本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 AMS 主控台的聯合 (SALZ)
下表中詳述的 IAM 角色和 SAML 身分提供者 (受信任實體) 已佈建為帳戶加入的一部分。這些角色可讓您提交和監控 RFCs、服務請求和事件報告,以及取得 VPCs和堆疊的相關資訊。
| 角色 | 身分提供者 | 權限 |
|---|---|---|
Customer_ReadOnly_Role |
SAML |
對於標準 AMS 帳戶。可讓您提交 RFCs 以變更 AMS 受管基礎設施,以及建立服務請求和事件。 |
customer_managed_ad_user_role |
SAML |
對於 AMS Managed Active Directory 帳戶。可讓您登入 AMS 主控台以建立服務請求和事件 (無 RFCs)。 |
如需不同帳戶下可用角色的完整清單,請參閱 AMS 中的 IAM 使用者角色 。
加入團隊的成員將中繼資料檔案從您的聯合解決方案上傳至預先設定的身分提供者。當您想要在 Shibboleth 或 Active Directory Federation Services 等 SAML 相容 IdP (身分提供者) 之間建立信任時,您可以使用 SAML 身分提供者,以便組織中的使用者可以存取 AWS 資源。IAM 中的 SAML 身分提供者在具有上述角色的 IAM 信任政策中用作主體。
雖然其他聯合解決方案為 AWS 提供整合指示,但 AMS 有單獨的指示。使用下列部落格文章,使用 Windows Active Directory、AD FS 和 SAML 2.0 啟用 AWS 聯合
根據部落格文章建立依賴方信任之後,請以下列方式設定宣告規則:
NameId:遵循部落格文章。
RoleSessionName:使用下列值:
宣告規則名稱:RoleSessionName
屬性存放區:Active Directory
LDAP 屬性:SAM-Account-Name
傳出宣告類型:https://https://aws.amazon.com/SAML/Attributes/RoleSessionName
取得 AD 群組:遵循部落格文章。
角色宣告:遵循部落格文章,但對於自訂規則,請使用以下內容:
c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"] => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
使用 AD FS 時,您必須以下表所示的格式為每個角色建立 Active Directory 安全群組 (customer_managed_ad_user_role 僅適用於 AMS Managed AD 帳戶):
| 群組 | 角色 |
|---|---|
AWS-【AccountNo】-Customer_ReadOnly_Role |
Customer_ReadOnly_Role |
AWS-【AccountNo】-customer_managed_ad_user_role |
customer_managed_ad_user_role |
如需詳細資訊,請參閱設定身分驗證回應的 SAML 聲明。
提示
若要協助疑難排解,請下載瀏覽器的 SAML 追蹤器外掛程式。
