IAMfederasi - AWS Bimbingan Preskriptif
Federasi multi-akun IAMFederasi akun tunggal IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

IAMfederasi

catatan

Jika Anda sudah memiliki direktori pengguna pusat untuk mengelola pengguna dan grup, kami sarankan Anda menggunakan Pusat IAM Identitas sebagai layanan akses tenaga kerja utama Anda. Jika salah satu pertimbangan desain yang dibahas nanti di bagian ini mencegah Anda menggunakan Pusat IAM Identitas, gunakan IAM federasi alih-alih membuat IAM pengguna terpisah di dalamnyaAWS.

IAMfederasi menetapkan sistem kepercayaan antara dua pihak untuk tujuan otentikasi pengguna dan berbagi informasi yang diperlukan untuk mengotorisasi akses mereka ke sumber daya. Sistem ini memerlukan penyedia identitas (iDP) yang terhubung ke direktori pengguna Anda dan penyedia layanan (SP) yang dikelola. IAM IDP bertanggung jawab untuk mengautentikasi pengguna dan memasok data konteks otorisasi yang relevan keIAM, dan IAM mengontrol akses ke sumber daya di akun dan lingkungan. AWS

IAMfederasi mendukung standar yang umum digunakan seperti SAML 2.0 dan OpenID Connect ()OIDC. SAMLfederasi berbasis didukung oleh banyak orang IdPs dan memungkinkan akses masuk tunggal federasi bagi pengguna untuk masuk ke Konsol AWS Manajemen atau memanggil AWS API tanpa harus membuat pengguna. IAM Anda dapat membuat identitas pengguna AWS dengan menggunakan IAM atau terhubung ke IDP yang ada (misalnya, Microsoft Active Directory, Okta, Ping Identity, atau Microsoft Entra ID). Atau, Anda dapat menggunakan penyedia IAM OIDC identitas ketika Anda ingin membangun kepercayaan antara iDP OIDC yang kompatibel dan AWS akun Anda.

Ada dua pola desain untuk IAM federasi: federasi multi-akun atau federasi akun tunggal.

Federasi multi-akun IAM

Dalam IAM pola multi-akun ini, Anda membangun hubungan SAML -trust terpisah antara IDP dan semua AWS akun yang perlu diintegrasikan. Izin dipetakan dan disediakan berdasarkan akun individual. Pola desain ini menyediakan pendekatan terdistribusi untuk mengelola peran dan kebijakan, dan memberi Anda fleksibilitas untuk mengaktifkan terpisah SAML atau OIDC iDP untuk setiap akun dan menggunakan atribut pengguna federasi untuk kontrol akses.

IAMFederasi multi-akun memberikan manfaat ini:

  • Menyediakan akses sentral ke semua AWS akun Anda dan memungkinkan Anda mengelola izin dengan cara terdistribusi untuk setiap AWS akun.

  • Mencapai skalabilitas dalam pengaturan multi-akun.

  • Memenuhi persyaratan kepatuhan.

  • Memungkinkan Anda mengelola identitas dari lokasi pusat.

Desain ini sangat membantu jika Anda ingin mengelola izin secara terdistribusi, dipisahkan oleh AWS akun. Ini juga membantu dalam skenario di mana Anda tidak memiliki IAM izin berulang di seluruh pengguna Active Directory di akun merekaAWS. Misalnya, mendukung administrator jaringan yang mungkin menyediakan akses sumber daya dengan sedikit variasi di seluruh akun.

SAMLpenyedia harus dibuat secara terpisah di setiap akun, sehingga setiap AWS akun memerlukan proses untuk mengelola pembuatan, pembaruan, dan penghapusan IAM peran dan izinnya. Ini berarti Anda dapat menentukan izin IAM peran yang tepat dan berbeda untuk AWS akun dengan tingkat sensitivitas berbeda untuk fungsi pekerjaan yang sama.

Diagram berikut menggambarkan pola IAM federasi multi-akun.

Pola IAM federasi multi-akun

IAMFederasi akun tunggal (hub-and-spoke model)

catatan

Gunakan pola desain ini untuk skenario spesifik yang dijelaskan di bagian ini. Untuk sebagian besar skenario, federasi berbasis Pusat IAM Identitas atau federasi multi-akun adalah IAM pendekatan yang direkomendasikan. Untuk pertanyaan, hubungi AWSSupport.

Dalam pola federasi akun tunggal, hubungan SAML kepercayaan dibangun antara IDP dan AWS satu akun (akun identitas). Izin dipetakan dan disediakan melalui akun identitas terpusat. Pola desain ini memberikan kesederhanaan dan efisiensi. Penyedia identitas menyediakan SAML pernyataan yang dipetakan ke IAM peran tertentu (dan izin) di akun identitas. Pengguna federasi kemudian dapat berasumsi cross-account-roles untuk mengakses AWS akun lain dari akun identitas.

Diagram berikut menggambarkan pola IAM federasi akun tunggal.

Pola IAM federasi akun tunggal

Gunakan kasus: 

  • Perusahaan yang memiliki satu AWS akun, tetapi terkadang perlu membuat AWS akun berumur pendek untuk kotak pasir atau pengujian yang terisolasi.

  • Lembaga pendidikan yang mempertahankan layanan produksi mereka di akun utama tetapi menyediakan akun siswa sementara berbasis proyek. 

catatan

Kasus penggunaan ini memerlukan tata kelola yang kuat dan proses daur ulang yang terikat waktu untuk memastikan bahwa data produksi tidak masuk ke akun federasi dan untuk menghilangkan potensi risiko keamanan. Proses audit juga sulit dalam skenario ini.

Pertimbangan desain untuk memilih antara IAM federasi dan Pusat IAM Identitas

  • IAMIdentity Center mendukung menghubungkan akun ke hanya satu direktori pada satu waktu. Jika Anda menggunakan beberapa direktori atau ingin mengelola izin berdasarkan atribut pengguna, pertimbangkan untuk menggunakan IAM federasi sebagai alternatif desain. Anda harus memiliki IDP yang mendukung protokol SAML 2.0, seperti Microsoft Active Directory Federation Service (AD FS), Okta, atau Microsoft Entra ID. Anda dapat membangun kepercayaan dua arah dengan bertukar metadata IDP dan SP, dan mengonfigurasi SAML pernyataan untuk memetakan peran ke grup direktori perusahaan dan pengguna. IAM

  • Jika Anda menggunakan penyedia IAM OIDC identitas untuk membangun kepercayaan antara iDP OIDC yang kompatibel dan akun AWS Anda, pertimbangkan IAM untuk menggunakan federasi. Saat Anda menggunakan IAM konsol untuk membuat penyedia OIDC identitas, konsol mencoba mengambil cap jempol untuk Anda. Kami menyarankan Anda juga mendapatkan sidik jari untuk iDP Anda secara manual dan memverifikasi bahwa konsol mengambil OIDC sidik jari yang benar. Untuk informasi selengkapnya, lihat Membuat penyedia OIDC identitas IAM di dalam IAM dokumentasi.

  • Gunakan IAM federasi jika pengguna direktori perusahaan Anda tidak memiliki izin berulang untuk fungsi pekerjaan. Misalnya, administrator jaringan atau database yang berbeda mungkin memerlukan izin IAM peran yang disesuaikan di AWS akun. Untuk mencapai ini di Pusat IAM Identitas, Anda dapat membuat kebijakan terkelola pelanggan terpisah dan mereferensikannya dalam set izin Anda. Untuk informasi selengkapnya, lihat posting AWS blog Cara menggunakan kebijakan yang dikelola pelanggan di Pusat AWS IAM Identitas untuk kasus penggunaan lanjutan.

  • Jika Anda menggunakan model izin terdistribusi, di mana setiap akun mengelola izinnya sendiri, atau model izin terpusat AWS CloudFormation StackSets, pertimbangkan untuk menggunakan federasi. IAM Jika Anda menggunakan model hybrid yang melibatkan izin terpusat dan terdistribusi, pertimbangkan untuk menggunakan IAM Identity Center. Untuk informasi selengkapnya, lihat Penyedia identitas dan federasi dalam IAM dokumentasi.

  • Layanan dan fitur seperti Amazon Q Developer Professional dan AWS CLI versi 2 memiliki dukungan bawaan untuk AWS Identity Center. Namun, beberapa dari kemampuan tersebut tidak didukung oleh IAM federasi.

  • IAMAccess Analyzer saat ini tidak mendukung analisis tindakan pengguna Pusat IAM Identitas.