本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
先决条件和注意事项
在设置可信身份传播之前,请先查看以下先决条件和注意事项。
先决条件
要使用可信身份传播,请确保您的环境满足以下先决条件:
-
启用和配置 IAM 身份中心
-
要使用可信身份传播,您必须在启用用户将要访问的 Amazon 应用程序和服务的相同 Amazon Web Services 区域 位置启用 IAM Identity Center。有关信息,请参阅启用 IAM Identity Center。
-
建议使用 IAM Identity Center 组织实例-我们建议您使用在的管理账户中启用的 IAM Identity Center 组织实例 Amazon Organizations。您可以将对 IAM Identity Center 组织实例的管理委托给成员账户。如果您选择 IAM Identity Center 的账户实例,则您 Amazon Web Services 服务 希望用户通过可信身份传播访问的所有内容都必须位于您启用 IAM Identity Center Amazon Web Services 账户 的地方。有关更多信息,请参阅 IAM Identity Center 的账户实例。
-
-
将您现有的身份提供商连接到 IAM 身份中心,并将您的用户和群组配置到 IAM 身份中心。有关更多信息,请参阅 IAM Identer 身份源教程。
-
-
将您的可信身份传播用例中的 Amazon 托管应用程序和服务连接到 IAM Identity Center。要使用可信身份传播, Amazon 托管应用程序必须连接到 IAM 身份中心。
注意事项
配置和使用可信身份传播时,请记住以下注意事项:
-
IAM 身份中心的组织与账户实例
-
IAM Identity Center 的组织实例将为您提供最大的控制权和灵活性 Amazon Web Services 账户,可以将您的用例扩展到多个用户和 Amazon Web Services 服务。如果您无法使用组织实例,则 IAM Identity Center 的账户实例可能会支持您的用例。要详细了解您的用例 Amazon Web Services 服务 中哪些支持 IAM Identity Center 账户实例,请参阅Amazon 可与 IAM 身份中心配合使用的托管应用程序。
-
-
不需要多账户权限(权限集)
-
可信身份传播不需要您设置多账户权限(权限集)。您可以启用 IAM Identity Center,仅将其用于可信身份传播。
-
客户托管应用程序的注意事项
即使您的用户与不由 Amazon您定制开发的应用程序管理的面向客户的应用程序进行交互,您的员工也可以从可信的身份Tableau传播中受益。这些应用程序的用户可能无法在 IAM 身份中心进行配置。为了顺利识别和授权用户访问 Amazon 资源,IAM Identity Center 允许您在对用户进行身份验证的身份提供商与 IAM Identity Center 之间配置可信关系。有关更多信息,请参阅 通过可信令牌发布者使用应用程序。
此外,为应用程序配置可信身份传播还需要:
-
您的应用程序必须使用 OAuth 2.0 框架进行身份验证。可信身份传播不支持 SAML 2.0 集成。
-
您的应用程序必须被 IAM 身份中心识别。请按照特定于您的用例的指导进行操作。