Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Penyedia dan federasi identitas
Jika Anda sudah mengelola identitas pengguna di luar AWS, Anda dapat menggunakan penyedia identitas alih-alih membuat pengguna IAM di situs Anda. Akun AWS Dengan penyedia identitas (iDP), Anda dapat mengelola identitas pengguna di luar AWS dan memberikan izin identitas pengguna eksternal ini untuk menggunakan AWS sumber daya di akun Anda. Ini berguna jika organisasi Anda sudah memiliki sistem identitas sendiri, seperti direktori pengguna korporat. Ini juga berguna jika Anda membuat aplikasi seluler atau web yang memerlukan akses ke sumber daya AWS .
IdP eksternal menyediakan informasi identitas untuk AWS menggunakan OpenID Connect (OIDC) atau SAMP 2.0 (Security Assertion Markup Language 2.0)
catatan
Sebagai praktik terbaik keamanan, kami sarankan Anda mengelola pengguna manusia di IAM Identity Center dengan penyedia identitas SAMP eksternal alih-alih menggunakan federasi SAMP di IAM. Untuk informasi tentang situasi tertentu di mana pengguna IAM diperlukan, lihat Kapan membuat pengguna IAM (bukan peran).
Saat Anda menggunakan penyedia identitas , Anda tidak perlu membuat kode masuk khusus atau mengelola identitas pengguna Anda sendiri. IdP menyediakannya untuk Anda. Pengguna eksternal Anda masuk melalui iDP, dan Anda dapat memberikan izin identitas eksternal tersebut untuk menggunakan AWS sumber daya di akun Anda. Penyedia identitas membantu menjaga Akun AWS keamanan Anda karena Anda tidak perlu mendistribusikan atau menanamkan kredensil keamanan jangka panjang, seperti kunci akses, dalam aplikasi Anda.
Panduan ini mencakup federasi IAM. Kasus penggunaan Anda mungkin lebih didukung oleh IAM Identity Center atau Amazon Cognito. Ringkasan dan tabel berikut memberikan gambaran umum tentang metode yang dapat digunakan pengguna Anda untuk mendapatkan akses gabungan ke sumber daya. AWS
| Jenis akun | Manajemen akses.. | Sumber identitas yang didukung | |
|---|---|---|---|
|
Federasi dengan Pusat Identitas IAM |
Beberapa akun yang dikelola oleh AWS Organizations |
Pengguna manusia tenaga kerja Anda |
|
|
Federasi dengan IAM |
Akun tunggal dan mandiri |
|
|
|
Federasi dengan kumpulan identitas Amazon Cognito |
Setiap |
Pengguna aplikasi yang memerlukan otorisasi IAM untuk mengakses sumber daya |
|
Federasi dengan Pusat Identitas IAM
Untuk manajemen akses terpusat pengguna manusia, kami menyarankan Anda menggunakan IAM Identity Center untuk mengelola akses ke akun dan izin Anda dalam akun tersebut. Pengguna di Pusat Identitas IAM diberikan kredensil jangka pendek ke sumber daya Anda. AWS Anda dapat menggunakan Active Directory, penyedia identitas eksternal (iDP), atau direktori IAM Identity Center sebagai sumber identitas bagi pengguna dan grup untuk menetapkan akses ke sumber daya Anda. AWS
IAM Identity Center mendukung federasi identitas dengan SAMP (Security Assertion Markup Language) 2.0 untuk menyediakan akses masuk tunggal federasi bagi pengguna yang berwenang untuk menggunakan aplikasi dalam portal akses. AWS Pengguna kemudian dapat masuk tunggal ke layanan yang mendukung SAMP, termasuk aplikasi pihak ketiga, seperti Microsoft 365, SAP Concur, AWS Management Console dan Salesforce.
Federasi dengan IAM
Meskipun kami sangat menyarankan untuk mengelola pengguna manusia di IAM Identity Center, Anda dapat mengaktifkan akses pengguna federasi dengan IAM untuk pengguna manusia dalam penerapan skala kecil jangka pendek. IAM memungkinkan Anda untuk menggunakan SAMP 2.0 dan Open ID Connect (OIDC) yang terpisah IdPs dan menggunakan atribut pengguna federasi untuk kontrol akses. Dengan IAM, Anda dapat meneruskan atribut pengguna, seperti pusat biaya, judul, atau lokal, dari IdPs ke Anda AWS, dan menerapkan izin akses berbutir halus berdasarkan atribut ini.
Beban kerja adalah kumpulan sumber daya dan kode yang memberikan nilai bisnis, seperti aplikasi atau proses backend. Beban kerja Anda dapat memerlukan identitas IAM untuk membuat permintaan ke AWS layanan, aplikasi, alat operasional, dan komponen. Identitas ini mencakup mesin yang berjalan di AWS lingkungan Anda, seperti instans AWS Lambda atau fungsi Amazon EC2.
Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Untuk memberikan akses ke identitas mesin, Anda dapat menggunakan peran IAM. Peran IAM memiliki izin khusus dan menyediakan cara untuk mengakses AWS dengan mengandalkan kredensil keamanan sementara dengan sesi peran. Selain itu, Anda mungkin memiliki mesin di luar AWS yang membutuhkan akses ke AWS lingkungan Anda. Untuk mesin yang berjalan di luar AWS Anda dapat menggunakan IAM Roles Anywhere. Untuk informasi lebih lanjut tentang peran, lihat Peran IAM. Untuk detail tentang cara menggunakan peran untuk mendelegasikan akses di seluruh Akun AWS, lihatTutorial IAM: Delegasikan akses di seluruh AWS akun menggunakan peran IAM.
Untuk menautkan IDP langsung ke IAM, Anda membuat entitas penyedia identitas untuk membangun hubungan kepercayaan antara Anda Akun AWS dan iDP. Dukungan IAM IdPs yang kompatibel dengan OpenID Connect (OIDC) atau SAMP 2.0 (
Federasi dengan kumpulan identitas Amazon Cognito
Amazon Cognito dirancang untuk pengembang yang ingin mengautentikasi dan mengotorisasi pengguna di aplikasi seluler dan web mereka. Kumpulan pengguna Amazon Cognito menambahkan fitur masuk dan pendaftaran ke aplikasi Anda, dan kumpulan identitas memberikan kredensil IAM yang memberi pengguna akses ke sumber daya terlindungi yang Anda kelola. AWS Identity pool memperoleh kredensi untuk sesi sementara melalui operasi AssumeRoleWithWebIdentityAPI.
Amazon Cognito bekerja dengan penyedia identitas eksternal yang mendukung SAMP dan OpenID Connect, dan dengan penyedia identitas sosial seperti Facebook, Google, dan Amazon. Aplikasi Anda dapat masuk ke pengguna dengan kumpulan pengguna atau iDP eksternal, lalu mengambil sumber daya atas nama mereka dengan sesi sementara yang disesuaikan dalam peran IAM.
