Mengkonfigurasi federasi ke konsol AMS (SALZ) - Panduan Orientasi Tingkat Lanjut AMS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengkonfigurasi federasi ke konsol AMS (SALZ)

Peran IAM dan penyedia identitas SAMP (Entitas Tepercaya) yang dirinci dalam tabel berikut telah disediakan sebagai bagian dari orientasi akun Anda. Peran ini memungkinkan Anda untuk mengirimkan dan memantau RFCs, permintaan layanan, dan laporan insiden, serta mendapatkan informasi tentang Anda VPCs dan tumpukan.

Peran Penyedia Identitas Izin

Pelanggan_ ReadOnly _Peran

SAML

Untuk akun AMS standar. Memungkinkan Anda mengirimkan RFCs untuk membuat perubahan pada infrastruktur yang dikelola AMS, serta membuat permintaan dan insiden layanan.

customer_managed_ad_user_role

SAML

Untuk akun Direktori Aktif Terkelola AMS. Memungkinkan Anda masuk ke Konsol AMS untuk membuat permintaan layanan dan insiden (tidak ada RFCs).

Untuk daftar lengkap peran yang tersedia di berbagai akun, lihatPeran pengguna IAM di AMS .

Anggota tim orientasi mengunggah file metadata dari solusi federasi Anda ke penyedia identitas yang telah dikonfigurasi sebelumnya. Anda menggunakan penyedia identitas SAMP saat ingin membangun kepercayaan antara IDP (penyedia identitas) yang kompatibel dengan SAMP seperti Shibboleth atau Layanan Federasi Direktori Aktif, sehingga pengguna di organisasi Anda dapat mengakses sumber daya AWS. Penyedia identitas SAMP di IAM digunakan sebagai prinsip dalam kebijakan kepercayaan IAM dengan peran di atas.

Sementara solusi federasi lainnya memberikan instruksi integrasi untuk AWS, AMS memiliki instruksi terpisah. Menggunakan posting blog berikut, Mengaktifkan Federasi ke AWS Menggunakan Windows Active Directory, AD FS, dan SAMP 2.0, bersama dengan amandemen yang diberikan di bawah ini, akan memungkinkan pengguna perusahaan Anda mengakses beberapa akun AWS dari satu browser.

Setelah membuat kepercayaan pihak yang mengandalkan sesuai posting blog, konfigurasikan aturan klaim dengan cara berikut:

  • NameId: Ikuti posting blog.

  • RoleSessionName: Gunakan nilai-nilai berikut:

    • Nama aturan klaim: RoleSessionName

    • Toko atribut: Direktori Aktif

    • Atribut LDAP: SAM-Account-Name

    • Jenis Klaim Keluar: https://aws.amazon.com/SAML/ Atribut/ RoleSessionName

  • Dapatkan Grup Iklan: Ikuti posting blog.

  • Klaim peran: Ikuti posting blog, tetapi untuk aturan Kustom, gunakan ini:

    c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
 => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
 "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));

Saat menggunakan AD FS, Anda harus membuat grup keamanan Direktori Aktif untuk setiap peran dalam format yang ditampilkan dalam tabel berikut (customer_managed_ad_user_role hanya untuk akun AMS Managed AD):

Grup Peran

AWS- [AccountNo] ReadOnly -Pelanggan_ _Peran

Pelanggan_ ReadOnly _Peran

AWS- [AccountNo] -customer_managed_ad_user_role

customer_managed_ad_user_role

Untuk informasi lebih lanjut, lihat Mengonfigurasi Pernyataan SAMP untuk Respons Otentikasi.

Tip

Untuk membantu pemecahan masalah, unduh plugin pelacak SAMP untuk browser Anda.