一次性設置直接IAM聯合應用程序 Okta

登入您的 Okta 帳戶作為具有管理權限的用戶。

在 Okta 管理控制台的應用程式下，選擇應用程式。

選擇瀏覽應用程式目錄。搜尋並選擇 AWS 聯合帳戶。然後選擇「新增整合」。

設定直接IAM聯合 AWS 按照如何配置 SAML 2.0 中的步驟 AWS 聯合帳戶。

在 [登入選項] 索引標籤上，選取 SAML 2.0，然後輸入群組篩選器和角色值模式設定。使用者目錄的群組名稱取決於您設定的篩選器。

在上圖中，role變數適用於緊急存取帳戶中的緊急作業角色。例如，如果您在中建立EmergencyAccess_Role1_RO角色 (如對應表中所述) AWS 帳戶 123456789012，如果您的群組篩選器設定如上圖所示配置，則您的群組名稱應為aws#EmergencyAccess_Role1_RO#123456789012。

在您的目錄 (例如，Active Directory 中的目錄) 中，建立緊急存取群組，並指定目錄的名稱 (例如aws#EmergencyAccess_Role1_RO#123456789012)。使用現有的佈建機制，將使用者指派給此群組。

在緊急存取帳戶中，設定自訂信任原則，以提供中斷期間所需的緊急存取角色所需的權限。以下是附加至EmergencyAccess_Role1_RO角色之自訂信任原則的範例陳述式。如需圖解，請參閱下圖中的緊急帳戶如何設計緊急角色、帳戶和群組對應。

{
    "Version": "2012-10-17",
    "Statement": [
      {
         "Effect":"Allow",
         "Principal":{
            "Federated":"arn:aws:iam::123456789012:saml-provider/Okta"
         },
         "Action":[
            "sts:AssumeRoleWithSAML",
            "sts:SetSourceIdentity",
            "sts:TagSession"
         ],
         "Condition":{
            "StringEquals":{
               "SAML:aud":"https:~/~/signin.aws.amazon.com/saml"
            }
         }
      }
   ]
}

以下是附加至EmergencyAccess_Role1_RO角色之權限原則的範例陳述式。如需圖解，請參閱下圖中的緊急帳戶如何設計緊急角色、帳戶和群組對應。

{
    "Version": "2012-10-17",
    "Statement":[
      {
         "Effect":"Allow",
         "Action":"sts:AssumeRole",
         "Resource":[
            "arn:aws:iam::<account 1>:role/EmergencyAccess_RO",
            "arn:aws:iam::<account 2>:role/EmergencyAccess_RO"
         ]
      }
   ]
}

在工作負載帳戶上，設定自訂信任原則。以下是附加至EmergencyAccess_RO角色之信任原則的範例陳述式。在此範例中，帳戶123456789012是緊急存取帳戶。如需圖解，請參閱下圖中的工作負載帳戶如何設計緊急角色、帳戶和群組對應。

{
    "Version": "2012-10-17",
    "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":"arn:aws:iam::123456789012:root"
         },
         "Action":"sts:AssumeRole"
      }
   ]
}