本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件和注意事项
在设置可信身份传播之前,请先查看以下先决条件和注意事项。
先决条件
要使用可信身份传播,请确保您的环境满足以下先决条件:
-
启用和预配置 IAM Identity
-
要使用可信身份传播,您必须在启用用户将要访问的 Amazon 应用程序和服务的同一 Amazon Web Services 区域 个中启用 IAM Identity Center。有关信息,请参阅启用 IAM Identity Center。
-
建议使用 IAM Identity Center 组织实例-我们建议您使用在管理账户中启用的 IAM Identity Center 组织实例 Amazon Organizations。您可以将对 IAM Identity Center 组织实例的管理委托给成员账户。如果您选择 IAM Identity Center 的账户实例,则您 Amazon Web Services 服务 希望用户通过可信身份传播访问的所有内容都必须位于启用了 IAM Identity Center 的同一 Amazon Web Services 账户 个。有关更多信息,请参阅 IAM Identity Center 的账户实例。
-
-
将现有身份提供者连接至 IAM Identity Center,将用户和组预置到 IAM Identity Center 中。有关更多信息,请参阅 IAM Identer 身份源教程。
-
-
将您的可信身份传播用例中的 Amazon 托管应用程序和服务连接到 IAM Identity Center。要使用可信身份传播, Amazon 托管的应用程序必须连接到 IAM Identity Center。
注意事项
配置和使用可信身份传播时,请注意以下事项:
-
IAM Identity Center 的组织实例
-
IAM Identity Center 的组织实例将为您提供最大的控制权和灵活性 Amazon Web Services 账户,可以将您的用例扩展到多个用户和 Amazon Web Services 服务。如果您无法使用组织实例,那么 IAM Identity Center 的账户实例可能会支持您的用例。要详细了解您的用例 Amazon Web Services 服务 中的哪些 IAM Identity Center 的账户实例,请参阅Amazon 可与 IAM Identity Center 搭配使用的托管应用程序。
-
-
不需要多账户权限(权限集)
-
可信身份传播不需要您设置多账户权限(权限集)。您可以启用 IAM Identity Center,仅将其用于可信身份传播。
-
客户管理型应用程序的注意事项
即使您的用户与不由 Amazon您定制开发的应用程序管理的面向客户的应用程序进行交互,您的员工也可以从可信的身份Tableau传播中受益。这些应用程序的用户可能无法在 IAM 身份中心进行配置。为了顺利识别和授权用户访问 Amazon 资源,IAM Identity Center 允许您在对用户进行身份验证的身份提供商与 IAM Identity Center 之间配置可信关系。有关更多信息,请参阅 通过可信令牌发布者使用应用程序。
此外,为应用程序配置可信身份传播还需要:
-
您的应用程序必须使用 OAuth 2.0 框架进行身份验证。可信身份传播不支持 SAML 2.0 集成。
-
您的应用程序必须被 IAM 身份中心识别。请按照特定于您的用例的指导进行操作。