本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
可信身份传播概述
可信身份传播 Amazon Web Services 服务 允许根据用户属性(例如群组关联)授予权限,为标识请求访问 Amazon 资源的用户的 IAM 角色添加上下文,并将此上下文传播给其他 Amazon Web Services 服务人。
可信身份传播的好处
可信身份传播是 IAM Identity Center 的一项功能,允许管理员使用员工的企业身份授予对资源(例如数据)的权限。 Amazon Web Services 服务 此外,他们还可以通过查看服务日志或来审核谁访问了哪些数据 Amazon CloudTrail。支持可信身份传播 Amazon Web Services 服务 的管理员可能会联系您,要求您在 IAM Identity Center 中启用该功能。
启用可信身份传播
启用可信身份传播的过程包括以下两个步骤:
-
启用 IAM Identity Center 并将您现有的身份来源连接到 IAM Identity Center-您将继续使用现有身份来源管理员工身份;将其连接到 IAM Identity Center 可创建对您的员工的引用,供您的用例 Amazon Web Services 服务 中的所有人共享。它也可供数据所有者在未来的用例中使用。
-
将@@ 您的用例中的 IAM Identity Center 连接到 IAM Identity Center-可信身份传播用例中的管理员遵循相应服务文档中的指导将服务连接到 IAM Identity Center。 Amazon Web Services 服务 Amazon Web Services 服务
注意
如果您的用例涉及第三方或客户开发的应用程序,则可以通过在对应用程序用户进行身份验证的身份提供商与 IAM Identity Center 之间配置信任关系来启用可信身份传播。这使您的应用程序能够利用前面描述的可信身份传播流程。
有关更多信息,请参阅 通过可信令牌发布者使用应用程序。
可信身份传播的工作原理
下图显示了可信身份传播的高级工作流程:
-
用户使用面向客户的应用程序(例如 Amazon QuickSight)进行身份验证。
-
面向客户的应用程序请求访问权限以使用 Amazon Web Services 服务 来查询数据,并包含有关用户的信息。
注意
一些可信身份传播用例涉及与 Amazon Web Services 服务 使用服务驱动程序进行交互的工具。您可以在用例指南中了解这是否适用于您的用例。
-
使用 IAM Identity Center Amazon Web Services 服务 验证用户身份,并将用户属性(例如群组关联)与访问所需的属性进行比较。只要用户或其组具有必要的权限,就会 Amazon Web Services 服务 授予访问权限。
-
Amazon Web Services 服务 可能会将用户标识符记录在服务日志中 Amazon CloudTrail 和服务日志中。有关详细信息,请查看服务文档。
下图概述了可信身份传播工作流程中前面描述的步骤:
