Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Penyedia dan federasi identitas
Sebagai praktik terbaik, kami menyarankan Anda meminta pengguna manusia untuk menggunakan federasi dengan penyedia identitas untuk mengakses AWS sumber daya alih-alih membuat pengguna IAM individu di Anda Akun AWS. Dengan penyedia identitas (iDP), Anda dapat mengelola identitas pengguna di luar AWS dan memberikan izin identitas pengguna eksternal ini untuk menggunakan AWS sumber daya di akun Anda. Ini berguna jika organisasi Anda sudah memiliki sistem identitas sendiri, seperti direktori pengguna korporat. Ini juga berguna jika Anda membuat aplikasi seluler atau aplikasi web yang membutuhkan akses ke AWS sumber daya.
catatan
Anda juga dapat mengelola pengguna manusia di IAM Identity Center dengan penyedia identitas SAMP eksternal alih-alih menggunakan federasi SAMP di IAM. Federasi IAM Identity Center dengan penyedia identitas menyediakan kemampuan bagi Anda untuk memberi orang akses ke beberapa AWS akun di organisasi Anda dan ke beberapa AWS aplikasi. Untuk informasi tentang situasi tertentu di mana pengguna IAM diperlukan, lihat Kapan membuat pengguna IAM (bukan peran).
Jika Anda lebih suka menggunakan satu AWS akun tanpa mengaktifkan IAM Identity Center, Anda dapat menggunakan IAM dengan IDP eksternal yang menyediakan informasi identitas untuk menggunakan AWS OpenID Connect (OIDC) atau SAMP
Saat Anda menggunakan penyedia identitas , Anda tidak perlu membuat kode masuk khusus atau mengelola identitas pengguna Anda sendiri. IdP menyediakannya untuk Anda. Pengguna eksternal Anda masuk melalui iDP, dan Anda dapat memberikan izin identitas eksternal tersebut untuk menggunakan AWS sumber daya di akun Anda. Penyedia identitas membantu menjaga Akun AWS keamanan Anda karena Anda tidak perlu mendistribusikan atau menanamkan kredensil keamanan jangka panjang, seperti kunci akses, dalam aplikasi Anda.
Tinjau tabel berikut untuk membantu menentukan jenis federasi IAM mana yang terbaik untuk kasus penggunaan Anda; IAM, Pusat Identitas IAM, atau Amazon Cognito. Ringkasan dan tabel berikut memberikan gambaran umum tentang metode yang dapat digunakan pengguna Anda untuk mendapatkan akses gabungan ke sumber daya. AWS
Jenis federasi IAM | Jenis akun | Manajemen akses.. | Sumber identitas yang didukung |
---|---|---|---|
Federasi dengan Pusat Identitas IAM |
Beberapa akun dikelola oleh AWS Organizations |
Pengguna manusia tenaga kerja Anda |
|
Federasi dengan IAM |
Akun tunggal dan mandiri |
|
|
Federasi dengan kumpulan identitas Amazon Cognito |
Setiap |
Pengguna aplikasi yang memerlukan otorisasi IAM untuk mengakses sumber daya |
|
Federasi dengan Pusat Identitas IAM
Untuk manajemen akses terpusat pengguna manusia, kami menyarankan Anda menggunakan IAM Identity Center untuk mengelola akses ke akun dan izin Anda dalam akun tersebut. Pengguna di Pusat Identitas IAM diberikan kredensil jangka pendek ke sumber daya Anda. AWS Anda dapat menggunakan Active Directory, penyedia identitas eksternal (iDP), atau direktori IAM Identity Center sebagai sumber identitas bagi pengguna dan grup untuk menetapkan akses ke sumber daya Anda. AWS
IAM Identity Center mendukung federasi identitas dengan SAMP (Security Assertion Markup Language) 2.0 untuk menyediakan akses masuk tunggal federasi bagi pengguna yang berwenang untuk menggunakan aplikasi dalam portal akses. AWS Pengguna kemudian dapat masuk tunggal ke layanan yang mendukung SAMP, termasuk aplikasi pihak ketiga, seperti Microsoft 365, SAP Concur, AWS Management Console dan Salesforce.
Federasi dengan IAM
Meskipun kami sangat menyarankan untuk mengelola pengguna manusia di IAM Identity Center, Anda dapat mengaktifkan akses utama federasi dengan IAM untuk pengguna manusia dalam penerapan skala kecil jangka pendek. IAM memungkinkan Anda untuk menggunakan SAMP 2.0 dan Open ID Connect (OIDC) terpisah IdPs dan menggunakan atribut utama federasi untuk kontrol akses. Dengan IAM, Anda dapat meneruskan atribut pengguna, seperti pusat biaya, judul, atau lokal, dari IdPs ke Anda AWS, dan menerapkan izin akses berbutir halus berdasarkan atribut ini.
Beban kerja adalah kumpulan sumber daya dan kode yang memberikan nilai bisnis, seperti aplikasi atau proses backend. Beban kerja Anda dapat memerlukan identitas IAM untuk membuat permintaan ke AWS layanan, aplikasi, alat operasional, dan komponen. Identitas ini mencakup mesin yang berjalan di AWS lingkungan Anda, seperti EC2 instans atau AWS Lambda fungsi Amazon.
Anda juga dapat mengelola identitas mesin untuk pihak eksternal yang membutuhkan akses. Untuk memberikan akses ke identitas mesin, Anda dapat menggunakan peran IAM. Peran IAM memiliki izin khusus dan menyediakan cara untuk mengakses AWS dengan mengandalkan kredensil keamanan sementara dengan sesi peran. Selain itu, Anda mungkin memiliki mesin di luar AWS yang membutuhkan akses ke AWS lingkungan Anda. Untuk mesin yang berjalan di luar AWS Anda dapat menggunakan IAM Roles Anywhere. Untuk informasi lebih lanjut tentang peran, lihat Peran IAM. Untuk detail tentang cara menggunakan peran untuk mendelegasikan akses di seluruh Akun AWS, lihatTutorial IAM: Delegasikan akses di seluruh AWS akun menggunakan peran IAM.
Untuk menautkan IDP langsung ke IAM, Anda membuat entitas penyedia identitas untuk membangun hubungan kepercayaan antara Anda Akun AWS dan iDP. Dukungan IAM IdPs yang kompatibel dengan OpenID Connect (OIDC) atau SAMP 2.0 (
Federasi dengan kumpulan identitas Amazon Cognito
Amazon Cognito dirancang untuk pengembang yang ingin mengautentikasi dan mengotorisasi pengguna di aplikasi seluler dan web mereka. Kumpulan pengguna Amazon Cognito menambahkan fitur masuk dan pendaftaran ke aplikasi Anda, dan kumpulan identitas memberikan kredensil IAM yang memberi pengguna akses ke sumber daya terlindungi yang Anda kelola. AWS Identity pool memperoleh kredensi untuk sesi sementara melalui operasi AssumeRoleWithWebIdentity
API.
Amazon Cognito bekerja dengan penyedia identitas eksternal yang mendukung SAMP dan OpenID Connect, dan dengan penyedia identitas sosial seperti Facebook, Google, dan Amazon. Aplikasi Anda dapat masuk ke pengguna dengan kumpulan pengguna atau iDP eksternal, lalu mengambil sumber daya atas nama mereka dengan sesi sementara yang disesuaikan dalam peran IAM.
Sumber daya tambahan
-
Untuk demonstrasi tentang cara membuat proxy federasi kustom yang memungkinkan sistem masuk tunggal (SSO) ke dalam AWS Management Console menggunakan sistem autentikasi organisasi Anda, lihat. Aktifkan akses broker identitas khusus ke AWS konsol