Federazione con IAM Identity Center Federazione con IAM Federazione con pool di identità Amazon Cognito Risorse aggiuntive

Provider di identità e federazione

Come procedura ottimale, si consiglia di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere alle AWS risorse anziché creare singoli IAM utenti all'interno del proprio Account AWS. Con un provider di identità (IdP), puoi gestire le tue identità utente all'esterno AWS e concedere a queste identità utente esterne le autorizzazioni per utilizzare AWS le risorse del tuo account. Questa funzione è utile se la tua organizzazione dispone già di un proprio sistema di gestione delle identità, come ad esempio una directory aziendale degli utenti. È utile anche se stai creando un'app mobile o un'applicazione web che richiede l'accesso alle risorse. AWS

Nota

È inoltre possibile gestire gli utenti umani in IAMIdentity Center con un provider di SAML identità esterno anziché utilizzare la SAML federazione inIAM. IAMLa federazione di Identity Center con un provider di identità consente di consentire alle persone di accedere a più AWS account dell'organizzazione e a più AWS applicazioni. Per informazioni su situazioni specifiche in cui è richiesto un IAM utente, consulta Quando creare un IAM utente (anziché un ruolo).

Se si preferisce utilizzare un solo AWS account senza abilitare IAM Identity Center, è possibile utilizzare IAM un IdP esterno che fornisca informazioni sull'identità AWS utilizzando OpenID Connect (OIDC) o SAML2.0 (Security Assertion Markup Language 2.0). OIDCcollega applicazioni, come GitHub Actions, che non funzionano su risorse. AWS AWS Esempi di provider di SAML identità noti sono Shibboleth e Active Directory Federation Services.

Quando utilizzi un provider di identità, non devi creare un codice di accesso personalizzato né gestire le tue identità utente. Tale operazione viene eseguita dall'IdP. I tuoi utenti esterni accedono tramite un IdP e puoi concedere a tali identità esterne le autorizzazioni per utilizzare le AWS risorse del tuo account. I provider di identità aiutano a mantenere la tua Account AWS sicurezza perché non devi distribuire o incorporare credenziali di sicurezza a lungo termine, come le chiavi di accesso, nell'applicazione.

Consulta la tabella seguente per determinare quale tipo di IAM federazione è il migliore per il tuo caso d'IAMuso: IAM Identity Center o Amazon Cognito. I riepiloghi e la tabella seguenti forniscono una panoramica dei metodi che gli utenti possono utilizzare per ottenere l'accesso federato alle risorse. AWS

IAMtipo di federazione	Tipo di account	Gestione degli accessi di...	Origine di identità supportata
Federazione con IAM Identity Center	Account multipli gestiti da AWS Organizations	Utenti umani della forza lavoro	SAML2.0 Active Directory gestita Directory del Centro identità
Federazione con IAM	Singolo account autonomo	Utenti umani impegnati in implementazioni a breve termine su piccola scala Utenti di macchine	SAML2.0 OIDC
Federazione con pool di identità Amazon Cognito	Qualsiasi	Gli utenti di app che richiedono IAM l'autorizzazione per accedere alle risorse	SAML2.0 OIDC Seleziona fornitori di identità social OAuth 2.0

Federazione con IAM Identity Center

Per la gestione centralizzata degli accessi degli utenti umani, si consiglia di utilizzare IAMIdentity Center per gestire l'accesso agli account e le autorizzazioni all'interno di tali account. Agli utenti di IAM Identity Center vengono concesse credenziali a breve termine per le tue risorse. AWS Puoi utilizzare Active Directory, un provider di identità (IdP) esterno o una directory IAM Identity Center come origine di identità per utenti e gruppi per assegnare l'accesso alle tue risorse. AWS

IAMIdentity Center supporta la federazione delle identità con SAML (Security Assertion Markup Language) 2.0 per fornire un accesso single sign-on federato agli utenti autorizzati a utilizzare le applicazioni all'interno del portale di accesso. AWS Gli utenti possono quindi accedere ai servizi che supportanoSAML, incluse le applicazioni AWS Management Console e quelle di terze parti, come Microsoft 365, SAP Concur e Salesforce.

Federazione con IAM

Sebbene consigliamo vivamente di gestire gli utenti umani in IAM Identity Center, è possibile abilitare l'accesso federato IAM per gli utenti umani in implementazioni a breve termine e su piccola scala. IAMconsente di utilizzare SAML 2.0 e Open ID Connect (OIDC) separati IdPs e di utilizzare attributi utente federati per il controllo degli accessi. ConIAM, puoi passare gli attributi utente, come centro di costo, titolo o locale, dal tuo IdPs a AWS e implementare autorizzazioni di accesso granulari basate su questi attributi.

Un carico di lavoro è una raccolta di risorse e codice che fornisce valore aziendale, ad esempio un'applicazione o un processo back-end. Il carico di lavoro può richiedere un'IAMidentità per effettuare richieste a AWS servizi, applicazioni, strumenti operativi e componenti. Queste identità includono macchine in esecuzione nei tuoi AWS ambienti, come EC2 istanze o AWS Lambda funzioni Amazon.

Puoi anche gestire identità computer per soggetti esterni che necessitano di accesso. Per consentire l'accesso alle identità delle macchine, puoi utilizzare i ruoli. IAM IAMi ruoli dispongono di autorizzazioni specifiche e forniscono un modo per accedervi AWS affidandosi a credenziali di sicurezza temporanee con una sessione di ruolo. Inoltre, potresti avere macchine esterne AWS che richiedono l'accesso ai tuoi ambienti. AWS Per i computer che funzionano all'esterno dell' AWS utente, è possibile utilizzare IAMRoles Anywhere. Per ulteriori informazioni sui ruoli, consulta IAMruoli. Per informazioni dettagliate su come utilizzare i ruoli per delegare l'accesso da una parte all'altra Account AWS, consultaIAMtutorial: Delega l'accesso tra AWS account tramite i ruoli IAM.

Per collegare direttamente un IdPIAM, devi creare un'entità provider di identità per stabilire una relazione di fiducia tra il tuo Account AWS e l'IdP. IAM IdPs supporti compatibili con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0). Per ulteriori informazioni sull'utilizzo di uno di questi IdPs con AWS, consultate le seguenti sezioni:

Federazione con pool di identità Amazon Cognito

Amazon Cognito è progettato per gli sviluppatori che desiderano autenticare e autorizzare gli utenti nelle proprie app mobili e Web. I pool di utenti di Amazon Cognito aggiungono funzionalità di accesso e registrazione alla tua app e i pool di identità forniscono IAM credenziali che consentono agli utenti di accedere alle risorse protette in cui gestisci. AWS I pool di identità acquisiscono le credenziali per le sessioni temporanee tramite l'operazione. AssumeRoleWithWebIdentityAPI

Amazon Cognito funziona con provider di identità esterni che supportano SAML OpenID Connect e con provider di identità social come Facebook, Google e Amazon. La tua app può accedere a un utente con un pool di utenti o un IdP esterno, quindi recuperare risorse per suo conto con sessioni temporanee personalizzate in un ruolo. IAM

Risorse aggiuntive

Per una dimostrazione su come creare un proxy federativo personalizzato che abiliti il single sign-on (SSO) all' AWS Management Console utilizzo del sistema di autenticazione dell'organizzazione, consulta. Abilitazione dell'accesso del gestore identità personalizzato alla AWS console

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Usa i profili di istanza

Scenari comuni