本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 向 AMS 控制台配置联合 (SALZ) 下表中详述的 IAM 角色和 SAML 身份提供商(可信实体)已作为账户注册的一部分进行配置。这些角色允许您提交和监控 RFCs服务请求和事件报告,以及获取有关您的 VPCs 和堆栈的信息。 **** | 角色 | 身份提供商 | 权限 | | --- | --- | --- | | 客户 \_ \_角色 ReadOnly | SAML | 适用于标准 AMS 账户。允许您提交 RFCs 以更改 AMS 管理的基础架构,以及创建服务请求和事件。 | | 客户管理的广告用户角色 | SAML | 适用于 AMS 托管活动目录账户。允许您登录 AMS 控制台以创建服务请求和事件(否 RFCs)。 | 有关不同账户下可用角色的完整列表,请参阅[AMS 中的 IAM 用户角色](defaults-user-role.md)。 入职团队的一名成员将您的联合身份验证解决方案中的元数据文件上传到预先配置的身份提供商。如果您想在兼容 SAML 的 IdP(身份提供商)(例如 Shibboleth 或 Active Directory 联合身份验证服务)之间建立信任,以便组织中的用户可以访问 AWS 资源,则可以使用 SAML 身份提供商。IAM 中的 SAML 身份提供商在具有上述角色的 IAM 信任策略中用作委托人。 虽然其他联合解决方案提供了 AWS 的集成说明,但 AMS 有单独的说明。使用以下博客文章《[使用 Windows Active Directory、AD FS 和 SAML 2.0 启用与 AWS 的联](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)合》,以及下面给出的修改,将使您的企业用户能够通过单个浏览器访问多个 AWS 账户。 根据博客文章创建信赖方信任后,按以下方式配置索赔规则: + **NameId**: 关注博客文章。 + **RoleSessionName**: 使用以下值: + **声明规则名称**: RoleSessionName + **属性存储**:活动目录 + **LDAP 属性**: SAM-Account-Name + **发出的索赔类型**: https://aws.amazon.com/SAML/属性/ RoleSessionName + 获取广告组:关注博客文章。 + 角色声明:关注博客文章,但对于自定义规则,请使用以下内容: ``` c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/")); ``` 使用 AD FS 时,必须按照下表所示的格式为每个角色创建 Active Directory 安全组(customer\_managed\_ad\_user\_role 仅适用于 AMS 托管 AD 账户): **** | 组 | 角色 | | --- | --- | | AWS-[AccountNo]-客户 \_ \_角色 ReadOnly | 客户 \_ \_角色 ReadOnly | | AWS-[AccountNo]-customer\_managed\_ad\_user\_role | 客户管理的广告用户角色 | 有关更多信息,请参阅为[身份验证响应配置 SAML 断言](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。 **提示** 要帮助进行故障排除,请下载适用于您的浏览器的 SAML tracer 插件。