用戶身份信任提供者

您可以選擇使用AWS IAM Identity Center或 OpenID 連接兼容的用戶身份信任提供者。

使用 IAM 身分中心做為信任提供者

您可以用AWS IAM Identity Center作具有AWS已驗證存取權的使用者身分信任提供者。

先決條件和考量事項

• 您的 IAM 身分中心執行個體必須是AWS Organizations執行個體。獨立AWS帳戶 IAM 身分中心執行個體將無法運作。

• 您的 IAM 身分中心執行個體必須在您要在其中建立驗證存取信任提供者的相同AWS區域中啟用。

如需有關不同執行個體類型的詳細資訊，請參閱AWS IAM Identity Center使用指南中的管理 IAM 身分中心的組織和帳戶執行個體。

建立 IAM 身分中心信任提供者

在您的AWS帳戶上啟用 IAM 身分中心後，您可以使用下列程序將 IAM 身分中心設定為已驗證存取權的信任提供者。

建立 IAM 身分中心信任提供者 (AWS主控台)

1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在瀏覽窗格中，選擇 [已驗證存取] 信任提供者，然後選取 [建立已驗證存取信任提供者

3. (選擇性) 在名稱標籤和說明中，輸入信任提供者的名稱和說明。

4. 針對策略參照名稱，請輸入稍後使用原則規則時要使用的識別碼。

5. 在 [信任提供者類型] 底下，選取 [使用者信任

6. 在使用者信任提供者類型下，選取 IAM 身分中心。

7. (選用) 若要新增標籤，請選擇 Add new tag (新增標籤)，然後輸入標籤的鍵和值。

8. 選擇建立已驗證存取信任提供者。

若要建立 IAM 身分中心信任提供者 (AWSCLI)

• create-verified-access-trust-提供者（）AWS CLI

刪除 IAM 身分中心信任提供者

刪除信任提供者之前，您必須先移除所附加信任提供者的執行個體中的所有端點和群組組態。

刪除 IAM 身分中心信任提供者 (AWS主控台)

1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在功能窗格中，選擇 [已驗證存取] 信任提供者，然後在 [已驗證存取] 信任提供者下選取要刪除的信任提供者。

3. 選擇動作，然後選擇刪除已驗證存取信任提供者

4. 在文字方塊delete中輸入以確認刪除。

5. 選擇刪除。

若要刪除 IAM 身分中心信任提供者 (AWSCLI)

• delete-verified-access-trust-提供者（）AWS CLI

使用 OpenID Connect 信任提供者

AWS驗證存取權支援使用標準 OpenID Connect (OIDC) 方法的身分識別提供者。您可以使用 OIDC 相容提供者作為具有已驗證存取權的使用者身分信任提供者。但是，由於潛在的 OIDC 提供者眾多，因AWS此無法測試每個 OIDC 與已驗證存取的整合。

已驗證存取會從 OIDC 提供者取得其評估的信任資料。UserInfo Endpoint該Scope參數用於確定哪些信任數據集將被檢索。收到信任資料之後，系統會針對其評估「已驗證存取」原則。

注意

在評估「已驗證存取」原則時，「已驗證存取」不會使用 OIDC 提供者ID token傳送的信任資料。只會UserInfo Endpoint根據策略評估來自的信任資料。

目錄

• 建立 OIDC 信任提供者的先決條件
• 建立 OIDC 信任提供者
• 修改 OIDC 信任提供者
• 刪除 OIDC 信任提供者

建立 OIDC 信任提供者的先決條件

您需要直接從您的信託提供者服務收集以下信息：

• 發行者

• 授權端點

• 權杖端點

• UserInfo 端點

• 用戶端 ID

• Client secret (用戶端密碼)

• 範圍

建立 OIDC 信任提供者

請使用下列程序來建立 OIDC 做為您的信任提供者。

若要建立 OIDC 信任提供者 (主控台) AWS

1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在瀏覽窗格中，選擇 [已驗證存取] 信任提供者，然後選取 [建立已驗證存取信任提供者

3. (選擇性) 在名稱標籤和說明中，輸入信任提供者的名稱和說明。

4. 針對策略參照名稱，請輸入稍後使用原則規則時要使用的識別碼。

5. 在 [信任提供者類型] 底下，選取 [使用者信任

6. 在 [使用者信任提供者類型] 下，選取 [OIDC (OpenID Connect)]。

7. 針對「發行者」，輸入 OIDC 發行者的識別碼。

8. 針對授權端點，輸入授權端點的完整 URL。

9. 對於令牌端點，請輸入令牌端點的完整 URL。

10. 針對使用者端點，輸入使用者端點的完整 URL。

11. 輸入用戶端識別碼的 OAuth 2.0 用戶端識別碼。

12. 輸入用戶端密碼的 OAuth 2.0 用戶端密碼。

13. 輸入以身分識別提供者定義的範圍清單，以空格分隔。至少，範圍需要「OpenID」範圍。

14. (選用) 若要新增標籤，請選擇 Add new tag (新增標籤)，然後輸入標籤的鍵和值。

15. 選擇建立已驗證存取信任提供者。

注意

您需要將重新導向 URI 新增至 OIDC 提供者的允許清單。您將想要使用「已驗證存取」端點來達到此目ApplicationDomain的。您可以在「已驗證存取」端點的「詳細資料」索引標籤下找到AWS Management Console，或使用AWS CLI來描述端點。將以下內容添加到您的 OIDC 提供商的允許列表中：ApplicationDomain

若要建立 OIDC 信任提供者 (CLI) AWS

• create-verified-access-trust-提供者（）AWS CLI

修改 OIDC 信任提供者

建立信任提供者之後，您可以更新其組態。

若要修改 OIDC 信任提供者 (主控台) AWS

1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在瀏覽窗格中，選擇 [已驗證存取] 信任提供者，然後在 [已驗證存取] 信任提供者下選取要修改的信任提供者。

3. 選擇動作，然後選擇修改已驗證存取信任提供者

4. 修改您要變更的選項。

5. 選擇修改已驗證的存取信任提供者

若要修改 OIDC 信任提供者 (CLI) AWS

• modify-verified-access-trust-提供者（）AWS CLI

刪除 OIDC 信任提供者

刪除使用者信任提供者之前，您必須先從信任提供者所附加的執行個體中移除所有端點和群組組態。

若要刪除 OIDC 信任提供者 (主控台) AWS

1. 前往 https://console.aws.amazon.com/vpc/ 開啟 Amazon VPC 主控台。

2. 在功能窗格中，選擇 [已驗證存取] 信任提供者，然後在 [已驗證存取] 信任提供者下選取要刪除的信任提供者。

3. 選擇動作，然後選擇刪除已驗證存取信任提供者

4. 在文字方塊delete中輸入以確認刪除。

5. 選擇刪除。

若要刪除 OIDC 信任提供者 (CLI) AWS

• delete-verified-access-trust-提供者（）AWS CLI