Federação com o IAM Identity Center Federação com o IAM Federação com bancos de identidades do Amazon Cognito Recursos adicionais

Provedores de identidade e federação

Como uma prática recomendada, sugerimos que você exija que os usuários humanos usem uma federação com um provedor de identidade para acessar recursos da AWS, em vez de criar usuários do IAM individuais na Conta da AWS deles. Com um provedor de identidade (IdP), você pode gerenciar suas identidades de usuários fora da AWS e fornecer a esses usuários externos permissões para usar recursos da AWS na sua conta. Isso será útil se a sua organização já tiver seu próprio sistema de identidade, como um diretório de usuários corporativos. Também será útil se você criar um aplicativo móvel ou web que precise de acesso aos recursos da AWS.

nota

Você também pode gerenciar usuários humanos no Centro de Identidade do IAM com um provedor de identidade do SAML externo em vez de usar a federação do SAML no IAM. A federação do Centro de Identidade do IAM com um provedor de identidade oferece a capacidade de conceder acesso a várias contas da AWS em sua organização e a várias aplicações da AWS. Para obter informações sobre situações específicas em que um usuário do IAM é necessário, consulte Quando criar um usuário do IAM (em vez de um perfil).

Caso prefira usar uma única conta da AWS sem habilitar o Centro de Identidade do IAM, você pode usar o IAM com um IdP externo que fornece informações de identidade à AWS usando o OpenID Connect (OIDC) ou o SAML 2.0 (Security Assertion Markup Language 2.0). O OIDC conecta aplicações, como o GitHub Actions, que não são executados em recursos da AWS, a recursos da AWS Exemplos de provedores de identidade SAML bem conhecidos são Shibboleth e Active Directory Federation Services.

Quando você usa um provedor de identidade do , não precisa criar código de login personalizado nem gerenciar suas próprias identidades de usuários. O IdP faz isso para você. Os usuários externos fazem login por meio do IdP, e você pode conceder a essas identidades externas permissões para usar os recursos da AWS na sua conta. Os provedores de identidade ajudam a manter sua Conta da AWS segura, pois você não precisa distribuir ou incorporar credenciais de segurança de longo prazo, como chaves de acesso.

Revise a tabela a seguir para ajudar a determinar qual é o melhor tipo de federação do IAM para seu caso de uso: IAM, Centro de Identidade do IAM ou Amazon Cognito. Os resumos e a tabela a seguir fornecem uma visão geral dos métodos que os usuários podem empregar para ter acesso federado aos recursos da AWS.

Tipo de Federação do IAM	Account type (Tipo de conta)	Gerenciamento de acesso de...	Fonte de identidades compatível
Federação com o IAM Identity Center	Várias contas gerenciadas pelo AWS Organizations	Os usuários humanos da sua força de trabalho	SAML 2.0 Active Directory gerenciado Diretório do Identity Center
Federação com o IAM	Conta autônoma única	Usuários humanos em implantações de curto prazo e pequena escala Usuários que são máquinas	SAML 2.0 OIDC
Federação com bancos de identidades do Amazon Cognito	Any	Os usuários de aplicações que requerem autorização do IAM para acessar os recursos	SAML 2.0 OIDC Selecionar provedores de identidades sociais do OAuth 2.0

Federação com o IAM Identity Center

Para gerenciamento de acesso centralizado de seres humanos, recomendamos que você use o IAM Identity Center para gerenciar o acesso às suas contas e as permissões dentro dessas contas. Os usuários do IAM Identity Center recebem credenciais de curto prazo para usar seus recursos da AWS. Você pode usar o Active Directory, um provedor de identidades (IdP) externo ou um diretório do IAM Identity Center como a fonte de identidades de usuários e grupos para conceder acesso aos seus recursos da AWS.

O IAM Identity Center é compatível com federação de identidades com SAML (Security Assertion Markup Language) 2.0 para fornecer acesso de login único federado aos usuários autorizados a usar as aplicações no portal de acesso da AWS. Assim, os usuários podem usar a autenticação única para entrar nos serviços compatíveis com SAML, inclusive o AWS Management Console e aplicações de terceiros, como o Microsoft 365, o SAP Concur e o Salesforce.

Federação com o IAM

Embora seja altamente recomendável gerenciar usuários humanos no IAM Identity Center, você pode habilitar o acesso de usuários federados com o IAM para usuários humanos em implantações de curto prazo e pequena escala. O IAM permite que você use IdPs SAML 2.0 e Open ID Connect (OIDC) separados e atributos de usuário federados para controle de acesso. Com o IAM, você pode passar os atributos do usuário, como centro de custos, título ou nacionalidade, dos IdPs para a AWS, e implementar permissões de acesso refinadas com base nesses atributos.

Uma workload é uma coleção de códigos e recursos que fornece valor comercial, como uma aplicação ou um processo de backend. Sua workload pode exigir uma identidade do IAM para fazer solicitações aos serviços, aplicações, ferramentas operacionais e componentes da AWS. Essas identidades incluem máquinas em execução em seus ambientes da AWS, como instâncias do Amazon EC2 ou funções do AWS Lambda.

Você também pode gerenciar identidades de máquina para partes externas que precisam de acesso. Para dar acesso a identidades de máquina, você pode usar perfis do IAM. Os perfis do IAM têm permissões específicas e fornecem uma maneira de acessar a AWS com base em credenciais de segurança temporárias com uma sessão de perfil. Além disso, você pode ter máquinas fora da AWS que precisam de acesso aos seus ambientes da AWS. Para máquinas que são executadas fora da AWS, você pode usar o IAM Roles Anywhere. Para obter mais informações sobre funções, consulte Perfis do IAM. Para obter detalhes sobre como usar perfis para delegar acesso em Contas da AWS, consulte Tutorial do IAM: Delegar acesso entre contas da AWS usando funções do IAM.

Para usar um IdP diretamente no IAM, você cria uma entidade provedora de identidades para estabelecer uma relação de confiança entre sua Conta da AWS e esse IdP. O IAM oferece suporte a IdPs compatíveis com OpenID Connect (OIDC) ou SAML 2.0 (Security Assertion Markup Language 2.0). Para obter mais informações sobre como usar um desses IdPs com a AWS, consulte as seguintes seções:

Federação com bancos de identidades do Amazon Cognito

O Amazon Cognito destina-se a desenvolvedores que desejam autenticar e autorizar usuários em aplicações móveis e aplicações da Web. Os grupos de usuários do Amazon Cognito adicionam recursos de login e inscrição à aplicação, e os bancos de identidades fornecem as credenciais do IAM que concedem aos usuários acesso aos recursos protegidos que você gerencia na AWS. Os bancos de identidades obtêm credenciais para sessões temporárias por meio da operação da API AssumeRoleWithWebIdentity.

O Amazon Cognito trabalha com provedores de identidades externos compatíveis com SAML e OpenID Connect, e com provedores de identidades sociais, como o Facebook, o Google e a Amazon. A aplicação pode inscrever um usuário em um grupo de usuários ou um IdP externo e depois recuperar recursos em nome dele com sessões personalizadas temporárias em um perfil do IAM.

Recursos adicionais

Para obter uma demonstração de como criar um proxy de federação personalizado que permita autenticação única (SSO) no AWS Management Console usando o sistema de autenticação da sua organização, consulte Habilitar o acesso do intermediador de identidades personalizado ao console da AWS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Usar perfis de instância

Cenários comuns