本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
最佳實務是,建議您要求人類使用者使用聯合身分提供者來存取 AWS 資源,而不是在您的 中建立個別的 IAM 使用者 AWS 帳戶。透過身分提供者 (IdP),您可以在 外部管理您的使用者身分, AWS 並授予這些外部使用者身分許可,以使用您帳戶中 AWS 的資源。如果您的組織已有自己的身分系統,例如公司使用者目錄,這個方式便很管用。如果您要建立需要存取 AWS 資源的行動應用程式或 Web 應用程式,這也很有用。
注意
您也可以使用外部 SAML 身分提供者 (而不是在 IAM 中使用 SAML 聯合身分),在 IAM Identity Center 中管理人類使用者。IAM Identity Center 與身分提供者聯合可讓您讓人員存取組織中的多個 AWS 帳戶和多個 AWS 應用程式。若要了解需要 IAM 使用者的特定情形,請參閱建立 IAM 使用者 (而非角色) 的時機。
如果您偏好使用單一 AWS 帳戶而不啟用 IAM Identity Center,則可以使用 IAM 搭配外部 IdP,該 IdP 提供身分資訊給 AWS 使用 OpenID Connect (OIDC)
當您使用 身分提供者時,您不需要建立自訂登入代碼或管理自己的使用者身分,IdP 會為您處理這些工作。IdP 會為您提供這些功能。您的外部使用者透過 IdP 登入,您可以授予這些外部身分許可,以使用您帳戶中 AWS 的資源。身分提供者有助於保護您的 AWS 帳戶 安全,因為您不必在應用程式中分發或嵌入長期安全憑證,例如存取金鑰。
檢閱下表,以協助判斷哪種 IAM 聯合身分類型最適合您的使用案例:IAM、IAM Identity Center 或 Amazon Cognito。下列摘要和資料表提供 方法的概觀,您的使用者可用來取得 AWS 資源的聯合存取。
| IAM 聯合身分類型 | Account type (帳戶類型) | 存取管理… | 支援的身分來源 |
|---|---|---|---|
|
使用 IAM Identity Center 的聯合 |
由 管理的多個帳戶 AWS Organizations |
員工的人類使用者 |
|
|
使用 IAM 的聯合 |
單一獨立帳戶 |
|
|
|
使用 Amazon Cognito 身分池的聯合 |
任何 |
需要 IAM 授權才能存取資源的應用程式使用者 |
|
使用 IAM Identity Center 的聯合
如需人類使用者的集中式存取管理,我們建議您使用 IAM Identity Center 管理您帳戶的存取權和這些帳戶內的許可。IAM Identity Center 中的使用者會獲得 AWS 資源的短期憑證。您可以使用 Active Directory、外部身分提供者 (IdP) 或 IAM Identity Center 目錄做為身分來源,以便使用者和群組為您的 AWS 資源指派存取權。
IAM Identity Center 支援與 SAML (安全聲明標記語言) 2.0 的聯合身分聯合,為有權在存取入口網站內使用應用程式的使用者提供聯合單一登入 AWS 存取。然後,使用者可以單一登入支援 SAML 的服務,包括 AWS Management Console 和第三方應用程式,例如 Microsoft 365、SAP Concur 和 Salesforce。
使用 IAM 的聯合
雖然我們強烈建議在 IAM Identity Center 中管理人類使用者,但您可以在短期、小規模部署中為人類使用者啟用使用 IAM 的聯合身分使用者存取權。IAM 可讓您使用個別的 SAML 2.0 和 Open ID Connect (OIDC) IdP,並使用聯合身分使用者屬性進行存取控制。透過 IAM,您可以將使用者屬性,例如成本中心、標題或地區設定,從您的 IdPs傳遞至 AWS,並根據這些屬性實作精細的存取許可。
工作負載是可提供商業價值的資源和程式碼的集合,例如應用程式或後端程序。您的工作負載可能需要 IAM 身分,才能對 AWS 服務、應用程式、操作工具和元件提出請求。這些身分包括在 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。
您可以管理需要存取權的外部當事人的機器身分。若要將存取權授予機器身分,您可以使用 IAM 角色。IAM 角色具有特定許可,並透過角色工作階段 AWS 依賴臨時安全登入資料來提供存取方法。此外,您可能在 外部有需要存取您 AWS 環境 AWS 的機器。對於在 外部執行的機器 AWS ,您可以使用 IAM Roles Anywhere。如需角色的詳細資訊,請參閱IAM 角色。如需如何使用角色來委派跨 存取的詳細資訊 AWS 帳戶,請參閱 IAM 教學課程:使用 IAM 角色將存取許可委派給不同 AWS 帳戶。
若要將 IdP 直接連結至 IAM,您可以建立身分提供者實體,在 AWS 帳戶 和 IdP 之間建立信任關係。IAM 支援 IdP,其與 OpenID Connect (OIDC)
使用 Amazon Cognito 身分池的聯合
Amazon Cognito 專為想要在行動應用程式和 Web 應用程式中為使用者進行驗證和授權的開發人員而設計。Amazon Cognito 使用者集區會在應用程式中新增登入和註冊功能,而身分池則提供 IAM 憑證,讓使用者可以存取您在 AWS中管理的受保護資源。身分池會透過 AssumeRoleWithWebIdentity API 操作取得臨時工作階段的憑證。
Amazon Cognito 可與支援 SAML 和 OpenID Connect 的外部身分提供者以及社交身分提供者 (如 Facebook、Google 和 Amazon) 搭配運作。應用程式可以使用使用者集區或外部 IdP 登入使用者,然後透過 IAM 角色中的自訂臨時工作階段代表使用者擷取資源。
其他資源
-
如需如何使用 AWS Management Console 組織的身分驗證系統建立啟用單一登入 (SSO) 的自訂聯合代理的示範,請參閱 啟用 AWS 主控台的自訂身分代理程式存取。
