本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 可信身份传播概述
可信身份传播是 IAM Identity Center 的一项功能,让 AWS 服务 的管理员可以根据用户属性(例如组关系)授予权限。通过可信身份传播,可以向 IAM 角色添加身份上下文,以识别请求访问 AWS 资源的用户。此上下文会传播到其他 AWS 服务上下文。
身份上下文包含在他们收到访问请求时 AWS 服务 用于做出授权决策的信息。这些信息包括识别请求者(例如,IAM 身份中心用户)、请求访问权限的元数据(例如 Amazon Redshift)和访问范围(例如,只读权限)的元数据。 AWS 服务 接收方 AWS 服务 使用此上下文以及分配给用户的任何权限来授权访问其资源。
## 可信身份传播的优势
可信身份传播允许管理员使用员工的 AWS 服务 企业身份授予对资源(例如数据)的权限。此外,他们还可以通过查看服务日志或来审核谁访问了哪些数据 AWS CloudTrail。如果您是 IAM Identity Center 管理员,其他 AWS 服务 管理员可能会要求您启用可信身份传播。
## 启用可信身份传播
启用可信身份传播的流程包括以下两个步骤:
1. **启用 IAM Identity Center 并将您现有的身份来源连接到 IAM Identity Center**-您将继续使用现有身份来源管理员工身份;将其连接到 IAM Identity Center 可创建对您的员工的引用,供您的用例 AWS 服务 中的所有人共享。数据所有者也可在未来的使用案例中使用该引用。
1. 将@@ **您的用例中的 IAM Identity Center 连接到 IAM Identity Center**-可信身份传播用例中的管理员遵循相应服务文档中的指导将服务连接到 IAM Identity Center。 AWS 服务 AWS 服务
**注意**
如果您的使用案例涉及*第三方*或*客户开发的应用程序*,您可以通过在验证应用程序用户身份的身份提供者和 IAM Identity Center 之间配置信任关系来启用可信身份传播。这样,您的应用程序就能利用前文所述的可信身份传播流程。
有关更多信息,请参阅 [通过可信令牌发布者使用应用程序](using-apps-with-trusted-token-issuer.md)。
## 可信身份传播如何工作
下图展示了可信身份传播的高层级工作流:
1. 用户使用面向客户端的应用程序(例如 Quick)进行身份验证。
1. 面向客户的应用程序请求访问权限以使用 AWS 服务 来查询数据,并包含有关用户的信息。
**注意**
一些可信身份传播用例涉及与 AWS 服务 使用服务驱动程序进行交互的工具。您可以在[使用案例指南](trustedidentitypropagation-integrations.md)中查看这是否适用于您的使用案例。
1. 使用 IAM Identity Center AWS 服务 验证用户身份,并将用户属性(例如群组关联)与访问所需的属性进行比较。只要用户或其组具有必要的权限,就会 AWS 服务 授予访问权限。
1. AWS 服务 可能会将用户标识符记录在服务日志中 AWS CloudTrail 和服务日志中。有关详细信息,请参阅相应服务文档。
下图概述了前文所述的可信身份传播工作流步骤:
**Topics**
+ [可信身份传播的优势](#benefits-trusted-identity-propagation)
+ [启用可信身份传播](#enabling-tip)
+ [可信身份传播如何工作](#how-tip-works)
+ [先决条件和注意事项](trustedidentitypropagation-overall-prerequisites.md)
+ [可信身份传播应用场景](trustedidentitypropagation-integrations.md)
+ [授权服务](authorization-services.md)