身分提供者與聯合 - AWS Identity and Access Management

身分提供者與聯合

如果您已管理 AWS 外部的使用者身分,即可使用 IAM 身分提供者,而不是在您的 AWS 帳戶中建立 IAM 使用者。有了身分提供者 (IdP),您便可管理 AWS 外部的使用者身分,並提供這些外部使用者身分許可,以在您帳戶中使用 AWS 資源。如果您的組織已有自己的身分系統,例如公司使用者目錄,這個方式便很管用。如果您正在建立需要存取 AWS 資源的行動應用程式或 Web 應用程式,這也很管理

當您使用 IAM 身分提供者時,您不需要建立自訂登入代碼或管理自己的使用者身分,IdP 會為您處理這些工作。IdP 會為您提供這些功能。您的外部使用者是透過如 Login with Amazon、Facebook 或 Google 等知名 IdP 來登入。您可以提供這些外部身分許可,以在您的帳戶中使用 AWS 資源。IAM 身分提供者可協助確保 AWS 帳戶的安全,因為您不必在應用程式中分發或內嵌長期安全憑證 (例如存取金鑰)。

為了使用 IdP,您建立一個 IAM 身分提供者實體,在 AWS 帳戶和 IdP 之間建立信任關係。IAM 支援 IdP,其與 OpenID Connect (OIDC)SAML 2.0 (安全性聲明標記語言 2.0) 相容。如需有關搭配 AWS 使用其中一種 IdP 的詳細資訊,請參閱下列各節:

如需建立 IAM 身分AWS提供者實體以在相容 IdP 與 之間建立信任關係的詳細資訊,請參閱 建立 IAM 身分提供者