Access Management sumber daya.

  17. Tinjau peran, lalu pilih Buat peran.

Setelah Anda membuat peran, Anda menyelesaikan SAML kepercayaan dengan mengonfigurasi perangkat lunak penyedia identitas Anda dengan informasi tentang AWS. Informasi ini mencakup peran yang Anda inginkan agar digunakan oleh pengguna federasi Anda. Ini disebut sebagai mengonfigurasi kepercayaan pihak pengandal antara Idp dan AWS. Untuk informasi selengkapnya, lihat Konfigurasikan IDP SAMP 2.0 Anda dengan mengandalkan kepercayaan pihak dan menambahkan klaim.