AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

身份提供商和联合

如果您已管理 AWS 外部的用户身份,则可以使用 IAM 身份提供商 而不必在 AWS 账户中创建 IAM 用户。利用身份提供商 (IdP),您可以管理 AWS 外部的用户身份,并向这些外部用户身份授予使用您账户中的 AWS 资源的权限。如果您的组织已有自己的身份系统 (如企业用户目录),这将十分有用。如果要创建需要访问 AWS 资源的移动应用程序或 Web 应用程序,这也十分有用。

使用 IdP 时,您不必创建自定义登录代码或管理自己的用户身份;IdP 将向您提供它们。您的外部用户通过已知的身份提供商 (例如 Login with Amazon、Facebook、Google 等) 进行登录。您可以向这些外部身份授予使用您账户中的 AWS 资源的权限。身份提供商可帮助您确保 AWS 账户的安全,因为您不必在应用程序中分配或嵌入长期安全凭证 (如 IAM 访问密钥)。

要使用 IdP,请创建 IAM 身份提供商实体以在 AWS 账户与该 IdP 之间建立信任关系。IAM 支持与 OpenID Connect (OIDC)SAML 2.0 (安全断言标记语言 2.0) 兼容的 IdP。有关通过 AWS 使用这些 IdP 之一的更多信息,请参阅以下部分:

有关在 IAM 中创建身份提供商实体以在兼容的 IdP 和 AWS 之间建立信任关系的详细信息,请参阅创建 IAM 身份提供商