Comprensione dei ruoli collegati ai servizi in Identity Center IAM - AWS IAM Identity Center

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Comprensione dei ruoli collegati ai servizi in Identity Center IAM

I ruoli collegati ai servizi sono IAM autorizzazioni predefinite che consentono a IAM Identity Center di delegare e stabilire quali utenti dispongono dell'accesso Single Sign-On a determinati membri dell'organizzazione. Account AWS AWS Organizations Il servizio abilita questa funzionalità assegnando un ruolo collegato al servizio in ogni parte dell'organizzazione. Account AWS Il servizio consente quindi ad altri AWS servizi come IAM Identity Center di sfruttare tali ruoli per eseguire attività relative al servizio. Per ulteriori informazioni, consulta AWS Organizations Ruoli collegati ai servizi.

Quando abiliti IAM Identity Center, IAM Identity Center crea un ruolo collegato al servizio in tutti gli account all'interno dell'organizzazione in. AWS Organizations IAMIdentity Center crea inoltre lo stesso ruolo collegato al servizio in ogni account che viene successivamente aggiunto all'organizzazione. Questo ruolo consente a IAM Identity Center di accedere alle risorse di ciascun account per tuo conto. Per ulteriori informazioni, consulta Account AWS accesso.

I ruoli collegati ai servizi che vengono creati in ciascuno di essi Account AWS sono denominati. AWSServiceRoleForSSO Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Identity Center IAM.

Note

  • Se hai effettuato l'accesso all'account di AWS Organizations gestione, questo utilizza il ruolo attualmente connesso e non il ruolo collegato al servizio. Ciò impedisce l'aumento dei privilegi.

  • Quando IAM Identity Center esegue qualsiasi IAM operazione nell'account di AWS Organizations gestione, tutte le operazioni vengono eseguite utilizzando le credenziali del principale. IAM Ciò consente agli accessi di CloudTrail fornire la visibilità di chi ha apportato tutte le modifiche ai privilegi nell'account di gestione.