Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Penyedia dan federasi identitas

Sebagai praktik terbaik, kami menyarankan Anda mengharuskan pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS sumber daya alih-alih membuat IAM pengguna individu di Anda Akun AWS. Dengan penyedia identitas (iDP), Anda dapat mengelola identitas pengguna di luar AWS dan memberikan izin identitas pengguna eksternal ini untuk menggunakan AWS sumber daya di akun Anda. Ini berguna jika organisasi Anda sudah memiliki sistem identitas sendiri, seperti direktori pengguna korporat. Ini juga berguna jika Anda membuat aplikasi seluler atau aplikasi web yang membutuhkan akses ke AWS sumber daya.

Jika Anda lebih suka menggunakan satu AWS akun tanpa mengaktifkan Pusat IAM Identitas, Anda dapat menggunakan IAM dengan IDP eksternal yang menyediakan informasi identitas AWS untuk menggunakan OpenID OIDC Connect (SAML) atau 2.0 (Security Assertion Markup Language 2.0). OIDCmenghubungkan aplikasi, seperti GitHub Actions, yang tidak berjalan AWS ke AWS sumber daya. Contoh penyedia SAML identitas terkenal adalah Shibboleth dan Layanan Federasi Direktori Aktif.

Saat Anda menggunakan penyedia identitas , Anda tidak perlu membuat kode masuk khusus atau mengelola identitas pengguna Anda sendiri. IdP menyediakannya untuk Anda. Pengguna eksternal Anda masuk melalui iDP, dan Anda dapat memberikan izin identitas eksternal tersebut untuk menggunakan AWS sumber daya di akun Anda. Penyedia identitas membantu menjaga Akun AWS keamanan Anda karena Anda tidak perlu mendistribusikan atau menanamkan kredensi keamanan jangka panjang, seperti kunci akses, dalam aplikasi Anda.

Tinjau tabel berikut untuk membantu menentukan jenis IAM federasi mana yang terbaik untuk kasus penggunaan Anda;IAM, Pusat IAM Identitas, atau Amazon Cognito. Ringkasan dan tabel berikut memberikan gambaran umum tentang metode yang dapat digunakan pengguna Anda untuk mendapatkan akses gabungan ke sumber daya. AWS

Federasi dengan Pusat IAM Identitas

Untuk manajemen akses terpusat pengguna manusia, kami sarankan Anda menggunakan Pusat IAM Identitas untuk mengelola akses ke akun dan izin Anda dalam akun tersebut. Pengguna di Pusat IAM Identitas diberikan kredensi jangka pendek ke sumber daya Anda AWS . Anda dapat menggunakan Active Directory, penyedia identitas eksternal (iDP), atau direktori Pusat IAM Identitas sebagai sumber identitas bagi pengguna dan grup untuk menetapkan akses ke sumber daya Anda. AWS

IAMIdentity Center mendukung federasi identitas dengan SAML (Security Assertion Markup Language) 2.0 untuk menyediakan akses masuk tunggal federasi bagi pengguna yang berwenang untuk menggunakan aplikasi dalam portal akses. AWS Pengguna kemudian dapat masuk tunggal ke layanan yang mendukungSAML, termasuk aplikasi pihak ketiga AWS Management Console dan aplikasi, seperti Microsoft 365, SAP Concur, dan Salesforce.

Federasi dengan IAM

Meskipun kami sangat menyarankan untuk mengelola pengguna manusia di Pusat IAM Identitas, Anda dapat mengaktifkan akses pengguna gabungan IAM untuk pengguna manusia dalam penerapan skala kecil jangka pendek. IAMmemungkinkan Anda untuk menggunakan SAML 2.0 terpisah dan Open ID Connect (OIDC) IdPs dan menggunakan atribut pengguna federasi untuk kontrol akses. DenganIAM, Anda dapat meneruskan atribut pengguna, seperti pusat biaya, judul, atau lokal, dari IdPs ke Anda AWS, dan menerapkan izin akses berbutir halus berdasarkan atribut ini.

Beban kerja adalah kumpulan sumber daya dan kode yang memberikan nilai bisnis, seperti aplikasi atau proses backend. Beban kerja Anda dapat memerlukan IAM identitas untuk membuat permintaan ke AWS layanan, aplikasi, alat operasional, dan komponen. Identitas ini mencakup mesin yang berjalan di AWS lingkungan Anda, seperti EC2 instans atau AWS Lambda fungsi Amazon.

Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Untuk memberikan akses ke identitas mesin, Anda dapat menggunakan IAM peran. IAMperan memiliki izin khusus dan menyediakan cara untuk mengakses AWS dengan mengandalkan kredenal keamanan sementara dengan sesi peran. Selain itu, Anda mungkin memiliki mesin di luar AWS yang membutuhkan akses ke AWS lingkungan Anda. Untuk mesin yang berjalan di luar AWS Anda dapat menggunakan IAMPeran Di Mana Saja. Untuk informasi lebih lanjut tentang peran, lihat IAMperan. Untuk detail tentang cara menggunakan peran untuk mendelegasikan akses di seluruh Akun AWS, lihatIAMtutorial: Delegasikan akses di seluruh AWS akun menggunakan peran IAM.

Untuk menautkan IDP secara langsung keIAM, Anda membuat entitas penyedia identitas untuk membangun hubungan kepercayaan antara Anda Akun AWS dan iDP. IAMmendukung IdPs yang kompatibel dengan OpenID Connect (OIDC) atau SAML 2.0 (Security Assertion Markup Language 2.0). Untuk informasi selengkapnya tentang menggunakan salah satu dari ini IdPs dengan AWS, lihat bagian berikut:

Federasi dengan kumpulan identitas Amazon Cognito

Amazon Cognito dirancang untuk pengembang yang ingin mengautentikasi dan mengotorisasi pengguna di aplikasi seluler dan web mereka. Kumpulan pengguna Amazon Cognito menambahkan fitur masuk dan pendaftaran ke aplikasi Anda, dan kumpulan identitas memberikan IAM kredensi yang memberi pengguna akses ke sumber daya terlindungi yang Anda kelola. AWS Identity pool memperoleh kredensi untuk sesi sementara melalui operasi. AssumeRoleWithWebIdentityAPI

Amazon Cognito bekerja dengan penyedia identitas eksternal yang mendukung dan SAML OpenID Connect, dan dengan penyedia identitas sosial seperti Facebook, Google, dan Amazon. Aplikasi Anda dapat masuk ke pengguna dengan kumpulan pengguna atau iDP eksternal, lalu mengambil sumber daya atas nama mereka dengan sesi sementara yang disesuaikan dalam peran. IAM

Sumber daya tambahan