本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件和注意事项
在设置可信身份传播之前,请先查看以下先决条件和注意事项。
先决条件
要使用可信身份传播,请确保您的环境满足以下先决条件:
-
启用和预置 IAM Identity Center
-
要使用可信身份传播,您必须在启用用户将要访问的 Amazon 应用程序和服务的相同 Amazon Web Services 区域 位置启用 IAM Identity Center。有关信息,请参阅启用 IAM Identity Center。
-
推荐使用 IAM Identity Center 组织实例 - 我们建议您使用在 Amazon Organizations管理账户中启用的 IAM Identity Center 组织实例。您可以将 IAM Identity Center 组织实例的管理权限委托给成员账户。如果您选择 IAM Identity Center 的账户实例,则所有希望用户通过可信身份传播访问的 Amazon Web Services 服务 必须位于您启用 IAM Identity Center 的同一 Amazon Web Services 账户 中。有关更多信息,请参阅 IAM Identity Center 的账户实例。
-
-
将您现有的身份提供者连接到 IAM Identity Center,并将用户和组配置到 IAM Identity Center 中。有关更多信息,请参阅 IAM Identity Center 身份源教程。
-
-
将您的可信身份传播用例中的 Amazon 托管应用程序和服务连接到 IAM Identity Center。要使用可信身份传播, Amazon 托管应用程序必须连接到 IAM 身份中心。
注意事项
配置和使用可信身份传播时,请记住以下注意事项:
-
IAM Identity Center 的组织和账户实例
-
IAM Identity Center 的组织实例能为您提供最大的控制权和灵活性,支持将使用案例扩展到多个 Amazon Web Services 账户、用户和 Amazon Web Services 服务。如果您无法使用组织实例,您的使用案例可能支持通过 IAM Identity Center 的账户实例实现。有关您使用案例中的哪些 Amazon Web Services 服务 支持 IAM Identity Center 账户实例,请参阅 Amazon 可与 IAM 身份中心配合使用的托管应用程序。
-
-
不需要多账户权限(权限集)
-
可信身份传播不需要您设置多账户权限(权限集)。您可以启用 IAM Identity Center,仅将其用于可信身份传播。
-
客户自主管理型应用程序的注意事项
即使您的用户与不由 Amazon您定制开发的应用程序管理的面向客户的应用程序进行交互,您的员工也可以从可信的身份Tableau传播中受益。这些应用程序的用户可能未在 IAM Identity Center 中配置。为了顺利识别和授权用户访问 Amazon 资源,IAM Identity Center 允许您在对用户进行身份验证的身份提供商与 IAM Identity Center 之间配置可信关系。有关更多信息,请参阅 通过可信令牌发布者使用应用程序。
此外,为您的应用程序配置可信身份传播还需满足以下要求:
-
您的应用程序必须使用 OAuth 2.0 框架进行身份验证。可信身份传播不支持 SAML 2.0 集成。
-
您的应用程序必须获得 IAM Identity Center 的认可。请遵循您的使用案例专属指引。