Tutorial IAM: utilizza un AWS CloudFormation modello per creare un ruolo IAM federato SAML - AWS Identity and Access Management
PrerequisitiCrea il ruolo federatoVerifica il ruolo federatoDelete resources (Elimina risorse)dettagli del modelloModello

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tutorial IAM: utilizza un AWS CloudFormation modello per creare un ruolo IAM federato SAML

Se disponi di un provider di identità SAML (IdP) esistente configurato nel AWS tuo account, puoi creare ruoli IAM federati che si fidano di quell'IdP. Questo tutorial mostra come utilizzare un AWS CloudFormation modello per creare un ruolo IAM federato SAML che può essere assunto dagli utenti autenticati tramite il tuo IdP esterno.

Il modello crea un ruolo IAM federato con una policy di fiducia che consente al tuo IdP SAML di assumere il ruolo. Gli utenti autenticati dal tuo IdP esterno possono assumere questo ruolo per AWS accedere alle risorse in base alle autorizzazioni associate al ruolo.

La risorsa distribuita è composta da quanto segue:

  • Un ruolo IAM federato che si fida del tuo IdP SAML esistente.

  • Policy gestite configurabili che possono essere associate al ruolo per concedere autorizzazioni specifiche.

  • Impostazioni opzionali del limite delle autorizzazioni e della durata della sessione.

Prerequisiti

Questo tutorial presuppone che tu abbia a disposizione quanto segue:

Crea un ruolo federato SAML utilizzando AWS CloudFormation

Per creare il ruolo federato SAML, creerai un CloudFormation modello e lo utilizzerai per creare uno stack contenente il ruolo.

Crea il modello

Per prima cosa, crea il CloudFormation modello.

  1. Nella Modello sezione, fai clic sull'icona di copia nella scheda JSON o YAML per copiare il contenuto del modello.

  2. Incolla il contenuto del modello in un nuovo file.

  3. Salva il file localmente.

Creazione dello stack

Quindi, usa il modello che hai salvato per effettuare il provisioning di uno CloudFormation stack.

  1. Apri la AWS CloudFormation console in https://console.aws.amazon.com/cloudformation.

  2. Nella pagina Stacks, dal menu Crea stack, scegli con nuove risorse (standard).

  3. Specificate il modello:

    1. In Prerequisito, scegli Scegli un modello esistente.

    2. In Specificare il modello, scegli Carica un file modello.

    3. Scegli il file, vai al file modello e selezionalo.

    4. Scegli Next (Successivo).

  4. Specificate i seguenti dettagli dello stack:

    1. Immettete un nome per lo stack.

    2. Per SAMLProviderARN, inserisci l'ARN del tuo IdP SAML esistente. Dovrebbe essere nel formato. arn:aws:iam::123456789012:saml-provider/YourProviderName

      Esempio: arn:aws:iam::123456789012:saml-provider/CompanyIdP

      Nota

      Se hai creato il tuo IdP SAML utilizzando Tutorial IAM: utilizza un AWS CloudFormation modello per creare un provider di identità SAML (IdP) il tutorial, puoi trovare l'ARN del provider nella scheda Output di quello stack. CloudFormation

    3. Infatti RoleName, puoi lasciare vuoto questo campo per generare automaticamente un nome basato sul nome dello stack o inserire un nome personalizzato per il ruolo IAM.

      Esempio: o SAML-Developer-Access SAML-ReadOnly-Role

    4. Per gli altri parametri, accettate i valori predefiniti o inserite i vostri in base alle vostre esigenze:

      • RoleSessionDuration- Durata massima della sessione in secondi (3600-43200, impostazione predefinita 7200)

        Esempio: (4 ore) 14400

      • RolePermissionsBoundary- ARN opzionale di una politica sui limiti delle autorizzazioni

        Esempio: arn:aws:iam::123456789012:policy/DeveloperBoundary

      • RolePath- Percorso per il ruolo IAM (l'impostazione predefinita è/)

        Esempio: /saml-roles/

      • ManagedPolicy1-5 - Possibilità ARNs di allegare un massimo di 5 policy gestite

        Esempio per ManagedPolicy 1: arn:aws:iam::aws:policy/ReadOnlyAccess

        Esempio per ManagedPolicy 2: arn:aws:iam::123456789012:policy/CustomPolicy

    5. Scegli Next (Successivo).

  5. Configura le opzioni dello stack:

    1. In Opzioni di errore dello stack, scegli Elimina tutte le risorse appena create.

      Nota

      La scelta di questa opzione evita che ti vengano addebitate le risorse la cui politica di eliminazione specifica che tali risorse vengano mantenute anche se la creazione dello stack fallisce.

    2. Accetta tutti gli altri valori predefiniti.

    3. In Capacità, seleziona la casella per confermare che CloudFormation potresti creare risorse IAM nel tuo account.

    4. Scegli Next (Successivo).

  6. Controlla i dettagli dello stack e scegli Invia.

AWS CloudFormation crea lo stack. Una volta completata la creazione dello stack, le risorse dello stack sono pronte per l'uso. Puoi utilizzare la scheda Risorse nella pagina dei dettagli dello stack per visualizzare le risorse che sono state fornite nel tuo account.

Lo stack produrrà il seguente valore, che puoi visualizzare nella scheda Output:

  • ROLearn: L'ARN del ruolo IAM creato (ad esempio, arn:aws:iam::123456789012:role/SAML-Developer-Access o arn:aws:iam::123456789012:role/stack-name-a1b2c3d4 se si utilizza un nome generato automaticamente).

Avrai bisogno di questo ARN di ruolo quando configuri il tuo IdP per inviare gli attributi SAML appropriati per l'assunzione del ruolo.

Prova il ruolo federato SAML

Una volta creato il ruolo federato SAML, puoi verificarne la configurazione e testare la configurazione della federazione.

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione, seleziona Ruoli.

  3. Trova e scegli il ruolo federato appena creato.

    Se hai fornito un nome di ruolo personalizzato, cerca quel nome. Se hai lasciato il RoleName parametro vuoto, il ruolo avrà un nome generato automaticamente basato sul nome dello stack e un identificatore univoco.

  4. Scegli la scheda Relazioni di fiducia per rivedere la politica di fiducia.

    La politica di attendibilità dovrebbe mostrare che il tuo IdP SAML è affidabile per assumere questo ruolo a condizione che il pubblico SAML:aud SAML () corrisponda. https://signin.aws.amazon.com/saml

  5. Scegli la scheda Autorizzazioni per rivedere le politiche allegate.

    Puoi vedere tutte le politiche gestite associate al ruolo durante la creazione.

  6. Nota l'ARN del ruolo visualizzato nella pagina di riepilogo del ruolo.

    Questo ARN ti servirà per configurare il tuo IdP esterno e consentire agli utenti di assumere questo ruolo.

Il tuo ruolo federato SAML è ora pronto per essere utilizzato. Configura il tuo IdP esterno per includere l'ARN di questo ruolo nelle asserzioni SAML e gli utenti autenticati potranno assumere questo ruolo per accedere alle risorse. AWS

Pulizia: elimina le risorse

Come passaggio finale, eliminerai lo stack e le risorse in esso contenute.

  1. Apri la AWS CloudFormation console.

  2. Nella pagina Pile, scegli lo stack creato dal modello, quindi scegli Elimina, quindi conferma Elimina.

    CloudFormation avvia l'eliminazione dello stack e di tutte le risorse che include.

CloudFormation dettagli del modello

Risorse

Il AWS CloudFormation modello di questo tutorial creerà la seguente risorsa nel tuo account:

  • AWS::IAM::Role: un ruolo IAM federato che può essere assunto dagli utenti autenticati tramite il tuo IdP SAML.

Configurazione

Il modello include i seguenti parametri configurabili:

  • RoleName- Nome del ruolo IAM (lasciare vuoto il campo per il nome generato automaticamente)

  • SAMLProviderARN - ARN dell'IdP SAML (obbligatorio)

  • RoleSessionDuration- Durata massima della sessione in secondi (3600-43200, impostazione predefinita 7200)

  • RolePermissionsBoundary- ARN opzionale della politica dei limiti delle autorizzazioni

  • RolePath- Percorso per il ruolo IAM (default/)

  • ManagedPolicy1-5 - Possibilità ARNs di allegare fino a 5 policy gestite

CloudFormation modello

Salva il seguente codice JSON o YAML come file separato da utilizzare come CloudFormation modello per questo tutorial.

JSON
{
  "AWSTemplateFormatVersion": "2010-09-09",
  "Description": "[AWSDocs] IAM: tutorial_saml-federated-role",
  "Parameters": {
    "RoleName": {
      "Type": "String",
      "Description": "Name of the IAM Role (leave empty for auto-generated name like '{StackName}-{UniqueId}')",
      "Default": "",
      "AllowedPattern": "^$|^[\\w+=,.@-]{1,64}$",
      "ConstraintDescription": "Must be empty or 1-64 characters and can contain alphanumeric characters and +=,.@-"
    },
    "SAMLProviderARN": {
      "Type": "String",
      "Description": "ARN of the SAML Identity Provider",
      "AllowedPattern": "^arn:aws:iam::\\d{12}:saml-provider/[a-zA-Z0-9._-]+$",
      "ConstraintDescription": "Must be a valid SAML provider ARN"
    },
    "RoleSessionDuration": {
      "Type": "Number",
      "Description": "The maximum session duration (in seconds) that you want to set for the specified role (3600-43200)",
      "MinValue": 3600,
      "MaxValue": 43200,
      "Default": 7200
    },
    "RolePermissionsBoundary": {
      "Type": "String",
      "Description": "Optional ARN of the permissions boundary policy (leave empty for none)",
      "Default": ""
    },
    "RolePath": {
      "Type": "String",
      "Description": "Path for the IAM role (must start and end with /)",
      "Default": "/",
      "AllowedPattern": "^\/.*\/$|^\/$",
      "ConstraintDescription": "Role path must start and end with forward slash (/)"
    },
    "RoleManagedPolicy1": {
      "Type": "String",
      "Description": "Optional managed policy ARN 1",
      "Default": ""
    },
    "RoleManagedPolicy2": {
      "Type": "String",
      "Description": "Optional managed policy ARN 2",
      "Default": ""
    },
    "RoleManagedPolicy3": {
      "Type": "String",
      "Description": "Optional managed policy ARN 3",
      "Default": ""
    },
    "RoleManagedPolicy4": {
      "Type": "String",
      "Description": "Optional managed policy ARN 4",
      "Default": ""
    },
    "RoleManagedPolicy5": {
      "Type": "String",
      "Description": "Optional managed policy ARN 5",
      "Default": ""
    }
  },
  "Conditions": {
    "HasCustomRoleName": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleName"}, ""]}]},
    "HasPermissionsBoundary": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RolePermissionsBoundary"}, ""]}]},
    "HasPolicy1": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy1"}, ""]}]},
    "HasPolicy2": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy2"}, ""]}]},
    "HasPolicy3": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy3"}, ""]}]},
    "HasPolicy4": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy4"}, ""]}]},
    "HasPolicy5": {"Fn::Not": [{"Fn::Equals": [{"Ref": "RoleManagedPolicy5"}, ""]}]}
  },
  "Resources": {
    "SAMLFederatedRole": {
      "Type": "AWS::IAM::Role",
      "Properties": {
        "RoleName": {"Fn::If": ["HasCustomRoleName", {"Ref": "RoleName"}, {"Ref": "AWS::NoValue"}]},
        "Description": "IAM role with SAML provider trust",
        "MaxSessionDuration": {"Ref": "RoleSessionDuration"},
        "PermissionsBoundary": {"Fn::If": ["HasPermissionsBoundary", {"Ref": "RolePermissionsBoundary"}, {"Ref": "AWS::NoValue"}]},
        "Path": {"Ref": "RolePath"},
        "AssumeRolePolicyDocument": {
          "Version": "2012-10-17",
          "Statement": [
            {
              "Effect": "Allow",
              "Principal": {
                "Federated": {"Ref": "SAMLProviderARN"}
              },
              "Action": "sts:AssumeRoleWithSAML",
              "Condition": {
                "StringEquals": {
                  "SAML:aud": "https://signin.aws.amazon.com/saml"
                }
              }
            }
          ]
        },
        "ManagedPolicyArns": {
          "Fn::Split": [
            ",",
            {
              "Fn::Join": [
                ",",
                [
                  {"Fn::If": ["HasPolicy1", {"Ref": "RoleManagedPolicy1"}, {"Ref": "AWS::NoValue"}]},
                  {"Fn::If": ["HasPolicy2", {"Ref": "RoleManagedPolicy2"}, {"Ref": "AWS::NoValue"}]},
                  {"Fn::If": ["HasPolicy3", {"Ref": "RoleManagedPolicy3"}, {"Ref": "AWS::NoValue"}]},
                  {"Fn::If": ["HasPolicy4", {"Ref": "RoleManagedPolicy4"}, {"Ref": "AWS::NoValue"}]},
                  {"Fn::If": ["HasPolicy5", {"Ref": "RoleManagedPolicy5"}, {"Ref": "AWS::NoValue"}]}
                ]
              ]
            }
          ]
        }
      }
    }
  },
  "Outputs": {
    "RoleARN": {
      "Description": "ARN of the created IAM Role",
      "Value": {"Fn::GetAtt": ["SAMLFederatedRole", "Arn"]},
      "Export": {
        "Name": {"Fn::Sub": "${AWS::StackName}-RoleARN"}
      }
    }
  }
}
YAML
AWSTemplateFormatVersion: '2010-09-09'
Description: '[AWSDocs] IAM: tutorial_saml-federated-role'

Parameters:
  RoleName:
    Type: String
    Description: 'Name of the IAM Role (leave empty for auto-generated name like ''{StackName}-{UniqueId}'')'
    Default: ""
    AllowedPattern: '^$|^[\w+=,.@-]{1,64}$'
    ConstraintDescription: 'Must be empty or 1-64 characters and can contain alphanumeric characters and +=,.@-'
  
  SAMLProviderARN:
    Type: String
    Description: 'ARN of the SAML Identity Provider'
    AllowedPattern: '^arn:aws:iam::\d{12}:saml-provider/[a-zA-Z0-9._-]+$'
    ConstraintDescription: 'Must be a valid SAML provider ARN'
  
  RoleSessionDuration:
    Type: Number
    Description: 'The maximum session duration (in seconds) that you want to set for the specified role (3600-43200)'
    MinValue: 3600
    MaxValue: 43200
    Default: 7200
    
  RolePermissionsBoundary:
    Type: String
    Description: Optional ARN of the permissions boundary policy (leave empty for none)
    Default: ""

  RolePath:
    Type: String
    Description: 'Path for the IAM role (must start and end with /)'
    Default: "/"
    AllowedPattern: '^\/.*\/$|^\/$'
    ConstraintDescription: 'Role path must start and end with forward slash (/)'
  
  RoleManagedPolicy1:
    Type: String
    Description: Optional managed policy ARN 1
    Default: ""
  RoleManagedPolicy2:
    Type: String
    Description: Optional managed policy ARN 2
    Default: ""
  RoleManagedPolicy3:
    Type: String
    Description: Optional managed policy ARN 3
    Default: ""
  RoleManagedPolicy4:
    Type: String
    Description: Optional managed policy ARN 4
    Default: ""
  RoleManagedPolicy5:
    Type: String
    Description: Optional managed policy ARN 5
    Default: ""

Conditions:
  HasCustomRoleName: !Not [!Equals [!Ref RoleName, ""]]
  HasPermissionsBoundary: !Not [!Equals [!Ref RolePermissionsBoundary, ""]]
  HasPolicy1: !Not [!Equals [!Ref RoleManagedPolicy1, ""]]
  HasPolicy2: !Not [!Equals [!Ref RoleManagedPolicy2, ""]]
  HasPolicy3: !Not [!Equals [!Ref RoleManagedPolicy3, ""]]
  HasPolicy4: !Not [!Equals [!Ref RoleManagedPolicy4, ""]]
  HasPolicy5: !Not [!Equals [!Ref RoleManagedPolicy5, ""]]

Resources:
  SAMLFederatedRole:
    Type: 'AWS::IAM::Role'
    Properties:
      RoleName: !If
        - HasCustomRoleName
        - !Ref RoleName
        - !Ref AWS::NoValue
      Description: 'IAM role with SAML provider trust'
      MaxSessionDuration: !Ref RoleSessionDuration
      PermissionsBoundary: !If
        - HasPermissionsBoundary
        - !Ref RolePermissionsBoundary
        - !Ref AWS::NoValue
      Path: !Ref RolePath
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Federated: !Ref SAMLProviderARN
            Action: 'sts:AssumeRoleWithSAML'
            Condition:
              StringEquals:
                'SAML:aud': 'https://signin.aws.amazon.com/saml'
      ManagedPolicyArns:
        !Split
          - ','
          - !Join
            - ','
            - - !If [HasPolicy1, !Ref RoleManagedPolicy1, !Ref 'AWS::NoValue']
              - !If [HasPolicy2, !Ref RoleManagedPolicy2, !Ref 'AWS::NoValue']
              - !If [HasPolicy3, !Ref RoleManagedPolicy3, !Ref 'AWS::NoValue']
              - !If [HasPolicy4, !Ref RoleManagedPolicy4, !Ref 'AWS::NoValue']
              - !If [HasPolicy5, !Ref RoleManagedPolicy5, !Ref 'AWS::NoValue']

Outputs:
  RoleARN:
    Description: 'ARN of the created IAM Role'
    Value: !GetAtt SAMLFederatedRole.Arn
    Export:
      Name: !Sub '${AWS::StackName}-RoleARN'