Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Provider di identità e federazione
Se gestisci già le identità degli utenti all'esterno di AWS, puoi utilizzare i provider di identità invece di creare utenti IAM nel tuo. Account AWS Con un provider di identità (IdP), puoi gestire le tue identità utente all'esterno AWS e concedere a queste identità utente esterne le autorizzazioni per utilizzare AWS le risorse del tuo account. Questa funzione è utile se la tua organizzazione dispone già di un proprio sistema di gestione delle identità, come ad esempio una directory aziendale degli utenti. Risulta utile anche quando devi creare un'app per dispositivi mobili o un'applicazione Web che richieda l'accesso alle risorse AWS .
Un IdP esterno fornisce informazioni sull'identità AWS utilizzando OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0
Nota
Come best practice di sicurezza, consigliamo di gestire gli utenti umani in Centro identità IAM con un gestore dell'identità digitale SAML esterno anziché utilizzare la federazione SAML in IAM. Per informazioni su situazioni specifiche in cui è richiesto un utente IAM, consulta la sezione Quando creare un utente IAM invece di un ruolo.
Quando utilizzi un provider di identità, non devi creare un codice di accesso personalizzato né gestire le tue identità utente. Tale operazione viene eseguita dall'IdP. I tuoi utenti esterni accedono tramite un IdP e puoi concedere a tali identità esterne le autorizzazioni per utilizzare le AWS risorse del tuo account. I provider di identità aiutano a mantenere la tua Account AWS sicurezza perché non devi distribuire o incorporare credenziali di sicurezza a lungo termine, come le chiavi di accesso, nell'applicazione.
Questa guida illustra la federazione IAM. Il tuo caso d'uso potrebbe essere più adatto al Centro identità IAM o ad Amazon Cognito. I riepiloghi e la tabella seguenti forniscono una panoramica dei metodi che gli utenti possono utilizzare per ottenere l'accesso federato alle risorse. AWS
| Tipo di account | Gestione degli accessi di... | Origine di identità supportata | |
|---|---|---|---|
|
Federazione con il Centro identità IAM |
Account multipli gestiti da AWS Organizations |
Utenti umani della forza lavoro |
|
|
Federazione con IAM |
Singolo account autonomo |
|
|
|
Federazione con pool di identità Amazon Cognito |
Qualsiasi |
Utenti di app che richiedono l'autorizzazione IAM per accedere alle risorse |
|
Federazione con il Centro identità IAM
Per una gestione centralizzata degli accessi degli utenti umani, consigliamo di utilizzare Centro identità IAM per gestire l'accesso ai tuoi account e le autorizzazioni all'interno di questi account. Agli utenti di IAM Identity Center vengono concesse credenziali a breve termine per AWS le tue risorse. Puoi utilizzare Active Directory, un provider di identità (IdP) esterno o una directory IAM Identity Center come origine di identità per utenti e gruppi per assegnare l'accesso alle tue risorse. AWS
IAM Identity Center supporta la federazione delle identità con SAML (Security Assertion Markup Language) 2.0 per fornire un accesso single sign-on federato agli utenti autorizzati a utilizzare le applicazioni all'interno del portale di accesso. AWS Gli utenti possono quindi accedere ai servizi che supportano SAML, incluse le applicazioni AWS Management Console e quelle di terze parti, come Microsoft 365, SAP Concur e Salesforce.
Federazione con IAM
Anche se consigliamo vivamente di gestire gli utenti umani nel Centro identità IAM, è possibile abilitare l'accesso agli utenti federati con IAM per gli utenti umani impegnati in implementazioni a breve termine su piccola scala. IAM consente di utilizzare SAML 2.0 e Open ID Connect (OIDC) separati IdPs e di utilizzare attributi utente federati per il controllo degli accessi. Con IAM, puoi trasferire gli attributi utente, come centro di costo, titolo o locale, dal tuo IdPs a e implementare autorizzazioni di AWS accesso granulari basate su questi attributi.
Un carico di lavoro è una raccolta di risorse e codice che fornisce valore aziendale, ad esempio un'applicazione o un processo back-end. Il tuo carico di lavoro può richiedere un'identità IAM per effettuare richieste a AWS servizi, applicazioni, strumenti operativi e componenti. Queste identità includono macchine in esecuzione nei tuoi AWS ambienti, come AWS Lambda istanze o funzioni di Amazon EC2.
Puoi anche gestire identità computer per soggetti esterni che necessitano di accesso. Per concedere l'accesso alle identità computer, puoi utilizzare i ruoli IAM. I ruoli IAM dispongono di autorizzazioni specifiche e forniscono un modo per accedere AWS affidandosi a credenziali di sicurezza temporanee con una sessione di ruolo. Inoltre, potresti avere macchine esterne AWS che richiedono l'accesso ai tuoi ambienti. AWS Per le macchine che funzionano all'esterno dell' AWS utente, puoi utilizzare IAM Roles Anywhere. Per ulteriori informazioni sui ruoli, consulta Ruoli IAM. Per i dettagli su come utilizzare i ruoli per delegare l'accesso da una parte all'altra Account AWS, consultaTutorial IAM: Delega dell'accesso tra account AWS tramite i ruoli IAM.
Per collegare un IdP direttamente a IAM, crei un'entità provider di identità per stabilire una relazione di fiducia tra il tuo Account AWS e l'IdP. Supporti IdPs IAM compatibili con OpenID Connect (OIDC) o SAML 2.0 (
Federazione con pool di identità Amazon Cognito
Amazon Cognito è progettato per gli sviluppatori che desiderano autenticare e autorizzare gli utenti nelle proprie app mobili e Web. I pool di utenti di Amazon Cognito aggiungono funzionalità di accesso e registrazione all'app e i pool di identità forniscono credenziali IAM che consentono agli utenti di accedere alle risorse protette gestite in AWS. I pool di identità acquisiscono le credenziali per le sessioni temporanee tramite il funzionamento dell'operazione API AssumeRoleWithWebIdentity.
Amazon Cognito funziona con gestori dell'identità digitale esterni che supportano SAML e OpenID Connect e con gestori di identità social come Facebook, Google e Amazon. L'app può far effettuare l'accesso a un utente con un pool di utenti o un gestore dell'identità digitale esterno e recuperare in seguito le risorse per suo conto con sessioni temporanee personalizzate con un ruolo IAM.
