Konfiguration des Verbunds zur AMS-Konsole (SALZ) - AMS-Onboarding-Leitfaden für Fortgeschrittene

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Konfiguration des Verbunds zur AMS-Konsole (SALZ)

Die in der folgenden Tabelle aufgeführten IAM-Rollen und der SAML-Identitätsanbieter (Trusted Entity) wurden im Rahmen der Kontoeinführung bereitgestellt. Mit diesen Rollen können Sie Serviceanfragen und Vorfallberichte einreichen und überwachen RFCs sowie Informationen zu Ihren und Ihren Stacks abrufen. VPCs

Rolle Identitätsanbieter Berechtigungen

Kunde_ _Rolle ReadOnly

SAML

Für Standard-AMS-Konten. Ermöglicht das Einreichen von Änderungen RFCs an der von AMS verwalteten Infrastruktur sowie das Erstellen von Serviceanfragen und Vorfällen.

customer_managed_ad_user_role

SAML

Für von AMS verwaltete Active Directory-Konten. Ermöglicht Ihnen, sich bei der AMS-Konsole anzumelden, um Serviceanfragen und Vorfälle zu erstellen (nein RFCs).

Eine vollständige Liste der Rollen, die unter verschiedenen Konten verfügbar sind, finden Sie unterIAM-Benutzerrolle in AMS .

Ein Mitglied des Onboarding-Teams lädt die Metadatendatei von Ihrer Verbundlösung auf den vorkonfigurierten Identitätsanbieter hoch. Sie verwenden einen SAML-Identitätsanbieter, wenn Sie eine Vertrauensstellung zwischen einem SAML-kompatiblen IdP (Identitätsanbieter) wie Shibboleth oder Active Directory Federation Services herstellen möchten, sodass Benutzer in Ihrer Organisation auf AWS-Ressourcen zugreifen können. SAML-Identitätsanbieter in IAM werden als Principals in einer IAM-Vertrauensrichtlinie mit den oben genannten Rollen verwendet.

Während andere Verbundlösungen Integrationsanweisungen für AWS bereitstellen, verfügt AMS über separate Anweisungen. Mithilfe des folgenden Blogbeitrags Enabling Federation to AWS Using Windows Active Directory, AD FS, and SAML 2.0 sowie der unten aufgeführten Änderungen können Ihre Unternehmensbenutzer von einem einzigen Browser aus auf mehrere AWS-Konten zugreifen.

Nachdem Sie das Vertrauen der vertrauenden Partei gemäß dem Blogbeitrag eingerichtet haben, konfigurieren Sie die Anspruchsregeln wie folgt:

  • NameId: Folgen Sie dem Blogbeitrag.

  • RoleSessionName: Verwenden Sie die folgenden Werte:

    • Name der Anspruchsregel: RoleSessionName

    • Attributspeicher: Active Directory

    • LDAP-Attribut: SAM-Account-Name

    • Art des ausgehenden Anspruchs: Attribute/ https://aws.amazon.com/SAML/ RoleSessionName

  • AD-Gruppen abrufen: Folgen Sie dem Blogbeitrag.

  • Rollenanspruch: Folgen Sie dem Blogbeitrag, aber verwenden Sie für die benutzerdefinierte Regel Folgendes:

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
 => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
 "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));

Wenn Sie AD FS verwenden, müssen Sie Active Directory-Sicherheitsgruppen für jede Rolle in dem in der folgenden Tabelle angegebenen Format erstellen (customer_managed_ad_user_role gilt nur für AMS Managed AD-Konten):

Gruppe Rolle

AWS- [AccountNo] -Kunden_ _Rolle ReadOnly

ReadOnlyKunde_ _Rolle

AWS- [AccountNo] -customer_managed_ad_user_role

vom Kunden verwaltete_ad_user_role

Weitere Informationen finden Sie unter Konfiguration von SAML-Assertionen für die Authentifizierungsantwort.

Tipp

Laden Sie das SAML-Tracer-Plugin für Ihren Browser herunter, um Hilfe bei der Fehlerbehebung zu erhalten.