Creare un ruolo per una federazione SAML 2.0 (console) - AWS Identity and Access Management
Prerequisiti per la creazione di un ruolo per SAMLCreazione di un ruolo per SAML

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Creare un ruolo per una federazione SAML 2.0 (console)

Puoi utilizzare la federazione SAML 2.0 invece di creare utenti IAM nel tuo Account AWS. Con un provider di identità (IdP), puoi gestire le tue identità utente all'esterno AWS e concedere a queste identità utente esterne le autorizzazioni per accedere AWS alle risorse del tuo account. Per ulteriori informazioni sulla federazione e sui provider di identità, consultare Provider di identità e federazione.

Nota

Per migliorare la resilienza della federazione, ti consigliamo di configurare l'IdP e la federazione AWS per supportare più endpoint di accesso SAML. Per i dettagli, consulta l'articolo del AWS Security Blog Come utilizzare gli endpoint SAML regionali per il failover.

Prerequisiti per la creazione di un ruolo per SAML

Prima di creare un ruolo per la federazione SAML 2.0, devi completare i seguenti passaggi obbligatori.

Preparazione per la creazione di un ruolo per la federazione SAML 2.0

  1. Prima di creare un ruolo per la federazione basata su SAML, devi creare un provider SAML in IAM. Per ulteriori informazioni, consulta Creare un provider di identità SAML in IAM.

  2. Prepara le policy per il ruolo che verrà assunto dagli utenti autenticati con SAML 2.0. Come qualsiasi altro ruolo, anche i ruoli per la federazione SAML includono due policy. Una è la policy di attendibilità del ruolo, che specifica chi può assumere il ruolo. L'altra è la politica di autorizzazione IAM che specifica le AWS azioni e le risorse a cui l'utente federato può o negato l'accesso.

    Al momento della creazione della policy di attendibilità per il ruolo, devi utilizzare tre valori che garantiscono che solo la tua applicazione possa assumere il ruolo:

    • Per l'elemento Action, si utilizza l'operazione sts:AssumeRoleWithSAML.

    • Per l'elemento Principal, usa la stringa {"Federated":ARNofIdentityProvider}. Sostituire ARNofIdentityProvider con l'ARN del provider di identità SAML creato in Passo 1.

    • Per l'Conditionelemento, utilizza una StringEquals condizione per verificare che l'saml:audattributo della risposta SAML corrisponda all'URL visualizzato dal browser quando si accede alla console. Questo URL dell'endpoint di accesso è l'attributo destinatario SAML del tuo provider di identità. Puoi includere l'accesso URLs all'interno di aree geografiche particolari. AWS consiglia di utilizzare gli endpoint regionali anziché l'endpoint globale per migliorare la resilienza della federazione. Per un elenco dei region-code valori possibili, consulta la colonna Regione negli AWS endpoint di accesso.

      Se è richiesta la crittografia SAML, l'URL di accesso deve includere l'identificatore AWS univoco assegnato al provider SAML. Puoi visualizzare l'identificatore univoco selezionando il provider di identità nella console IAM per visualizzare la pagina dei dettagli.

      https://region-code.signin.aws.amazon.com/saml/acs/IdP-ID

    L'esempio seguente mostra una policy di affidabilità concepita per un utente federato SAML:

    {
    "Version": "2012-10-17",
    "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRoleWithSAML",
      "Principal": {"Federated": "arn:aws:iam::account-id:saml-provider/PROVIDER-NAME"},
      "Condition": {"StringEquals": {"SAML:aud": "https://region-code.signin.aws.amazon.com/saml"}}
    }
  }

    Sostituisci l'ARN principale con l'ARN effettivo del provider SAML, creato in IAM. L'ARN include l'ID account e il nome del provider.

Creazione di un ruolo per SAML

Dopo aver completato i passaggi dei prerequisiti, è possibile creare il ruolo per la federazione basata su SAML.

Per creare un ruolo per una federazione basata su SAML

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM, scegli Ruoli e quindi Crea ruolo.

  3. Selezionare il tipo di ruolo SAML 2.0 federation (Federazione SAML 2.0).

  4. In Select a SAML provider (Seleziona un gestore dell'identità digitale SAML), scegli il gestore per il ruolo.

  5. Selezionare il metodo di livello di accesso SAML 2.0.

    • Scegli Consenti solo l'accesso programmatico per creare un ruolo che può essere assunto a livello di codice dall' AWS API oppure. AWS CLI

    • Scegli Consenti AWS Management Console accesso e programmazione per creare un ruolo che può essere assunto a livello di codice e da. AWS Management Console

    I due comandi sono simili, ma il ruolo che può essere assunto anche tramite console include una policy di affidabilità con una condizione particolare. Questa condizione garantisce esplicitamente che il pubblico SAML (SAML:audattributo) sia impostato sull'endpoint di AWS accesso per il tuo provider SAML.

  6. La procedura per definire gli attributi varia a seconda del tipo di accesso.

    • Se si sta creando un ruolo per l'accesso programmatico, scegliere un attributo dall'elenco Attributo. Dopodiché, nella casella Value (Valore), inserisci un valore da includere nel ruolo. In questo modo, l'accesso al ruolo viene limitato agli utenti dal provider di identità la cui risposta di autenticazione SAML (asserzione) includa gli attributi specificati. Per fare in modo che il ruolo sia limitato a un sottoinsieme di utenti all'interno dell'organizzazione, specificare almeno un attributo.

    • Se stai creando un ruolo per la programmazione e AWS Management Console l'accesso, la sezione Endpoint di accesso definisce l'URL visualizzato dal browser quando accedi alla console. Questo endpoint è l'attributo destinatario SAML del tuo provider di identità, che corrisponde alla chiave di contesto. saml:aud Per ulteriori informazioni, consulta Configurare le asserzioni SAML per la risposta di autenticazione.

      1. Scegli endpoint regionali o endpoint non regionali. Ti consigliamo di utilizzare più endpoint di accesso SAML regionali per migliorare la resilienza della federazione.

      2. Per le regioni, scegli le regioni supportate dal tuo provider SAML per l'accesso. AWS

      3. Affinché l'accesso URLs includa identificatori univoci, seleziona se gli endpoint di accesso includono gli AWS identificatori univoci assegnati al tuo provider di identità SAML. Questa opzione è necessaria per le asserzioni SAML crittografate. Per ulteriori informazioni, consulta Federazione SAML 2.0.

  7. Per aggiungere ulteriori condizioni relative agli attributi alla policy di attendibilità, scegli Condition (optional) (Condizione [facoltativo]), seleziona la condizione aggiuntiva e specifica un valore.

    Nota

    L'elenco include gli attributi SAML più comunemente utilizzati. IAM supporta attributi aggiuntivi che puoi usare per creare condizioni. Per un elenco degli attributi supportati, consulta Chiavi disponibili per la federazione SAML. Se si necessita di una condizione per un attributo SAML supportato che non è nell'elenco, è possibile aggiungere tale condizione manualmente. A tale scopo, modificare la policy di attendibilità dopo aver creato il ruolo.

  8. Verifica le informazioni di attendibilità di SAML 2.0, quindi scegli Next (Successivo).

  9. IAM include un elenco delle politiche AWS gestite e gestite dai clienti nel tuo account. Seleziona la policy delle autorizzazioni da utilizzare o scegli Create policy (Crea policy) per aprire una nuova scheda del browser e creare una nuova policy da zero. Per ulteriori informazioni, consulta Creazione di policy IAM. Una volta creata la policy, chiudere la scheda e tornare alla scheda originale. Selezionare la casella di controllo accanto alle policy di autorizzazione che si desidera abbiano gli utenti federati OIDC. È anche possibile non selezionare le policy ora e collegarle al ruolo in un secondo momento. Per default, un ruolo non dispone di autorizzazioni.

  10. (Facoltativo) Impostare un limite delle autorizzazioni. Questa è una caratteristica avanzata.

    Apri la sezione Permissions boundary (Limite delle autorizzazioni) e scegli Use a permissions boundary to control the maximum role permissions (Usa un limite delle autorizzazioni per controllare il numero massimo di autorizzazioni del ruolo). Selezionare la policy da utilizzare per il limite delle autorizzazioni.

  11. Scegli Next (Successivo).

  12. Scegli Prossimo: Rivedi.

  13. In Role name, (Nome ruolo), inserisci un nome. I nomi dei ruoli devono essere univoci all'interno del tuo Account AWS. Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare ruoli denominati sia PRODROLE che prodrole. Poiché altre AWS risorse potrebbero fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo che è stato creato.

  14. (Facoltativo) In Description (Descrizione), inserisci una descrizione per il nuovo ruolo.

  15. Scegli Edit (Modifica) nelle sezioni Step 1: Select trusted entities (Fase 1: seleziona le entità attendibili) o Step 2: Add permissions (Fase 2: aggiungi autorizzazioni) per modificare i casi d'uso e le autorizzazioni per il ruolo.

  16. (Facoltativo) Aggiungere metadati al ruolo collegando i tag come coppie chiave-valore. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consultare Tag per risorse AWS Identity and Access Management.

  17. Rivedere il ruolo e scegliere Crea ruolo.

Una volta creato il ruolo, è possibile completare la relazione di trust SAML configurando il software provider di identità con informazioni su AWS. Queste informazioni includono i ruoli che devono utilizzare gli utenti federati. Tale operazione viene definita configurazione della relazione di trust fra IdP e AWS. Per ulteriori informazioni, consulta Configurare il provider di identità SAML 2.0 con una relazione di attendibilità della parte affidabile e aggiunta di attestazioni.