本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 時 AWS,請規劃您希望人員如何存取 AWS 您的帳戶和資源,以設定設計完善且安全的身分管理解決方案。
身分來源
根據 IAM 最佳實務,人類使用者和工作負載在存取您的 AWS 資源時應使用臨時憑證。臨時憑證會授予使用 IAM 角色存取您的資源之人。聯合到 IAM 的使用者和 IAM Identity Center 中的使用者 (聯合的或者在 IAM Identity Center 目錄中建立的) 都使用 IAM 角色來存取資源。
開始使用 之前 AWS,請規劃如何設定您的身分,方法如下:
存取管理
識別您的使用者將存取 AWS 的資源和服務,並定義每個使用者、群組或角色所需的存取許可和政策。
-
如果您使用 IAM Identity Center,IAM 身分提供者以及 IAM 角色和許可政策會自動在您的組織中的每個 AWS 帳戶中建立。這些角色和許可與您為特定應用程式或 AWS 帳戶指派人員或群組時指定的許可相符。
如需詳細資訊,請參閱 Assign user access 和 Set up single sign-on access to your applications。
-
如果您在 中將身分提供者直接與 IAM 聯合 AWS 帳戶,則必須建立角色以供使用者擔任,並建立兩個政策;信任政策指定誰可以擔任該角色,以及許可政策指定擔任該角色的人員被允許或拒絕存取 AWS 的動作和資源。
如需詳細資訊,請參閱身分提供者與聯合
