AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

针对第三方身份提供商创建角色 (联合)

联合身份通过第三方身份提供商 (IdP) 向用户提供对 AWS 资源的访问权限。要设置联合身份验证,您需要配置提供商,然后创建一个 IAM 角色来确定联合身份用户将拥有哪些权限。有关联合和身份提供商的更多信息,请参阅身份提供商和联合

为联合身份用户创建角色 (AWS 管理控制台)

用于为联合身份用户创建角色的步骤取决于您选择的第三方提供商:

为联合访问创建角色 (AWS Command Line Interface)

从 AWS CLI 为支持的身份提供商 (OIDC 或 SAML) 创建角色的步骤是相同的;区别在于,您在先决条件步骤中创建的信任策略的内容不同。首先,按照先决条件部分中针对您正在使用的提供商类型的步骤操作:

从 AWS CLI 创建角色涉及几个步骤。当您使用控制台创建角色时,很多步骤会自动完成,但是使用 CLI 时,您必须自行完成每一个步骤。您必须先创建信任策略,然后创建角色,最后为角色分配权限策略。

使用 AWS CLI 创建角色

使用以下命令:

以下示例说明简单环境中的所有步骤。该示例假设您在运行 Windows 的计算机上运行 AWS CLI,并且已使用您的凭证配置了 AWS CLI。有关更多信息,请参阅配置 AWS Command Line Interface

要运行的命令如下:

# Create the role and attach the trust policy that enables users in an account to assume the role. $ aws iam create-role --role-name Test-CrossAcct-Role --assume-role-policy-document file://trustpolicyforcognitofederation.json # Attach the permissions policy to the role to specify what it is allowed to do. aws iam put-role-policy --role-name Test-CrossAcct-Role --policy-name Perms-Policy-For-CognitoFederation --policy-document file://permspolicyforcognitofederation.json

为联合访问创建角色 (Windows PowerShell 工具)

为支持的身份提供商 (OIDC 或 SAML) 创建角色的步骤是相同的;区别在于,您在先决条件步骤中创建的信任策略的内容不同。请按照先决条件部分中针对您正在使用的提供商类型的步骤操作:

使用 Windows PowerShell 工具 创建角色涉及几个步骤。当您使用控制台创建角色时,很多步骤会自动完成,但是使用 Windows PowerShell 工具 时,您必须自行完成每一个步骤。您必须先创建信任策略,然后创建角色,最后为角色分配权限策略。

使用 Windows PowerShell 工具 创建角色

使用以下命令:

以下示例说明简单环境中的所有步骤。该示例假定您已使用凭证配置了 Windows PowerShell 工具。有关更多信息,请参阅使用 AWS 凭证

要运行的命令如下:

# Create the role and attach the trust policy that enables users in an account to assume the role. PS C:\> New-IAMRole -RoleName Test-Federation-Role -AssumeRolePolicyDocument (Get-Content -Raw C:\policies\trustpolicyforfederation.json) # Attach a managed permissions policy to the role to specify what it is allowed to do. PS C:\> Register-IAMRolePolicy -RoleName Test-Federation-Role -PolicyArn arn:aws-cn:iam::aws:policy/PolicyForFederation

为联合访问创建角色 (IAM API)

在创建角色前,您必须按照“先决条件”部分中针对您正在使用的提供商类型的步骤进行操作:

使用 IAM API 为联合身份验证创建角色

使用以下命令: