AWS Identity and Access Management
用户指南
AWS 服务或AWS文档中描述的功能,可能因地区/位置而异。请点击 Amazon AWS 入门,可查看中国地区的具体差异

创建一个使联合身份用户能够访问 AWS 管理控制台 (自定义联合代理) 的 URL

您可以通过编写和运行代码来创建 URL 以使登录到您组织网络的用户能够安全访问 AWS 管理控制台。该 URL 包含您从 AWS 获得的登录令牌,而令牌则用于对访问 AWS 的用户进行身份验证。

注意

如果您的组织使用与 SAML 兼容的身份提供商 (IdP),则无需编写代码即可设置对控制台的访问权限。这适用于 Microsoft 的 Active Directory 联合身份验证服务或开源 Shibboleth 等提供商。有关详细信息,请参阅 使 SAML 2.0 联合身份用户能够访问 AWS 管理控制台

要使您组织的用户能够访问 AWS 管理控制台,可以创建执行以下步骤的自定义“身份代理”:

  1. 确认您的本地身份系统已对用户进行身份验证。

  2. 调用 AWS Security Token Service (AWS STS) AssumeRole (推荐) 或 GetFederationToken API 操作为用户获取临时安全凭证。此凭证与具有控制用户可执行的操作的权限的角色关联。这些凭证的最大持续时间由用于生成它们的 AssumeRoleGetFederationToken API 调用的 DurationSeconds 参数指定。

    重要

    如果使用 AssumeRole API,则必须以具有长期凭证的 IAM 用户的身份调用它。步骤 3 中对联合终端节点的调用仅在具有长期凭证的 IAM 用户请求临时凭证时有效。如果具有一组不同临时凭证的 IAM 代入角色的用户请求临时凭证,则对联合终端节点的调用将失败。

  3. 调用 AWS 联合终端节点并提供临时安全凭证来请求登录令牌。

    • 如果您使用某个 AssumeRole* API 操作来获取临时安全凭证,则此请求可以包含 SessionDuration 参数。此参数指定联合控制台会话的有效持续时间 (最多 12 小时)。

    • 如果改用 GetFederationToken API 来获取凭证,则不需要 SessionDuration 参数。临时凭证已经有最多 36 小时的有效期,并且指定联合控制台会话的最大长度。

  4. 构造包含该令牌的控制台的 URL。

  5. 将 URL 分配给用户或代表用户调用 URL。

联合终端节点提供的 URL 在创建后的 15 分钟内有效。您在创建和 URL 相关联的临时安全凭证时可指定证书的有效期,有效期自证书创建时算起。

重要

如果您在关联的临时安全凭证中启用了权限,则该 URL 授予通过 AWS 管理控制台访问您的 AWS 资源的权限。因此,您应该视 URL 为机密。我们建议您通过安全的重定向返回 URL,例如,在 SSL 连接上使用 302 HTTP 响应状态代码。有关 302 HTTP 响应状态代码的详细信息,请参阅 RFC 2616,第 10.3.3 节

要查看演示如何实现单一登录解决方案的示例应用程序,请参阅 AWS 示例代码和库 中的 AWS 管理控制台联合代理示例使用案例

要完成这些任务,您可以使用适用于 AWS Identity and Access Management 的 HTTPS 查询 API (IAM)AWS Security Token Service (AWS STS)。或者,您可以将编程语言 (例如 Java、Ruby 或 C#) 与相应的 AWS 软件开发工具包结合使用。下节一一叙述了这些方式。

您可以构造一个 URL,此 URL 向您的联合身份用户授予对 AWS 管理控制台的直接访问权限。此任务使用 IAM 和 AWS STS HTTPS 查询 API。有关提出查询请求的详细信息,请参阅提出查询请求

注意

以下过程包括了文本字符串的例子。为增加可读性,一些较长的例子中添加了换行符。如果您要创建并使用这些字符串,必须省略所有换行符。

向联合用户授予从 AWS 管理控制台访问您的资源的权限

  1. 在您的身份验证系统里验证该用户

  2. 为用户获取临时安全证书。临时证书由访问密钥 ID、秘密访问密钥和会话令牌组成。有关创建临时证书的详细信息,请参阅临时安全凭证

    要获取临时凭证,您可以调用 AWS STS AssumeRole API(推荐)或 GetFederationToken API。有关这些 API 操作之间区别的更多信息,请参阅 AWS 安全博客中的了解安全地委派您的 AWS 账户访问权限的 API 选项

    重要

    • 创建临时安全凭证时,必须指定这些凭证向持有它们的用户授予的权限。对于任何以 AssumeRole* 开头的 API 操作,可使用 IAM 角色来分配权限。对于其他 API 操作,机制因 API 而异。有关更多信息,请参阅控制临时安全凭证的权限

    • 如果使用 AssumeRole API,则必须以具有长期凭证的 IAM 用户的身份调用它。步骤 3 中对联合终端节点的调用仅在具有长期凭证的 IAM 用户请求临时凭证时有效。如果具有一组不同临时凭证的 IAM 代入角色的用户请求临时凭证,则对联合终端节点的调用将失败。

  3. 获得临时安全凭证后,将其构建到 JSON“会话”字符串中以将其交换为登录令牌。下例展示如何将证书编码。请将占位符文本替换为上一步骤中接收的凭证中的相应值。

    {"sessionId":"*** temporary access key ID ***", "sessionKey":"*** temporary secret access key ***", "sessionToken":"*** security token ***"}
  4. URL 编码上一步骤中的会话字符串。由于您编码的信息是敏感信息,因此建议您避免对此编码使用 Web 服务。请改用开发工具包中在本地安装的函数或功能来安全地编码这些信息。您可以使用 Python 的 urllib.quote_plus 函数、Java 的 URLEncoder.encode 函数或 Ruby 的 CGI.escape 函数。请参阅本主题后面的示例。

  5. 将您的请求发送到 AWS 联合终端节点,地址如下:

    https://signin.aws.amazon.com/federation

    此请求必须包含 ActionSession 参数;(可选)如果您使用了 AssumeRole,则还必须包含 SessionDuration HTTP 参数,如以下示例所示。

    Action = getSigninToken SessionDuration = time in seconds Session = *** the URL encoded JSON string created in steps 3 & 4 ***

    SessionDuration 参数指定控制台会话凭证有效的秒数。这独立于临时凭证的持续时间。可以将 SessionDuration 的最大值指定为 43200(12 小时)。如果缺少此参数,则会话的持续时间默认为您在步骤 2 中从 AWS STS 检索的凭证持续时间(默认为 1 小时)。有关如何使用 DurationSeconds 参数指定持续时间的详细信息,请参阅 AssumeRole API 的文档。创建持续时间超过 1 小时的控制台会话的能力是联合终端节点的 getSigninToken 操作所固有的。您可以使用 IAM 或 STS API 操作来获取有效持续时间超过 1 小时 (3600 秒) 的凭证。

    注意

    如果您使用 GetFederationToken 获得了临时凭证,则不需要 SessionDuration HTTP 参数。控制台会话的持续时间与临时凭证的有效持续时间相同 (最多 36 小时)。

    在启用具有更长持续时间的控制台会话时,可能产生凭证外泄的风险。为了帮助缓解这种风险,您可以通过在 IAM 控制台页面的角色摘要上选择撤消会话立即禁用所有角色的有效控制台会话。有关更多信息,请参阅 撤销 IAM 角色临时安全凭证

    以下为请求具体形式的示例。在此处换行以便阅读,但您应将其作为一行字符串提交。

    https://signin.aws.amazon.com/federation ?Action=getSigninToken &SessionDuration=43200 &Session=%7B%22sessionId%22%3A+%22ASIAJUMHIZPTOKTBMK5A%22%2C+%22sessionKey%22 %3A+%22LSD7LWI%2FL%2FN%2BgYpan5QFz0XUpc8s7HYjRsgcsrsm%22%2C+%22sessionToken%2 2%3A+%22FQoDYXdzEBQaDLbj3VWv2u50NN%2F3yyLSASwYtWhPnGPMNmzZFfZsL0Qd3vtYHw5A5dW AjOsrkdPkghomIe3mJip5%2F0djDBbo7SmO%2FENDEiCdpsQKodTpleKA8xQq0CwFg6a69xdEBQT8 FipATnLbKoyS4b%2FebhnsTUjZZQWp0wXXqFF7gSm%2FMe2tXe0jzsdP0O12obez9lijPSdF1k2b5 PfGhiuyAR9aD5%2BubM0pY86fKex1qsytjvyTbZ9nXe6DvxVDcnCOhOGETJ7XFkSFdH0v%2FYR25C UAhJ3nXIkIbG7Ucv9cOEpCf%2Fg23ijRgILIBQ%3D%3D%22%7D

    来自联合终端节点的响应是一个带 SigninToken 值的 JSON 文档。类似下例。

    {"SigninToken":"*** the SigninToken string ***"}
  6. 最后,创建联合身份用户可用于访问 AWS 管理控制台的 URL。此 URL 与您在步骤 5 中使用的联合 URL 终端节点相同,外加以下参数:

    ?Action = login &Issuer = *** the form-urlencoded URL for your internal sign-in page *** &Destination = *** the form-urlencoded URL to the desired AWS console page *** &SigninToken = *** the value of SigninToken received in the previous step ***

    下列 URL 为 URL 最终形式的示例。URL 的有效期为 15 分钟,自创建时算起。URL 中嵌入的临时安全凭证和控制台会话的有效持续时间为您在最初请求它们时在 SessionDuration 参数中指定的持续时间。

    https://signin.aws.amazon.com/federation ?Action=login &Issuer=https%3A%2F%2Fexample.com &Destination=https%3A%2F%2Fconsole.amazonaws.cn%2Fs &SigninToken=VCQgs5qZZt3Q6fn8Tr5EXAMPLEmLnwB7JjUc-SHwnUUWabcRdnWsi4DBn-dvC CZ85wrD0nmldUcZEXAMPLE-vXYH4Q__mleuF_W2BE5HYexbe9y4Of-kje53SsjNNecATfjIzpW1 WibbnH6YcYRiBoffZBGExbEXAMPLE5aiKX4THWjQKC6gg6alHu6JFrnOJoK3dtP6I9a6hi6yPgm iOkPZMmNGmhsvVxetKzr8mx3pxhHbMEXAMPLETv1pij0rok3IyCR2YVcIjqwfWv32HU2Xlj471u 3fU6uOfUComeKiqTGX974xzJOZbdmX_t_lLrhEXAMPLEDDIisSnyHGw2xaZZqudm4mo2uTDk9Pv 9l5K0ZCqIgEXAMPLEcA6tgLPykEWGUyH6BdSC6166n4M4JkXIQgac7_7821YqixsNxZ6rsrpzwf nQoS14O7R0eJCCJ684EXAMPLEZRdBNnuLbUYpz2Iw3vIN0tQgOujwnwydPscM9F7foaEK3jwMkg Apeb1-6L_OB12MZhuFxx55555EXAMPLEhyETEd4ZulKPdXHkgl6T9ZkIlHz2Uy1RUTUhhUxNtSQ nWc5xkbBoEcXqpoSIeK7yhje9Vzhd61AEXAMPLElbWeouACEMG6-Vd3dAgFYd6i5FYoyFrZLWvm 0LSG7RyYKeYN5VIzUk3YWQpyjP0RiT5KUrsUi-NEXAMPLExMOMdoODBEgKQsk-iu2ozh6r8bxwC RNhujg

以下示例演示如何使用 Python 以编程方式构造授予联合身份用户 AWS 管理控制台直接访问权限的 URL。该示例使用 AWS SDK for Python (Boto)

该代码使用 AssumeRole API 获取临时安全凭证。

import urllib, json import requests # 'pip install requests' from boto.sts import STSConnection # AWS SDK for Python (Boto) 'pip install boto' # Step 1: Authenticate user in your own identity system. # Step 2: Using the access keys for an IAM user in your AWS account, # call "AssumeRole" to get temporary access keys for the federated user # Note: Calls to AWS STS AssumeRole must be signed using the access key ID # and secret access key of an IAM user or using existing temporary credentials. # The credentials can be in EC2 instance metadata, in environment variables, # or in a configuration file, and will be discovered automatically by the # STSConnection() function. For more information, see the Python SDK docs: # http://boto.readthedocs.org/en/latest/boto_config_tut.html sts_connection = STSConnection() assumed_role_object = sts_connection.assume_role( role_arn="arn:aws-cn:iam::ACCOUNT-ID-WITHOUT-HYPHENS:role/ROLE-NAME", role_session_name="AssumeRoleSession" ) # Step 3: Format resulting temporary credentials into JSON json_string_with_temp_credentials = '{' json_string_with_temp_credentials += '"sessionId":"' + assumed_role_object.credentials.access_key + '",' json_string_with_temp_credentials += '"sessionKey":"' + assumed_role_object.credentials.secret_key + '",' json_string_with_temp_credentials += '"sessionToken":"' + assumed_role_object.credentials.session_token + '"' json_string_with_temp_credentials += '}' # Step 4. Make request to AWS federation endpoint to get sign-in token. Construct the parameter string with # the sign-in action request, a 12-hour session duration, and the JSON document with temporary credentials # as parameters. request_parameters = "?Action=getSigninToken" request_parameters += "&SessionDuration=43200" request_parameters += "&Session=" + urllib.quote_plus(json_string_with_temp_credentials) request_url = "https://signin.aws.amazon.com/federation" + request_parameters r = requests.get(request_url) # Returns a JSON document with a single element named SigninToken. signin_token = json.loads(r.text) # Step 5: Create URL where users can use the sign-in token to sign in to # the console. This URL must be used within 15 minutes after the # sign-in token was issued. request_parameters = "?Action=login" request_parameters += "&Issuer=Example.org" request_parameters += "&Destination=" + urllib.quote_plus("https://console.aws.amazon.com/") request_parameters += "&SigninToken=" + signin_token["SigninToken"] request_url = "https://signin.aws.amazon.com/federation" + request_parameters # Send final URL to stdout print request_url

以下示例演示如何使用 Java 以编程方式构造授予联合身份用户 AWS 管理控制台直接访问权限的 URL。下列代码段使用适用于 Java 的 AWS 开发工具包

import java.net.URLEncoder; import java.net.URL; import java.net.URLConnection; import java.io.BufferedReader; import java.io.InputStreamReader; // Available at http://www.json.org/java/index.html import org.json.JSONObject; import com.amazonaws.auth.AWSCredentials; import com.amazonaws.auth.BasicAWSCredentials; import com.amazonaws.services.securitytoken.AWSSecurityTokenServiceClient; import com.amazonaws.services.securitytoken.model.Credentials; import com.amazonaws.services.securitytoken.model.GetFederationTokenRequest; import com.amazonaws.services.securitytoken.model.GetFederationTokenResult; /* Calls to AWS STS APIs must be signed using the access key ID and secret access key of an IAM user or using existing temporary credentials. The credentials should not be embedded in code. For this example, the code looks for the credentials in a standard configuration file. */ AWSCredentials credentials = new PropertiesCredentials( AwsConsoleApp.class.getResourceAsStream("AwsCredentials.properties")); AWSSecurityTokenServiceClient stsClient = new AWSSecurityTokenServiceClient(credentials); GetFederationTokenRequest getFederationTokenRequest = new GetFederationTokenRequest(); getFederationTokenRequest.setDurationSeconds(3600); getFederationTokenRequest.setName("UserName"); // A sample policy for accessing Amazon Simple Notification Service (Amazon SNS) in the console. String policy = "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Action\":\"sns:*\"," + "\"Effect\":\"Allow\",\"Resource\":\"*\"}]}"; getFederationTokenRequest.setPolicy(policy); GetFederationTokenResult federationTokenResult = stsClient.getFederationToken(getFederationTokenRequest); Credentials federatedCredentials = federationTokenResult.getCredentials(); // The issuer parameter specifies your internal sign-in // page, for example https://mysignin.internal.mycompany.com/. // The console parameter specifies the URL to the destination console of the // AWS Management Console. This example goes to Amazon SNS. // The signin parameter is the URL to send the request to. String issuerURL = "https://mysignin.internal.mycompany.com/"; String consoleURL = "https://console.aws.amazon.com/sns"; String signInURL = "https://signin.aws.amazon.com/federation"; // Create the sign-in token using temporary credentials, // including the access key ID, secret access key, and security token. String sessionJson = String.format( "{\"%1$s\":\"%2$s\",\"%3$s\":\"%4$s\",\"%5$s\":\"%6$s\"}", "sessionId", federatedCredentials.getAccessKeyId(), "sessionKey", federatedCredentials.getSecretAccessKey(), "sessionToken", federatedCredentials.getSessionToken()); // Construct the sign-in request with the request sign-in token action, a // 12-hour console session duration, and the JSON document with temporary // credentials as parameters. String getSigninTokenURL = signInURL + "?Action=getSigninToken" + "&SessionDuration=43200" + "&SessionType=json&Session=" + URLEncoder.encode(sessionJson,"UTF-8"); URL url = new URL(getSigninTokenURL); // Send the request to the AWS federation endpoint to get the sign-in token URLConnection conn = url.openConnection (); BufferedReader bufferReader = new BufferedReader(new InputStreamReader(conn.getInputStream())); String returnContent = bufferReader.readLine(); String signinToken = new JSONObject(returnContent).getString("SigninToken"); String signinTokenParameter = "&SigninToken=" + URLEncoder.encode(signinToken,"UTF-8"); // The issuer parameter is optional, but recommended. Use it to direct users // to your sign-in page when their session expires. String issuerParameter = "&Issuer=" + URLEncoder.encode(issuerURL, "UTF-8"); // Finally, present the completed URL for the AWS console session to the user String destinationParameter = "&Destination=" + URLEncoder.encode(consoleURL,"UTF-8"); String loginURL = signInURL + "?Action=login" + signinTokenParameter + issuerParameter + destinationParameter;

以下示例演示如何使用 Ruby 以编程方式构造授予联合身份用户 AWS 管理控制台直接访问权限的 URL。下列代码段使用适用于 Ruby 的 AWS 开发工具包

require 'rubygems' require 'json' require 'open-uri' require 'cgi' require 'aws-sdk' # Create a new STS instance # # Note: Calls to AWS STS APIs must be signed using an access key ID # and secret access key. The credentials can be in EC2 instance metadata # or in environment variables and will be automatically discovered by # the default credentials provider in the AWS Ruby SDK. sts = Aws::STS::Client.new() # The following call creates a temporary session that returns # temporary security credentials and a session token. # The policy grants permissions to work # in the AWS SNS console. session = sts.get_federation_token({ duration_seconds: 3600, name: "UserName", policy: "{\"Version\":\"2012-10-17\",\"Statement\":{\"Effect\":\"Allow\",\"Action\":\"sns:*\",\"Resource\":\"*\"}}", }) # The issuer value is the URL where users are directed (such as # to your internal sign-in page) when their session expires. # # The console value specifies the URL to the destination console. # This example goes to the Amazon SNS console. # # The sign-in value is the URL of the AWS STS federation endpoint. issuer_url = "https://mysignin.internal.mycompany.com/" console_url = "https://console.aws.amazon.com/sns" signin_url = "https://signin.aws.amazon.com/federation" # Create a block of JSON that contains the temporary credentials # (including the access key ID, secret access key, and session token). session_json = { :sessionId => session.credentials[:access_key_id], :sessionKey => session.credentials[:secret_access_key], :sessionToken => session.credentials[:session_token] }.to_json # Call the federation endpoint, passing the parameters # created earlier and the session information as a JSON block. # The request returns a sign-in token that's valid for 15 minutes. # Signing in to the console with the token creates a session # that is valid for 12 hours. get_signin_token_url = signin_url + "?Action=getSigninToken" + "&SessionType=json&Session=" + CGI.escape(session_json) returned_content = URI.parse(get_signin_token_url).read # Extract the sign-in token from the information returned # by the federation endpoint. signin_token = JSON.parse(returned_content)['SigninToken'] signin_token_param = "&SigninToken=" + CGI.escape(signin_token) # Create the URL to give to the user, which includes the # sign-in token and the URL of the console to open. # The "issuer" parameter is optional but recommended. issuer_param = "&Issuer=" + CGI.escape(issuer_url) destination_param = "&Destination=" + CGI.escape(console_url) login_url = signin_url + "?Action=login" + signin_token_param + issuer_param + destination_param