Federación y proveedores de identidades
Como práctica recomendada, le aconsejamos que exija a los usuarios humanos que utilicen la federación con un proveedor de identidad para acceder a los recursos de AWS en lugar de crear usuarios de IAM individuales en su Cuenta de AWS. Con un proveedor de identidades (IdP), puede administrar sus identidades de usuario fuera de AWS y conceder permisos a estas identidades de usuarios externos para utilizar los recursos de AWS en su cuenta. Esto resulta útil si su organización ya tiene su propio sistema de identidad, como por ejemplo, un directorio de usuario corporativo. También resulta útil si crea una aplicación móvil o web que necesita acceso a los recursos de AWS.
nota
También puede administrar usuarios humanos en IAM Identity Center con un proveedor de identidad SAML externo en lugar de utilizar la federación SAML en IAM. La federación de IAM Identity Center con un proveedor de identidades le permite brindar a las personas acceso a varias cuentas de AWS de su organización y a varias aplicaciones de AWS. Para obtener más información acerca de situaciones específicas en las que se requiere un usuario de IAM, consulte Cuándo crear un usuario de IAM (en lugar de un rol).
Si prefiere utilizar una sola cuenta de AWS sin habilitar IAM Identity Center, puede utilizar IAM con un IdP externo que proporcione información de identidad a AWS mediante OpenID Connect (OIDC)
Cuando se utiliza un proveedor de identidad, no es necesario crear un código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. El proveedor de identidad lo hace automáticamente. Sus usuarios externos inician sesión a través de un IdP, y usted puede conceder permisos a las identidades externas para utilizar los recursos de AWS en su cuenta. Los proveedores de identidades le ayudan a proteger su Cuenta de AWS, ya que no tiene que distribuir ni integrar credenciales de seguridad a largo plazo, como por ejemplo, claves de acceso, en su aplicación.
Consulte la siguiente tabla a fin de determinar qué tipo de federación de IAM es mejor para su caso de uso: IAM, IAM Identity Center o Amazon Cognito. Los siguientes resúmenes y tabla proporcionan una visión general de los métodos que sus usuarios pueden emplear para obtener acceso federado a los recursos de AWS.
Tipo de federación de IAM | Tipo de cuenta | Administración de acceso a | Fuente de identidad compatible |
---|---|---|---|
Federación con IAM Identity Center |
Cuentas múltiples administradas por AWS Organizations |
Usuarios humanos de su plantilla |
|
Federación con IAM |
Cuenta única e independiente |
|
|
Federación con grupos de identidades de Amazon Cognito |
Cualquiera |
Los usuarios de aplicaciones que requieren autorización de IAM para acceder a los recursos |
|
Federación con IAM Identity Center
Si desea administrar el acceso de usuarios humanos de manera centralizada, le recomendamos utilizar IAM Identity Center para administrar el acceso a las cuentas y los permisos dentro de esas cuentas. A los usuarios de IAM Identity Center se les conceden credenciales a corto plazo para sus recursos de AWS. Puede utilizar Active Directory, un proveedor de identidades (IdP) externo o un directorio del Centro de identidades de IAM como fuente de identidad para los usuarios y grupos con el fin de asignar el acceso a sus recursos de AWS.
IAM Identity Center admite la federación de identidades con SAML (Security Assertion Markup Language) 2.0, que proporciona acceso federado de inicio de sesión único para los usuarios autorizados a utilizar aplicaciones dentro del portal de acceso de AWS. A continuación, los usuarios pueden realizar un inicio de sesión único que admita SAML, incluida la AWS Management Console y aplicaciones de terceros, como Microsoft 365, SAP Concur y Salesforce.
Federación con IAM
Aunque recomendamos la administración de usuarios humanos en IAM Identity Center, puede habilitar el acceso de usuario federado con IAM para usuarios humanos en implementaciones a corto plazo y a pequeña escala. IAM le permite utilizar IdPs SAML 2.0 y Open ID Connect (OIDC) por separado y utilizar atributos de usuario federado para el control de acceso. Con IAM, puede proporcionar atributos de usuario, como el centro de costes, el cargo o la ubicación, desde sus IdP a AWS, e implementar permisos de acceso detallados basados en estos atributos.
Una carga de trabajo es un conjunto de recursos y código que ofrece valor comercial, como una aplicación o un proceso de backend. Su carga de trabajo puede requerir una identidad IAM para hacer peticiones a servicios de AWS, aplicaciones, herramientas operativas y componentes. Estas identidades incluyen máquinas que se ejecutan en los entornos de AWS, como instancias de Amazon EC2 o funciones de AWS Lambda.
También se pueden administrar identidades de máquina para las partes externas que necesiten acceso. Para dar acceso a las identidades de máquina, puede utilizar roles de IAM. Los roles de IAM tienen permisos específicos y ofrecen una forma de acceder a AWS empleando credenciales de seguridad temporales con una sesión de rol. Además, es posible que tenga máquinas fuera de AWS que necesiten acceso a los entornos de AWS. Para máquinas que se ejecuten fuera de AWS, puede utilizar IAM Roles Anywhere. Para obtener más información acerca de los roles de , consulte Roles de IAM. Para obtener detalles sobre cómo utilizar roles para delegar el acceso en Cuentas de AWS, consulte Tutorial de IAM: delegación del acceso entre cuentas de AWS mediante roles de IAM.
Para vincular un IdP directamente a IAM, debe crear una entidad de proveedor de identidad para establecer una relación de confianza entre su Cuenta de AWS y el IdP. IAM admite proveedores de identidades (IdP) que son compatibles con OpenID Connect (OIDC)
Federación con grupos de identidades de Amazon Cognito
Amazon Cognito está diseñado para desarrolladores que desean autenticar y autorizar usuarios en sus aplicaciones móviles y web. Los grupos de usuarios de Amazon Cognito añaden características de inicio de sesión y registro a su aplicación, y los grupos de identidades proporcionan credenciales de IAM que conceden a sus usuarios acceso a recursos protegidos que usted administra en AWS. Los grupos de identidades adquieren credenciales para sesiones temporales a través de la operación AssumeRoleWithWebIdentity
de la API.
Amazon Cognito funciona con proveedores de identidad externos compatibles con SAML y OpenID Connect, y con proveedores de identidad social como Facebook, Google y Amazon. Su aplicación puede iniciar sesión en un usuario con un grupo de usuarios o un IdP externo y, a continuación, recuperar recursos en su nombre con sesiones temporales personalizadas en un rol de IAM.
Recursos adicionales de
-
Para ver una demostración de cómo crear un proxy de federación personalizada que habilita el inicio de sesión único (SSO) en la AWS Management Console mediante el sistema de autenticación de la organización, consulte Permitir el acceso del agente de identidades personalizadas a la consola de AWS.