身份提供程序和联合身份验证
如果您已管理 Amazon 外部的用户身份,则可以使用 IAM 身份提供程序,而不必在 Amazon Web Services 账户 中创建 IAM 用户。利用身份提供程序 (IdP),您可以管理 Amazon 外部的用户身份,并向这些外部用户身份授予使用您账户中的 Amazon 资源的权限。如果您的组织已有自己的身份系统(如企业用户目录),这将十分有用。如果要创建需要访问 Amazon 资源的移动应用程序或 Web 应用程序,这也十分有用。
使用 IAM 身份提供程序时,您不必创建自定义登录代码或管理自己的用户身份。IdP 将向您提供它们。您的外部用户通过已知的 IdP(例如 Login with Amazon、Facebook 或 Google)进行登录。您可以向这些外部身份授予使用您的账户中的 Amazon 资源的权限。IAM 身份提供程序可帮助您确保 Amazon Web Services 账户 的安全,因为您不必在应用程序中分配或嵌入长期安全凭证(如访问密钥)。
要使用 IdP,您需要创建 IAM 身份提供程序实体以在您的 Amazon Web Services 账户 和 IdP 之间建立信任关系。IAM 支持与 OpenID Connect (OIDC)
有关创建 IAM 身份提供程序实体以在兼容的 IdP 和 Amazon 之间建立信任关系的详细信息,请参阅 创建 IAM 身份提供程序。