Creare un ruolo per la federazione SAML 2.0 (console) - AWS Identity and Access Management
Prerequisiti per la creazione di un ruolo per SAMLCreazione di un ruolo per SAML

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare un ruolo per la federazione SAML 2.0 (console)

Puoi utilizzare la federazione SAML 2.0 invece di creare IAM utenti nel tuo. Account AWS Con un provider di identità (IdP), puoi gestire le tue identità utente all'esterno AWS e concedere a queste identità utente esterne le autorizzazioni per accedere AWS alle risorse del tuo account. Per ulteriori informazioni sulla federazione e sui provider di identità, consultare Provider di identità e federazione.

Nota

Per migliorare la resilienza della federazione, ti consigliamo di configurare l'IdP AWS e la federazione per supportare SAML più endpoint di accesso. Per i dettagli, consulta l'articolo del AWS Security Blog Come utilizzare gli endpoint regionali per il failover SAML.

Prerequisiti per la creazione di un ruolo per SAML

Prima di poter creare un ruolo per la federazione SAML 2.0, è necessario completare i seguenti passaggi preliminari.

Per prepararsi a creare un ruolo per la federazione SAML 2.0

  1. Prima di creare un ruolo per la federazione SAML basata, è necessario creare un SAML provider inIAM. Per ulteriori informazioni, consulta Creare un provider di SAML identità in IAM.

  2. Prepara le politiche per il ruolo che assumeranno gli utenti SAML autenticati nella versione 2.0. Come per qualsiasi ruolo, un ruolo per la SAML federazione include due politiche. Una è la policy di attendibilità del ruolo, che specifica chi può assumere il ruolo. L'altra è la politica IAM delle autorizzazioni che specifica le AWS azioni e le risorse a cui è consentito o negato l'accesso all'utente federato.

    Al momento della creazione della policy di attendibilità per il ruolo, devi utilizzare tre valori che garantiscono che solo la tua applicazione possa assumere il ruolo:

    • Per l'elemento Action, si utilizza l'operazione sts:AssumeRoleWithSAML.

    • Per l'elemento Principal, usa la stringa {"Federated":ARNofIdentityProvider}. Sostituisci ARNofIdentityProvider con quello ARN del provider di SAML identità in cui hai creato. Passo 1

    • Per l'Conditionelemento, utilizzate una StringEquals condizione per verificare che l'saml:audattributo della SAML risposta corrisponda all'endpoint della SAML federazione per AWS.

    Il seguente esempio di politica di fiducia è progettato per un utente SAML federato:

    {
    "Version": "2012-10-17",
    "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRoleWithSAML",
      "Principal": {"Federated": "arn:aws:iam::account-id:saml-provider/PROVIDER-NAME"},
      "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}}
    }
  }

    Sostituisci il principale ARN con quello effettivo ARN del SAML provider in IAM cui hai creato. L'ARN include l'ID account e il nome del provider.

Creazione di un ruolo per SAML

Dopo aver completato i passaggi preliminari, è possibile creare il ruolo per la federazione SAML basata.

Per creare un ruolo per la federazione SAML basata

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione della IAM console, scegli Ruoli, quindi scegli Crea ruolo.

  3. Scegli il tipo di ruolo di federazione SAML 2.0.

  4. Per Seleziona un SAML provider, scegli il provider per il tuo ruolo.

  5. Scegli il metodo del livello di accesso SAML 2.0.

    • Scegli Consenti solo l'accesso programmatico per creare un ruolo che può essere assunto a livello di codice da o. AWS API AWS CLI

    • Scegli Consenti AWS Management Console accesso e programmazione per creare un ruolo che può essere assunto a livello di codice e da. AWS Management Console

    I due comandi sono simili, ma il ruolo che può essere assunto anche tramite console include una policy di affidabilità con una condizione particolare. Questa condizione garantisce esplicitamente che il SAML pubblico (SAML:audattributo) sia impostato sull'endpoint di AWS accesso per (https://signin.aws.amazon.com/saml). SAML

  6. Se si sta creando un ruolo per l'accesso programmatico, scegliere un attributo dall'elenco Attributo. Dopodiché, nella casella Value (Valore), inserisci un valore da includere nel ruolo. Ciò limita l'accesso al ruolo agli utenti del provider di identità la cui risposta di SAML autenticazione (asserzione) include gli attributi specificati. Per fare in modo che il ruolo sia limitato a un sottoinsieme di utenti all'interno dell'organizzazione, specificare almeno un attributo.

    Se state creando un ruolo per l'accesso programmatico e da console, l'SAML:audattributo viene aggiunto automaticamente e impostato sull'URL AWS SAMLendpoint (https://signin.aws.amazon.com/saml).

  7. Per aggiungere ulteriori condizioni relative agli attributi alla policy di attendibilità, scegli Condition (optional) (Condizione [facoltativo]), seleziona la condizione aggiuntiva e specifica un valore.

    Nota

    L'elenco include gli attributi più comunemente usatiSAML. IAMsupporta attributi aggiuntivi che è possibile utilizzare per creare condizioni. Per un elenco degli attributi supportati, consulta Available Keys for SAML Federation. Se hai bisogno di una condizione per un SAML attributo supportato che non è nell'elenco, puoi aggiungere manualmente tale condizione. A tale scopo, modificare la policy di attendibilità dopo aver creato il ruolo.

  8. Controlla le tue informazioni sull'attendibilità SAML 2.0, quindi scegli Avanti.

  9. IAMinclude un elenco delle politiche AWS gestite e gestite dai clienti nel tuo account. Seleziona la policy delle autorizzazioni da utilizzare o scegli Create policy (Crea policy) per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta Creazione IAM di politiche. Una volta creata la policy, chiudere la scheda e tornare alla scheda originale. Seleziona la casella di controllo accanto alle politiche di autorizzazione che desideri assegnare agli utenti OIDC federati. È anche possibile non selezionare le policy ora e collegarle al ruolo in un secondo momento. Per default, un ruolo non dispone di autorizzazioni.

  10. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata.

    Apri la sezione Permissions boundary (Limite delle autorizzazioni) e scegli Use a permissions boundary to control the maximum role permissions (Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo). Selezionare la policy da utilizzare per il limite delle autorizzazioni.

  11. Scegli Next (Successivo).

  12. Scegli Prossimo: Rivedi.

  13. In Role name, (Nome ruolo), inserisci un nome. I nomi dei ruoli devono essere univoci all'interno del tuo. Account AWS Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare ruoli denominati sia PRODROLE che prodrole. Poiché altre AWS risorse potrebbero fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo che è stato creato.

  14. (Facoltativo) In Description (Descrizione), inserisci una descrizione per il nuovo ruolo.

  15. Scegli Edit (Modifica) nelle sezioni Step 1: Select trusted entities (Fase 1: seleziona le entità attendibili) o Step 2: Add permissions (Fase 2: aggiungi autorizzazioni) per modificare i casi d'uso e le autorizzazioni per il ruolo.

  16. (Facoltativo) Aggiungere metadati al ruolo collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consultaTag per AWS Identity and Access Management le risorse.

  17. Rivedere il ruolo e scegliere Crea ruolo.

Dopo aver creato il ruolo, completate il SAML trust configurando il software del provider di identità con informazioni su AWS. Queste informazioni includono i ruoli che devono utilizzare gli utenti federati. Tale operazione viene definita configurazione della relazione di trust fra IdP e AWS. Per ulteriori informazioni, consulta Configura il tuo IdP SAML 2.0 con la fiducia dei relying party e l'aggiunta di claim.