Federazione con il Centro identità IAM Federazione con IAM Federazione con pool di identità Amazon Cognito Risorse aggiuntive

Provider di identità e federazione

Come best practice, ti consigliamo di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere alle AWS risorse invece di creare singoli utenti IAM all'interno del tuo Account AWS. Con un provider di identità (IdP), puoi gestire le tue identità utente all'esterno AWS e concedere a queste identità utente esterne le autorizzazioni per utilizzare AWS le risorse del tuo account. Questa funzione è utile se la tua organizzazione dispone già di un proprio sistema di gestione delle identità, come ad esempio una directory aziendale degli utenti. È utile anche se stai creando un'app mobile o un'applicazione web che richiede l'accesso alle risorse. AWS

Nota

Consigliamo inoltre di gestire gli utenti nel Centro identità IAM con un provider di identità SAML esterno anziché utilizzare la federazione SAML in IAM. La federazione di IAM Identity Center con un provider di identità ti offre la possibilità di consentire alle persone di accedere a più AWS account nella tua organizzazione e a più AWS applicazioni. Per informazioni su situazioni specifiche in cui è richiesto un utente IAM, consulta la sezione Quando creare un utente IAM invece di un ruolo.

Se preferisci utilizzare un singolo AWS account senza abilitare IAM Identity Center, puoi utilizzare IAM con un IdP esterno che fornisce informazioni sull'identità AWS utilizzando OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0). OIDC collega applicazioni, come GitHub Actions, che non funzionano su risorse. AWS AWS Tra i gestori dell'identità digitale SAML noti figurano Shibboleth e Active Directory Federation Services.

Quando utilizzi un provider di identità, non devi creare un codice di accesso personalizzato né gestire le tue identità utente. Tale operazione viene eseguita dall'IdP. I tuoi utenti esterni accedono tramite un IdP e puoi concedere a tali identità esterne le autorizzazioni per utilizzare le AWS risorse del tuo account. I provider di identità aiutano a mantenere la tua Account AWS sicurezza perché non devi distribuire o incorporare credenziali di sicurezza a lungo termine, come le chiavi di accesso, nell'applicazione.

Consulta la tabella seguente per determinare quale tipo di federazione IAM è il migliore per il tuo caso d'uso: IAM, Centro identità IAM o Amazon Cognito. I riepiloghi e la tabella seguenti forniscono una panoramica dei metodi che gli utenti possono utilizzare per ottenere l'accesso federato alle risorse. AWS

Tipo di federazione IAM	Tipo di account	Gestione degli accessi di...	Origine di identità supportata
Federazione con il Centro identità IAM	Account multipli gestiti da AWS Organizations	Utenti umani della forza lavoro	SAML 2.0 Active Directory gestita Directory del Centro identità
Federazione con IAM	Singolo account autonomo	Utenti umani impegnati in implementazioni a breve termine su piccola scala Utenti di macchine	SAML 2.0 OIDC
Federazione con pool di identità Amazon Cognito	Qualsiasi	Utenti di app che richiedono l'autorizzazione IAM per accedere alle risorse	SAML 2.0 OIDC Seleziona i provider di identità social OAuth 2.0

Federazione con il Centro identità IAM

Per una gestione centralizzata degli accessi degli utenti umani, consigliamo di utilizzare Centro identità IAM per gestire l'accesso ai tuoi account e le autorizzazioni all'interno di questi account. Agli utenti di IAM Identity Center vengono concesse credenziali a breve termine per AWS le tue risorse. Puoi utilizzare Active Directory, un provider di identità (IdP) esterno o una directory IAM Identity Center come origine di identità per utenti e gruppi per assegnare l'accesso alle tue risorse. AWS

IAM Identity Center supporta la federazione delle identità con SAML (Security Assertion Markup Language) 2.0 per fornire un accesso single sign-on federato agli utenti autorizzati a utilizzare le applicazioni all'interno del portale di accesso. AWS Gli utenti possono quindi accedere ai servizi che supportano SAML, incluse le applicazioni AWS Management Console e quelle di terze parti, come Microsoft 365, SAP Concur e Salesforce.

Federazione con IAM

Sebbene consigliamo vivamente di gestire gli utenti umani in IAM Identity Center, puoi abilitare l'accesso principale federato con IAM per gli utenti umani in implementazioni a breve termine e su piccola scala. IAM consente di utilizzare SAML 2.0 e Open ID Connect (OIDC) separati IdPs e di utilizzare attributi principali federati per il controllo degli accessi. Con IAM, puoi trasferire gli attributi utente, come centro di costo, titolo o locale, dal tuo IdPs a e implementare autorizzazioni di AWS accesso granulari basate su questi attributi.

Un carico di lavoro è una raccolta di risorse e codice che fornisce valore aziendale, ad esempio un'applicazione o un processo backend. Il tuo carico di lavoro può richiedere un'identità IAM per effettuare richieste a AWS servizi, applicazioni, strumenti operativi e componenti. Queste identità includono macchine in esecuzione nei tuoi AWS ambienti, come EC2 istanze o AWS Lambda funzioni Amazon.

Puoi anche gestire identità computer per soggetti esterni che necessitano di accesso. Per concedere l'accesso alle identità computer, puoi utilizzare i ruoli IAM. I ruoli IAM dispongono di autorizzazioni specifiche e forniscono un modo per accedere AWS affidandosi a credenziali di sicurezza temporanee con una sessione di ruolo. Inoltre, potresti avere macchine esterne AWS che richiedono l'accesso ai tuoi ambienti. AWS Per le macchine che funzionano all'esterno dell' AWS utente, puoi utilizzare IAM Roles Anywhere. Per ulteriori informazioni sui ruoli, consulta Ruoli IAM. Per i dettagli su come utilizzare i ruoli per delegare l'accesso da una parte all'altra Account AWS, consultaTutorial IAM: Delega dell'accesso tra account AWS tramite i ruoli IAM.

Per collegare un IdP direttamente a IAM, crei un'entità provider di identità per stabilire una relazione di fiducia tra il tuo Account AWS e l'IdP. Supporti IdPs IAM compatibili con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0). Per ulteriori informazioni sull'utilizzo di uno di questi IdPs con AWS, consulta le seguenti sezioni:

Federazione con pool di identità Amazon Cognito

Amazon Cognito è progettato per gli sviluppatori che desiderano autenticare e autorizzare gli utenti nelle proprie app mobili e Web. I pool di utenti di Amazon Cognito aggiungono funzionalità di accesso e registrazione all'app e i pool di identità forniscono credenziali IAM che consentono agli utenti di accedere alle risorse protette gestite in AWS. I pool di identità acquisiscono le credenziali per le sessioni temporanee tramite il funzionamento dell'operazione API AssumeRoleWithWebIdentity.

Amazon Cognito funziona con gestori dell'identità digitale esterni che supportano SAML e OpenID Connect e con gestori di identità social come Facebook, Google e Amazon. L'app può far effettuare l'accesso a un utente con un pool di utenti o un gestore dell'identità digitale esterno e recuperare in seguito le risorse per suo conto con sessioni temporanee personalizzate con un ruolo IAM.

Risorse aggiuntive

Per una dimostrazione su come creare un proxy federativo personalizzato che abiliti il Single Sign-On (SSO) nell' AWS Management Console utilizzo del sistema di autenticazione dell'organizzazione, consulta. Abilita l'accesso personalizzato del broker di identità alla AWS console

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Usare profili dell'istanza

Scenari comuni