AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

身份提供商和联合

如果您已管理 AWS 外部的用户身份,则可以使用 IAM 身份提供商 而不必在 AWS 账户中创建 IAM 用户。利用身份提供商 (IdP),您可以管理 AWS 外部的用户身份,并向这些外部用户身份授予使用您账户中的 AWS 资源的权限。如果您的组织已有自己的身份系统 (如企业用户目录),这将十分有用。如果要创建需要访问 AWS 资源的移动应用程序或 Web 应用程序,这也十分有用。

使用 IdP 时,您不必创建自定义登录代码或管理自己的用户身份;IdP 将向您提供它们。您的外部用户通过已知的身份提供商 (例如 Login with Amazon、Facebook、Google 等) 进行登录。您可以向这些外部身份授予使用您账户中的 AWS 资源的权限。身份提供商可帮助您确保 AWS 账户的安全,因为您不必在应用程序中分配或嵌入长期安全凭证 (如 IAM 访问密钥)。

要使用 IdP,请创建 IAM 身份提供商实体以在 AWS 账户与该 IdP 之间建立信任关系。IAM 支持与 OpenID Connect (OIDC)SAML 2.0 (安全断言标记语言 2.0) 兼容的 IdP。有关通过 AWS 使用这些 IdP 之一的更多信息,请参阅以下部分:

有关在 IAM 中创建身份提供商实体以在兼容的 IdP 和 AWS 之间建立信任关系的详细信息,请参阅创建 IAM 身份提供商