本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将 Active Directory 与 AMS AWS Identity and Access Management 角色联合
<a name="federate-dir-with-sent-iam-roles"></a>

将您的目录与 AMS IAM 角色联合的目的是使企业用户能够使用其公司凭证与 AWS 管理控制台 和进行交互 AWS APIs，从而与 AMS 控制台和 APIs。

# 联合过程示例
<a name="fed-process-ex"></a>

此示例使用 Active Directory 联合身份验证服务 (AD FS)；但是，支持任何支持 AWS Identity and Access Management 联合身份验证的技术。有关 AWS 支持的 IAM 联合身份验证的更多信息，请参阅 [IAM 合作伙伴](https://aws.amazon.com/iam/partners/)和[身份提供商以及联合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。您的 CSDM 将帮助您完成此过程，这需要与您的 AD 团队和 AMS 共同努力。

有关集成 SAML 进行 API 访问的详细信息，请参阅此 AWS 博客[《如何使用 SAML 2.0 和 AD FS 实现联合 API 和 CLI 访问](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS)》。

**注意**  
有关安装 AMS CLI 和 SAML 的示例，请参阅[附录： ActiveDirectory 联合身份验证服务 (ADFS) 声明规则和 SAML 设置](apx-adfs-claim-rule-saml.md)。

# 向 AMS 控制台配置联合 (SALZ)
<a name="fed-with-console"></a>

下表中详述的 IAM 角色和 SAML 身份提供商（可信实体）已作为账户注册的一部分进行配置。这些角色允许您提交和监控 RFCs服务请求和事件报告，以及获取有关您的 VPCs 和堆栈的信息。


****  

| 角色 | 身份提供商 | 权限 | 
| --- | --- | --- | 
| 客户 \$1 \$1角色 ReadOnly | SAML | 适用于标准 AMS 账户。允许您提交 RFCs 以更改 AMS 管理的基础架构，以及创建服务请求和事件。  | 
| 客户管理的广告用户角色 | SAML | 适用于 AMS 托管活动目录账户。允许您登录 AMS 控制台以创建服务请求和事件（否 RFCs）。 | 

有关不同账户下可用角色的完整列表，请参阅[AMS 中的 IAM 用户角色](defaults-user-role.md)。

入职团队的一名成员将您的联合身份验证解决方案中的元数据文件上传到预先配置的身份提供商。如果您想在兼容 SAML 的 IdP（身份提供商）（例如 Shibboleth 或 Active Directory 联合身份验证服务）之间建立信任，以便组织中的用户可以访问 AWS 资源，则可以使用 SAML 身份提供商。IAM 中的 SAML 身份提供商在具有上述角色的 IAM 信任策略中用作委托人。

虽然其他联合解决方案提供了 AWS 的集成说明，但 AMS 有单独的说明。使用以下博客文章《[使用 Windows Active Directory、AD FS 和 SAML 2.0 启用与 AWS 的联](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)合》，以及下面给出的修改，将使您的企业用户能够通过单个浏览器访问多个 AWS 账户。

根据博客文章创建信赖方信任后，按以下方式配置索赔规则：
+ **NameId**: 关注博客文章。
+ **RoleSessionName**: 使用以下值：
  + **声明规则名称**： RoleSessionName
  + **属性存储**：活动目录
  + **LDAP 属性**： SAM-Account-Name
  + **发出的索赔类型**： https://aws.amazon.com/SAML/属性/ RoleSessionName
+ 获取广告组：关注博客文章。
+ 角色声明：关注博客文章，但对于自定义规则，请使用以下内容：

  ```
  c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
   "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
  ```

使用 AD FS 时，必须按照下表所示的格式为每个角色创建 Active Directory 安全组（customer\$1managed\$1ad\$1user\$1role 仅适用于 AMS 托管 AD 账户）：


****  

| 组 | 角色 | 
| --- | --- | 
| AWS-[AccountNo]-客户 \$1 \$1角色 ReadOnly | 客户 \$1 \$1角色 ReadOnly | 
| AWS-[AccountNo]-customer\$1managed\$1ad\$1user\$1role | 客户管理的广告用户角色 | 

有关更多信息，请参阅为[身份验证响应配置 SAML 断言](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。

**提示**  
要帮助进行故障排除，请下载适用于您的浏览器的 SAML tracer 插件。

# 向 AMS 提交联盟申请
<a name="fed-with-console-submit"></a>

如果这是您的第一个帐户，请与您的 CSDM C and/or loud Architect 合作，为您的身份提供商提供元数据 XML 文件。

如果您正在注册其他账户或身份提供商，并且可以访问管理账户或所需的应用程序帐户，请按照以下步骤操作。

1. 从 AMS 控制台创建服务请求，提供添加身份提供商所需的详细信息：
   + AccountId 将在哪个账户中创建新的身份提供商。
   + 所需的身份提供商名称（如果未提供），则默认为 customer-**saml**；通常，该名称必须与联合身份提供商中配置的设置相匹配。
   + 对于现有账户，请说明是应将新的身份提供者传播到所有现有的控制台角色，还是提供应信任新身份提供商的角色列表。
   + 将从联合代理导出的元数据 XML 文件作为文件附件附加到服务请求。

1. 在您创建服务请求的同一个账户中，使用 CT-ID ct-1e1xtak34nx76（管理 \$1 其他 \$1 其他 \$1 其他 \$1 创建）创建一个新的 RFC，其中包含以下信息。
   + 标题：“<Name>账户 < AccountId > 的加载 SAML IDP”。
   + AccountId 将在哪个账户中创建身份提供商。
   + 身份提供者名称。
   + 对于现有账户：是否应将身份提供者传播到所有现有的控制台角色，还是应信任新身份提供者的角色列表。
   + 在步骤 1 中创建的服务请求的案例 ID，其中附加了元数据 XML 文件。

# 验证控制台访问权限
<a name="verify-console-access"></a>

设置 ADFS 并拥有用于身份验证的 AMS 网址后，请按照以下步骤操作。

使用 Active Directory 联合服务 (ADFS) 配置，您可以按照以下步骤操作：

1. 打开浏览器窗口，进入为您的帐户提供的登录页面。您的账户的 ADFS **IdpInitiatedSignOn**页面随即打开。

1. 选择 “**登录到以下任一站点” 旁边的单**选按钮。**登录**网站选择列表变为活动状态。

1. **选择 s **ignin.aws.amazon.com 网站**并点击登录。**输入您的凭证的选项已打开。

1. 输入您的 CORP 凭据，然后单击 “**登录**”。 AWS 管理控制台 开场了。

1. 将 AMS 控制台的 URL 粘贴到地址栏中，然后**按 Enter**。AMS 控制台打开。

# 验证 API 访问权限
<a name="verify-api-access"></a>

AMS 使用 AWS API，其中包含一些特定于 AMS 的操作，您可以在 [AMS API](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html) 参考中阅读这些操作。

AWS 提供了 SDKs 一些可供您访问[的亚马逊网络服务工具](https://aws.amazon.com/tools/)。如果您不想使用 SDK，则可以直接调用 API。有关身份验证的信息，请参阅[签署 AWS API 请求](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html)。如果您没有使用 SDK，也没有直接发出 HTTP API 请求，则可以使用 AMS CLIs 进行变更管理 (CM) 和 SKMS。

# 安装 AMS CLIs
<a name="install-cli"></a>

有关安装用于 SAML 的 AWS Managed Services (AMS) CLI 的示例，请参阅[附录： ActiveDirectory 联合身份验证服务 (ADFS) 声明规则和 SAML 设置](apx-adfs-claim-rule-saml.md)。

如果您需要临时访问权限才能获取和安装 AWS Managed Services (AMS) SDKs，请参阅[临时 AMS 控制台访问权限](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html)。
**注意**  
您必须具有管理员凭据才能执行此过程。

AWS CLI 是使用 AWS Managed Services (AMS) CLIs （变更管理和 SKMS）的先决条件。

1. 要安装 AWS CLI，请参阅[安装 AWS 命令行界面](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)，然后按照相应的说明进行操作。请注意，该页面底部有使用不同安装程序（[Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html)、[MS Windows、mac [O](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html) S](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html)、[虚拟](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html)环境、[捆绑安装程序（Linux、macOS 或 Unix](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html)）的说明。

   安装完成后，运行`aws help`以验证安装。

1. 安装 AWS CLI 后，要安装或升级 AMS CLI，请下载 AMS AMS C **LI 或 AMS** **SDK** 可分发文件 zip 文件并解压缩。您可以通过 AMS 控制台左侧导航栏中的[https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources)链接访问 AMS CLI 发行版。

1. README 文件提供了任何安装的说明。

   打开任一选项：
   + CLI zip：仅提供 AMS CLI。
   + 软件开发工具包压缩包：提供所有 AMS APIs 和 AMS CLI。

   对于 **Windows**，请运行相应的安装程序（仅限 32 位或 64 位系统）：
   + 32 位：**ManagedCloudAPI\$1x86.msi**
   + 64 位：**ManagedCloudAPI\$1x64.msi**

   对于 **Mac/Linux**，请运行以下命令运行名为:**AWSManagedServices\$1InstallCLI.sh** 的文件：。`sh AWSManagedServices_InstallCLI.sh`**请注意，**amscm** 和 **amsskms** 目录及其内容必须与.sh 文件位于同一个目录中。AWSManagedServices\$1InstallCLI**

1. 如果您的公司证书是通过与 AWS 的联合身份验证（AMS 默认配置）使用的，则必须安装可以访问您的联合身份验证服务的凭证管理工具。例如，您可以使用此 AWS 安全博客[如何使用 SAML 2.0 和 AD FS 实现联合 API 和 CLI 访问来](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS)帮助配置您的凭证管理工具。

1. 安装完成后，运行`aws amscm help``aws amsskms help`并查看命令和选项。
**注意**  
必须安装 AMS CLI 才能使这些命令生效。要安装 AMS API 或 CLI，请前往 AMS 控制台**开发者资源**页面。有关 AMS CM API 或 AMS SKMS API 的参考资料，请参阅《用户指南》中的 “AMS 信息资源” 部分。您可能需要添加身份验证`--profile`选项；例如，`aws amsskms ams-cli-command --profile SAML`。您可能还需要添加该`--region`选项，因为所有 AMS 命令都将使用 us-east-1；例如。`aws amscm ams-cli-command --region=us-east-1`

# 在 VPC 级别安排 AMS 备份
<a name="schedule-backups"></a>

分配目标实例的 VPC 中的 AWS Managed Services (AMS) 备份计划是在账户注册期间创建的，在 VPC 创建架构中使用默认标签。备份系统根据该 VPC 标签来安排快照的执行。可以通过创建服务请求来修改时间表。有关更多信息，请参阅 [VPC 标签和默认值](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html)。

有关备份默认值，请参阅[了解 AMS 默认值](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html)