设置 SAML

为 SAML IdP 创建 IAM 角色

1. 通过以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。

2. 在导航窗格中，选择 Roles（角色）和 Create role（创建角色）。

3. 对于 Role type，选择 SAML 2.0 federation。

4. 对于 SAML Provider，选择您创建的 SAML IdP。

   重要

   请勿选择两个 SAML 2.0 访问方法（只允许编程访问或允许编程访问和 Amazon Web Services 管理控制台访问）中的任何一个。

5. 对于 Attribute，选择 SAML:sub_type。

6. 对于值，请输入 https://signin.aws.amazon.com/saml。该值将角色访问权限仅局限于 SAML 用户的流式传输请求，其中包括值为 persistent 的 SAML 主题类型断言。如果 SAML:sub_type 为 persistent，则在来自特定用户的所有 SAML 请求中，您的 IdP 会为 NameID 元素发送相同的唯一值。有关 SAML:sub_type 断言的更多信息，请参阅使用基于 SAML 的联合身份验证来对 AWS 进行 API 访问中的唯一标识基于 SAML 的联合中的用户。

   注意

   尽管 https://signin.aws.amazon.com/saml 端点高度可用，但它仅托管在 AWS 的 us-east-1 区域。为了防止某个区域端点的可用性受到影响时（罕见但可能发生）出现服务中断，请使用区域端点并设置其他 SAML 登录端点以实现失效转移。有关更多信息，请参阅 How to use regional SAML endpoints for failover。

7. 检查您的 SAML 2.0 信任信息，确认正确的可信实体和条件，然后选择 Next: Permissions。

8. 在 Attach permissions policies (附加权限策略) 页面上，选择 Next: Tags (下一步：标签)。

9. （可选）为要添加的每个标签输入键和值。有关更多信息，请参阅标记 IAM 用户和角色。

10. 完成此操作后，选择 Next: Review (下一步：审核)。稍后您将为此角色创建并嵌入内联策略。

11. 对于角色名称，输入有助于标识此角色作用的名称。由于多个实体可能引用该角色，因此，角色创建完毕后，您将无法编辑角色名称。

12. （可选）对于角色描述，输入新角色的描述。

13. 检查角色详细信息，然后选择 Create role。

14. （可选）如果您计划使用的基于会话上下文或属性的应用程序授权采用第三方 SAML 2.0 身份提供者或基于证书的身份验证，则必须将 sts:TagSession 权限添加到新 IAM 角色的信任策略中。有关更多信息，请参阅使用第三方 SAML 2.0 身份提供商的基于属性的应用程序授权和在 AWS STS 中传递会话标签。

    在新 IAM 角色的详细信息中，选择信任关系选项卡，然后选择编辑信任关系。“编辑信任关系”策略编辑器启动。添加 sts:TagSession 权限，如下所示：

    JSON

    {
        "Version":"2012-10-17",		 	 	 
        "Statement": [
            {
                "Effect": "Allow",
                "Principal": {
                    "Federated": "arn:aws:iam::111122223333:saml-provider/IDENTITY-PROVIDER"
                },
                "Action": [
                    "sts:AssumeRoleWithSAML",
                    "sts:TagSession"
                ],
                "Condition": {
                    "StringEquals": {
                        "SAML:sub_type": "persistent"
                    }
                }
            }
        ]
    }
    

    将 IDENTITY-PROVIDER 替换为您在步骤 1 中创建的 SAML IdP 的名称。然后选择更新信任策略。

1. 在您创建的 IAM 角色的详细信息中，选择权限选项卡，然后选择添加内联策略。“创建策略”向导将启动。

2. 在 Create policy (创建策略) 中，选择 JSON 选项卡。

3. 将以下 JSON 策略复制并粘贴到 JSON 窗口中。然后，通过输入您的 AWS 区域代码、账户 ID 和堆栈名称来修改资源。在以下策略中，"Action": "appstream:Stream" 操作可为您的 AppStream 2.0 用户提供权限，以便与您创建的堆栈上的流式传输会话进行连接。

   JSON

   {
       "Version":"2012-10-17",		 	 	 
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "appstream:Stream",
               "Resource": "arn:aws:appstream:us-east-1:111122223333:stack/STACK-NAME",
               "Condition": {
                   "StringEquals": {
                       "appstream:userId": "${saml:sub}"
                   }
               }
           }
       ]
   }
   

   将 REGION-CODE 替换为您的 AppStream 2.0 堆栈所在的 AWS 区域。用堆栈名称替换 STACK-NAME。STACK-NAME 区分大小写，并且其大小写和拼写必须与 AppStream 2.0 管理控制台堆栈控制面板中显示的堆栈名称完全匹配。

   对于 AWS GovCloud (US)区域中的资源，请对 ARN 使用以下格式：

   arn:aws-us-gov:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/STACK-NAME

4. （可选）如果您计划使用的基于属性的应用程序授权将第三方 SAML 2.0 身份提供商与 SAML 2.0 多栈应用程序目录结合使用，则您的 IAM 角色内联策略中的资源必须是 "Resource": "arn:aws:appstream:REGION-CODE:ACCOUNT-ID-WITHOUT-HYPHENS:stack/*"，以允许应用程序授权控制对堆栈的流式访问权限。要对堆栈资源实施额外保护，可以在策略中添加显式拒绝。有关更多信息，请参阅使用第三方 SAML 2.0 身份提供商的基于属性的应用程序授权和策略评估逻辑。

5. 完成后，选择 Review policy (审核策略)。策略验证程序将报告任何语法错误。