Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Provider di identità e federazione
Come best practice, ti consigliamo di richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere alle AWS risorse invece di creare singoli IAM utenti all'interno del tuo Account AWS. Con un provider di identità (IdP), puoi gestire le tue identità utente all'esterno AWS e concedere a queste identità utente esterne le autorizzazioni per utilizzare AWS le risorse del tuo account. Questa funzione è utile se la tua organizzazione dispone già di un proprio sistema di gestione delle identità, come ad esempio una directory aziendale degli utenti. È utile anche se stai creando un'app mobile o un'applicazione web che richiede l'accesso alle risorse. AWS
Nota
È inoltre possibile gestire gli utenti umani in IAMIdentity Center con un provider di SAML identità esterno anziché utilizzare la SAML federazione inIAM. IAM La federazione di Identity Center con un provider di identità offre la possibilità di consentire alle persone di accedere a più AWS account nell'organizzazione e a più AWS applicazioni. Per informazioni su situazioni specifiche in cui è richiesto un IAM utente, consulta Quando creare un IAM utente (anziché un ruolo).
Se si preferisce utilizzare un solo AWS account senza abilitare IAM Identity Center, è possibile utilizzare IAM un IdP esterno che fornisca informazioni sull'identità AWS utilizzando OpenID Connect (OIDC) o SAML2.0 (Security Assertion Markup Language 2.0
Quando utilizzi un provider di identità, non devi creare un codice di accesso personalizzato né gestire le tue identità utente. Tale operazione viene eseguita dall'IdP. I tuoi utenti esterni accedono tramite un IdP e puoi concedere a tali identità esterne le autorizzazioni per utilizzare le AWS risorse del tuo account. I provider di identità aiutano a mantenere la tua Account AWS sicurezza perché non devi distribuire o incorporare credenziali di sicurezza a lungo termine, come le chiavi di accesso, nell'applicazione.
Consulta la tabella seguente per determinare quale tipo di IAM federazione è il migliore per il tuo caso d'IAMuso: IAM Identity Center o Amazon Cognito. I riepiloghi e la tabella seguenti forniscono una panoramica dei metodi che gli utenti possono utilizzare per ottenere l'accesso federato alle risorse. AWS
IAMtipo di federazione | Tipo di account | Gestione degli accessi di... | Origine di identità supportata |
---|---|---|---|
Federazione con IAM Identity Center |
Account multipli gestiti da AWS Organizations |
Utenti umani della forza lavoro |
|
Federazione con IAM |
Singolo account autonomo |
|
|
Federazione con pool di identità Amazon Cognito |
Qualsiasi |
Gli utenti di app che richiedono IAM l'autorizzazione per accedere alle risorse |
|
Federazione con IAM Identity Center
Per la gestione centralizzata degli accessi degli utenti umani, si consiglia di utilizzare IAMIdentity Center per gestire l'accesso agli account e le autorizzazioni all'interno di tali account. Agli utenti di IAM Identity Center vengono concesse credenziali a breve termine per le tue risorse. AWS Puoi utilizzare Active Directory, un provider di identità (IdP) esterno o una directory IAM Identity Center come origine di identità per utenti e gruppi per assegnare l'accesso alle tue risorse. AWS
IAMIdentity Center supporta la federazione delle identità con SAML (Security Assertion Markup Language) 2.0 per fornire un accesso single sign-on federato agli utenti autorizzati a utilizzare le applicazioni all'interno del portale di accesso. AWS Gli utenti possono quindi accedere ai servizi che supportanoSAML, incluse le applicazioni AWS Management Console e quelle di terze parti, come Microsoft 365, SAP Concur e Salesforce.
Federazione con IAM
Sebbene consigliamo vivamente di gestire gli utenti umani in IAM Identity Center, è possibile abilitare l'accesso federato IAM per gli utenti umani in implementazioni a breve termine e su piccola scala. IAMconsente di utilizzare SAML 2.0 e Open ID Connect (OIDC) separati IdPs e di utilizzare attributi utente federati per il controllo degli accessi. ConIAM, puoi passare gli attributi utente, come centro di costo, titolo o locale, dal tuo IdPs a AWS e implementare autorizzazioni di accesso granulari basate su questi attributi.
Un carico di lavoro è una raccolta di risorse e codice che fornisce valore aziendale, ad esempio un'applicazione o un processo backend. Il carico di lavoro può richiedere un'IAMidentità per effettuare richieste a AWS servizi, applicazioni, strumenti operativi e componenti. Queste identità includono macchine in esecuzione nei tuoi AWS ambienti, come EC2 istanze o AWS Lambda funzioni Amazon.
Puoi anche gestire identità computer per soggetti esterni che necessitano di accesso. Per consentire l'accesso alle identità delle macchine, puoi utilizzare i ruoli. IAM IAMi ruoli dispongono di autorizzazioni specifiche e forniscono un modo per accedervi AWS affidandosi a credenziali di sicurezza temporanee con una sessione di ruolo. Inoltre, potresti avere macchine esterne AWS che richiedono l'accesso ai tuoi ambienti. AWS Per i computer che funzionano all'esterno dell' AWS utente, è possibile utilizzare IAMRoles Anywhere. Per ulteriori informazioni sui ruoli, consulta Ruoli IAM. Per informazioni dettagliate su come utilizzare i ruoli per delegare l'accesso da una parte all'altra Account AWS, consultaIAMtutorial: delega l'accesso tra AWS account utilizzando i ruoli IAM.
Per collegare direttamente un IdPIAM, devi creare un'entità provider di identità per stabilire una relazione di fiducia tra il tuo Account AWS e l'IdP. IAM IdPs supporti compatibili con OpenID Connect (OIDC) o SAML 2.0 (
Federazione con pool di identità Amazon Cognito
Amazon Cognito è progettato per gli sviluppatori che desiderano autenticare e autorizzare gli utenti nelle proprie app mobili e Web. I pool di utenti di Amazon Cognito aggiungono funzionalità di accesso e registrazione alla tua app e i pool di identità forniscono IAM credenziali che consentono agli utenti di accedere alle risorse protette in cui gestisci. AWS I pool di identità acquisiscono le credenziali per le sessioni temporanee tramite l'operazione. AssumeRoleWithWebIdentity
API
Amazon Cognito funziona con provider di identità esterni che supportano SAML OpenID Connect e con provider di identità social come Facebook, Google e Amazon. La tua app può accedere a un utente con un pool di utenti o un IdP esterno, quindi recuperare risorse per suo conto con sessioni temporanee personalizzate in un ruolo. IAM
Risorse aggiuntive
-
Per una dimostrazione su come creare un proxy federativo personalizzato che abiliti il single sign-on (SSO) all' AWS Management Console utilizzo del sistema di autenticazione dell'organizzazione, consulta. Abilita l'accesso personalizzato del broker di identità alla AWS console