本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 將 Active Directory 與 AMS AWS Identity and Access Management 角色聯合
<a name="federate-dir-with-sent-iam-roles"></a>

將目錄與 AMS IAM 角色聯合的目的是讓企業使用者使用其企業登入資料與 AWS 管理主控台 和 AWS APIs，進而與 AMS 主控台和 APIs互動。

# 聯合程序範例
<a name="fed-process-ex"></a>

此範例使用 Active Directory Federation Services (AD FS)；不過，支援 AWS Identity and Access Management 聯合的任何技術都受到支援。如需 AWS 支援的 IAM 聯合的詳細資訊，請參閱 [IAM 合作夥伴](https://aws.amazon.com/iam/partners/)和[身分提供者和聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)。您的 CSDM 將協助您完成此程序，這涉及與 AD 團隊和 AMS 的共同工作。

如需整合 SAML for API 存取的詳細資訊，請參閱此 AWS 部落格：[如何使用 SAML 2.0 和 AD FS 實作聯合 API 和 CLI 存取。](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS)

**注意**  
如需安裝 AMS CLI 和 SAML 的範例，請參閱 [附錄：ActiveDirectory 聯合服務 (ADFS) 宣告規則和 SAML 設定](apx-adfs-claim-rule-saml.md)。

# 設定 AMS 主控台的聯合 (SALZ)
<a name="fed-with-console"></a>

下表中詳述的 IAM 角色和 SAML 身分提供者 （受信任實體） 已佈建為帳戶加入的一部分。這些角色可讓您提交和監控 RFCs、服務請求和事件報告，以及取得 VPCs和堆疊的相關資訊。


****  

| 角色 | 身分提供者 | 權限 | 
| --- | --- | --- | 
| Customer\$1ReadOnly\$1Role | SAML | 對於標準 AMS 帳戶。可讓您提交 RFCs 以變更 AMS 受管基礎設施，以及建立服務請求和事件。  | 
| customer\$1managed\$1ad\$1user\$1role | SAML | 對於 AMS Managed Active Directory 帳戶。可讓您登入 AMS 主控台以建立服務請求和事件 （無 RFCs)。 | 

如需不同帳戶下可用角色的完整清單，請參閱 [AMS 中的 IAM 使用者角色](defaults-user-role.md)。

加入團隊的成員將中繼資料檔案從您的聯合解決方案上傳至預先設定的身分提供者。當您想要在 Shibboleth 或 Active Directory Federation Services 等 SAML 相容 IdP （身分提供者） 之間建立信任時，您可以使用 SAML 身分提供者，以便組織中的使用者可以存取 AWS 資源。IAM 中的 SAML 身分提供者在具有上述角色的 IAM 信任政策中用作主體。

雖然其他聯合解決方案為 AWS 提供整合指示，但 AMS 有單獨的指示。使用下列部落格文章，[使用 Windows Active Directory、AD FS 和 SAML 2.0 啟用 AWS 聯合](https://aws.amazon.com/blogs/security/enabling-federation-to-aws-using-windows-active-directory-adfs-and-saml-2-0/)，以及以下提供的修訂，可讓您的公司使用者從單一瀏覽器存取多個 AWS 帳戶。

根據部落格文章建立依賴方信任之後，請以下列方式設定宣告規則：
+ **NameId**：遵循部落格文章。
+ **RoleSessionName**：使用下列值：
  + **宣告規則名稱**：RoleSessionName
  + **屬性存放區**：Active Directory
  + **LDAP 屬性**：SAM-Account-Name
  + **傳出宣告類型**：https：//https://aws.amazon.com/SAML/Attributes/RoleSessionName
+ 取得 AD 群組：遵循部落格文章。
+ 角色宣告：遵循部落格文章，但對於自訂規則，請使用以下內容：

  ```
  c:[Type == "http://temp/variable", Value =~ "(?i)^AWS-([^d]{12})-"]
   => issue(Type = "https://aws.amazon.com/SAML/Attributes/Role", Value = RegExReplace(c.Value, "AWS-([^d]{12})-", 
   "arn:aws:iam::$1:saml-provider/customer-readonly-saml,arn:aws:iam::$1:role/"));
  ```

使用 AD FS 時，您必須以下表所示的格式為每個角色建立 Active Directory 安全群組 (customer\$1managed\$1ad\$1user\$1role 僅適用於 AMS Managed AD 帳戶）：


****  

| 群組 | 角色 | 
| --- | --- | 
| AWS-【AccountNo】-Customer\$1ReadOnly\$1Role | Customer\$1ReadOnly\$1Role | 
| AWS-【AccountNo】-customer\$1managed\$1ad\$1user\$1role | customer\$1managed\$1ad\$1user\$1role | 

如需詳細資訊，請參閱[設定身分驗證回應的 SAML 聲明](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml_assertions.html)。

**提示**  
若要協助疑難排解，請下載瀏覽器的 SAML 追蹤器外掛程式。

# 將聯合請求提交至 AMS
<a name="fed-with-console-submit"></a>

如果這是您的第一個帳戶，請使用您的 CSDM 和/或 Cloud Architect(s)，為您的身分提供者提供中繼資料 XML 檔案。

如果您要加入其他帳戶或身分提供者，並有權存取管理帳戶或所需的應用程式帳戶，請遵循下列步驟。

1. 從 AMS 主控台建立服務請求，提供新增身分提供者所需的詳細資訊：
   + 將建立新身分提供者的帳戶的 AccountId。
   + 所需的身分提供者名稱，若未提供，預設值將為 **customer-saml**；通常，這必須符合聯合提供者中設定的設定。
   + 對於現有帳戶，包括是否應將新的身分提供者傳播至所有現有的主控台角色，或提供應信任新身分提供者的角色清單。
   + 將從您的聯合代理程式匯出的中繼資料 XML 檔案做為檔案附件連接到服務請求。

1. 從您建立服務請求的相同帳戶中，使用 CT-ID ct-1e1xtak34nx76 （管理 \$1 其他 \$1 其他 \$1 建立） 建立新的 RFC，並包含下列資訊。
   + 標題：「帳戶 <AccountId> 的內建 SAML IDP <Name>」。
   + 要建立身分提供者之帳戶的 AccountId。
   + 身分提供者名稱。
   + 對於現有帳戶：身分提供者是否應傳播至所有現有的主控台角色，或應信任新身分提供者的角色清單。
   + 在步驟 1 中建立的服務請求的案例 ID，其中連接中繼資料 XML 檔案。

# 驗證主控台存取
<a name="verify-console-access"></a>

使用 ADFS 設定好並具有要用於身分驗證的 AMS URL 後，請依照下列步驟進行。

使用 Active Directory 聯合服務 (ADFS) 組態，您可以遵循下列步驟：

1. 開啟瀏覽器視窗，並前往為您的帳戶提供給您的登入頁面。您帳戶的 ADFS **IdpInitiatedSignOn** 頁面隨即開啟。

1. 選取**登入下列其中一個網站**旁的選項按鈕。**登入**網站挑選清單會變成作用中。

1. 選擇 **signin.aws.amazon.com** 網站，然後按一下**登入**。用於輸入登入資料的選項會開啟。

1. 輸入您的 CORP 登入資料，然後按一下**登入**。隨即 AWS 管理主控台 開啟。

1. 將 AMS 主控台 URL 貼到位置列，然後按 **Enter** 鍵。AMS 主控台隨即開啟。

# 驗證 API 存取
<a name="verify-api-access"></a>

AMS 使用 AWS API，搭配一些您可以在 AMS [API 參考中閱讀的 AMS](https://docs.aws.amazon.com/managedservices/latest/ApiReference-cm/index.html) 特定操作。

AWS 提供數個 SDK，您可以在 [Tools for Amazon Web Services ](https://aws.amazon.com/tools/)中存取這些SDKs。如果您不想使用 SDK，您可以直接進行 API 呼叫。如需身分驗證的資訊，請參閱[簽署 AWS API 請求](https://docs.aws.amazon.com/general/latest/gr/signing_aws_api_requests.html)。如果您不是使用 SDK，或直接提出 HTTP API 請求，則可以使用適用於變更管理 (CM) 和 SKMS 的 AMS CLIs。

# 安裝 AMS CLIs
<a name="install-cli"></a>

如需安裝 AWS Managed Services (AMS) CLI 以搭配 SAML 使用的範例，請參閱 [附錄：ActiveDirectory 聯合服務 (ADFS) 宣告規則和 SAML 設定](apx-adfs-claim-rule-saml.md)。

如果您需要暫時存取，若要取得和安裝 AWS Managed Services (AMS) SDKs，請參閱[暫時 AMS 主控台存取](https://docs.aws.amazon.com/managedservices/latest/userguide/access-console-temp.html)。
**注意**  
您必須擁有此程序的管理員登入資料。

AWS CLI 是使用 AWS Managed Services (AMS) CLIs（變更管理和 SKMS) 的先決條件。

1. 若要安裝 AWS CLI，請參閱[安裝 AWS 命令列界面](https://docs.aws.amazon.com/cli/latest/userguide/installing.html)，並遵循適當的指示。請注意，在該頁面底部有使用不同安裝程式、[Linux](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-linux.html)、[MS Windows](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-windows.html)、[macOS](https://docs.aws.amazon.com/cli/latest/userguide/cli-install-macos.html)、[虛擬環境](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-virtualenv.html)、 [Bundled Installer (Linux、macOS 或 Unix) ](https://docs.aws.amazon.com/cli/latest/userguide/awscli-install-bundle.html)的說明。

   安裝之後，請執行 `aws help`來驗證安裝。

1. 安裝 AWS CLI 後，若要安裝或升級 AMS CLI，請下載 AMS **AMS CLI** 或 **AMS SDK** 可分發 zip 檔案並解壓縮。您可以透過 AMS 主控台左側導覽中的[https://console.aws.amazon.com/managedservices/developerResources](https://console.aws.amazon.com/managedservices/developerResources)連結來存取 AMS CLI 可分發項目。

1. README 檔案提供任何安裝的指示。

   開啟：
   + CLI zip：僅提供 AMS CLI。
   + SDK zip：提供所有 AMS APIs和 AMS CLI。

   對於 **Windows**，請執行適當的安裝程式 （僅限 32 或 64 位元系統）：
   + 32 位元：**ManagedCloudAPI\$1x86.msi**
   + 64 位元：**ManagedCloudAPI\$1x64.msi**

   對於 **Mac/Linux**，執行此命令以執行名為 **AWSManagedServices\$1InstallCLI.sh** 的檔案：`sh AWSManagedServices_InstallCLI.sh`。請注意，**amscm** 和 **amsskms** 目錄及其內容必須與 **AWSManagedServices\$1InstallCLI.sh** 檔案位於相同的目錄中。

1. 如果您的公司登入資料是透過 AWS (AMS 預設組態） 聯合使用，您必須安裝登入資料管理工具，以存取您的聯合服務。例如，您可以使用此 AWS 安全部落格 [ 如何使用 SAML 2.0 和 AD FS 實作聯合 API 和 CLI 存取](https://blogs.aws.amazon.com/security/post/Tx1LDN0UBGJJ26Q/How-to-Implement-Federated-API-and-CLI-Access-Using-SAML-2-0-and-AD-FS)，以協助設定您的憑證管理工具。

1. 安裝之後，請執行 `aws amscm help`和 `aws amsskms help` 以查看命令和選項。
**注意**  
必須安裝 AMS CLI，這些命令才能運作。若要安裝 AMS API 或 CLI，請前往 AMS 主控台**開發人員資源**頁面。如需 AMS CM API 或 AMS SKMS API 的參考資料，請參閱《 使用者指南》中的 AMS 資訊資源一節。您可能需要新增身分驗證`--profile`選項，例如 `aws amsskms ams-cli-command --profile SAML`。您可能還需要新增 `--region`選項，因為所有 AMS 命令都用盡 us-east-1；例如 `aws amscm ams-cli-command --region=us-east-1`。

# 在 VPC 層級排程 AMS 備份
<a name="schedule-backups"></a>

在已配置目標執行個體的 VPC 中，AWS Managed Services (AMS) 備份排程會在帳戶加入期間建立，並在 VPC 建立結構描述中使用預設標籤。備份系統會根據該 VPC 標籤排程快照的執行。您可以透過建立服務請求來修改排程。如需詳細資訊，請參閱 [VPC 標籤和預設值](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/vpc-tag-and-defaults.html)。

如需備份預設值，請參閱[了解 AMS 預設值](https://docs.aws.amazon.com/managedservices/latest/onboardingguide/backup-defaults.html)