身份提供商和联合身份验证 - AWS Identity and Access Management

身份提供商和联合身份验证

如果您已管理 AWS 外部的用户身份,则可以使用 IAM 身份提供商,而不必在 AWS 账户中创建 IAM 用户。利用身份提供商 (IdP),您可以管理 AWS 外部的用户身份,并向这些外部用户身份授予使用您账户中的 AWS 资源的权限。如果您的组织已有自己的身份系统(如企业用户目录),这将十分有用。如果要创建需要访问 AWS 资源的移动应用程序或 Web 应用程序,这也十分有用。

使用 IAM 身份提供商时,您不必创建自定义登录代码或管理自己的用户身份。IdP 将向您提供它们。您的外部用户通过已知的 IdP(例如 Login with Amazon、Facebook 或 Google)进行登录。您可以向这些外部身份授予使用您的账户中的 AWS 资源的权限。IAM 身份提供商可帮助您确保 AWS 账户的安全,因为您不必在应用程序中分配或嵌入长期安全凭证(如访问密钥)。

要使用 IdP,您需要创建 IAM 身份提供商实体以在您的 AWS 账户和 IdP 之间建立信任关系。IAM 支持与 OpenID Connect (OIDC) 或者 SAML 2.0 (Security Assertion Markup Language 2.0) 兼容的 IdPs。有关通过 AWS 使用这些 IdP 之一的更多信息,请参阅以下部分:

有关创建 IAM 身份提供商实体以在兼容的 IdP 和 AWS 之间建立信任关系的详细信息,请参阅 创建 IAM 身份提供商