Provedores de identidade e federação
Se você já gerencia identidades de usuários fora da AWS, poderá usar provedores de identidades em vez de criar usuários do IAM na sua Conta da AWS. Com um provedor de identidade (IdP), você pode gerenciar suas identidades de usuários fora da AWS e fornecer a esses usuários externos permissões para usar recursos da AWS na sua conta. Isso será útil se a sua organização já tiver seu próprio sistema de identidade, como um diretório de usuários corporativos. Também será útil se você criar um aplicativo móvel ou web que precise de acesso aos recursos da AWS.
Um IdP externo fornece informações de identidade à AWS usando OIDC (OpenID Connect)
nota
Por segurança, recomendamos que você gerencie o acesso de usuários humanos no IAM Identity Center com um provedor de identidades SAML externo em vez de usar federação SAML no IAM. Para obter informações sobre situações específicas em que um usuário do IAM é necessário, consulte Quando criar um usuário do IAM (em vez de um perfil).
Quando você usa um provedor de identidade do , não precisa criar código de login personalizado nem gerenciar suas próprias identidades de usuários. O IdP faz isso para você. Os usuários externos fazem login por meio do IdP, e você pode conceder a essas identidades externas permissões para usar os recursos da AWS na sua conta. Os provedores de identidade ajudam a manter sua Conta da AWS segura, pois você não precisa distribuir ou incorporar credenciais de segurança de longo prazo, como chaves de acesso.
Este guia aborda a federação do IAM. Seu caso de uso pode ser mais bem atendido pelo IAM Identity Center ou pelo Amazon Cognito. Os resumos e a tabela a seguir fornecem uma visão geral dos métodos que os usuários podem empregar para ter acesso federado aos recursos da AWS.
| Account type (Tipo de conta) | Gerenciamento de acesso de... | Fonte de identidades compatível | |
|---|---|---|---|
|
Federação com o IAM Identity Center |
Várias contas gerenciadas pelo AWS Organizations |
Os usuários humanos da sua força de trabalho |
|
|
Federação com o IAM |
Conta autônoma única |
|
|
|
Federação com bancos de identidades do Amazon Cognito |
Any |
Os usuários de aplicações que requerem autorização do IAM para acessar os recursos |
|
Federação com o IAM Identity Center
Para gerenciamento de acesso centralizado de seres humanos, recomendamos que você use o IAM Identity Center para gerenciar o acesso às suas contas e as permissões dentro dessas contas. Os usuários do IAM Identity Center recebem credenciais de curto prazo para usar seus recursos da AWS. Você pode usar o Active Directory, um provedor de identidades (IdP) externo ou um diretório do IAM Identity Center como a fonte de identidades de usuários e grupos para conceder acesso aos seus recursos da AWS.
O IAM Identity Center é compatível com federação de identidades com SAML (Security Assertion Markup Language) 2.0 para fornecer acesso de login único federado aos usuários autorizados a usar as aplicações no portal de acesso da AWS. Assim, os usuários podem usar a autenticação única para entrar nos serviços compatíveis com SAML, inclusive o AWS Management Console e aplicações de terceiros, como o Microsoft 365, o SAP Concur e o Salesforce.
Federação com o IAM
Embora seja altamente recomendável gerenciar usuários humanos no IAM Identity Center, você pode habilitar o acesso de usuários federados com o IAM para usuários humanos em implantações de curto prazo e pequena escala. O IAM permite que você use IdPs SAML 2.0 e Open ID Connect (OIDC) separados e atributos de usuário federados para controle de acesso. Com o IAM, você pode passar os atributos do usuário, como centro de custos, título ou nacionalidade, dos IdPs para a AWS, e implementar permissões de acesso refinadas com base nesses atributos.
Uma workload é uma coleção de códigos e recursos que fornece valor comercial, como uma aplicação ou um processo de back-end. Sua workload pode exigir uma identidade do IAM para fazer solicitações aos serviços, aplicações, ferramentas operacionais e componentes da AWS. Essas identidades incluem máquinas em execução em seus ambientes da AWS, como instâncias do Amazon EC2 ou funções do AWS Lambda.
Você também pode gerenciar identidades de máquina para partes externas que precisam de acesso. Para dar acesso a identidades de máquina, você pode usar perfis do IAM. Os perfis do IAM têm permissões específicas e fornecem uma maneira de acessar a AWS com base em credenciais de segurança temporárias com uma sessão de perfil. Além disso, você pode ter máquinas fora da AWS que precisam de acesso aos seus ambientes da AWS. Para máquinas que são executadas fora da AWS, você pode usar o IAM Roles Anywhere. Para obter mais informações sobre funções, consulte Perfis do IAM. Para obter detalhes sobre como usar perfis para delegar acesso em Contas da AWS, consulte Tutorial do IAM: Delegar acesso entre contas da AWS usando funções do IAM.
Para usar um IdP diretamente no IAM, você cria uma entidade provedora de identidades para estabelecer uma relação de confiança entre sua Conta da AWS e esse IdP. O IAM oferece suporte a IdPs compatíveis com OpenID Connect (OIDC)
Federação com bancos de identidades do Amazon Cognito
O Amazon Cognito destina-se a desenvolvedores que desejam autenticar e autorizar usuários em aplicações móveis e aplicações da Web. Os grupos de usuários do Amazon Cognito adicionam recursos de login e inscrição à aplicação, e os bancos de identidades fornecem as credenciais do IAM que concedem aos usuários acesso aos recursos protegidos que você gerencia na AWS. Os bancos de identidades obtêm credenciais para sessões temporárias por meio da operação da API AssumeRoleWithWebIdentity.
O Amazon Cognito trabalha com provedores de identidades externos compatíveis com SAML e OpenID Connect, e com provedores de identidades sociais, como o Facebook, o Google e a Amazon. A aplicação pode inscrever um usuário em um grupo de usuários ou um IdP externo e depois recuperar recursos em nome dele com sessões personalizadas temporárias em um perfil do IAM.
