本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 在 中一次性設定直接 IAM 聯合應用程式 Okta 1. 以具有管理許可的使用者身分登入Okta您的帳戶。 1. 在Okta管理員主控台**的應用程式**下,選擇**應用程式。** 1. 選擇**瀏覽應用程式目錄**。搜尋並選擇**AWS 帳戶聯合**。然後選擇**新增整合**。 1. 遵循如何為帳戶聯合設定 SAML 2.0 中的步驟, AWS 使用 設定直接 IAM 聯合。 [AWS](https://saml-doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Amazon-Web-Service.html)為了處理區域故障案例,當您設定登入端點時,建議您為操作的所有區域啟用非區域端點和多個區域端點,以改善聯合彈性。為此緊急存取設定 ACS URL 時,建議您使用與 IAM Identity Center 部署所在區域不同的區域端點。如需區域[端點清單,請參閱《 一般參考](https://docs.aws.amazon.com/general/latest/gr/signin-service.html)*AWS *》中的登入端點。 1. 在**登入選項**索引標籤上,選取 SAML 2.0,然後輸入**群組篩選條件**和**角色值模式**設定。使用者目錄的 群組名稱取決於您設定的篩選條件。 ![\[兩個選項:群組篩選條件或角色值模式中的 accountid 和角色。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/emergency-access-group-filter-role-value-pattern.png) 在上圖中, `role`變數適用於緊急存取帳戶中的緊急操作角色。例如,如果您在 中建立`EmergencyAccess_Role1_RO`角色 (如映射表所述) AWS 帳戶 `123456789012`,並且您的群組篩選條件設定如上圖所示,則您的群組名稱應為 `aws#EmergencyAccess_Role1_RO#123456789012`。 1. 在您的目錄 (例如, Active Directory 中的目錄) 中,建立緊急存取群組並指定目錄的名稱 (例如,`aws#EmergencyAccess_Role1_RO#123456789012`)。使用您現有的佈建機制,將您的使用者指派給此群組。 1. 在緊急存取帳戶中,[設定自訂信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-custom.html),提供在中斷期間擔任緊急存取角色所需的許可。以下是連接到`EmergencyAccess_Role1_RO`角色之自訂**信任政策**的範例陳述式。如需圖例,請參閱 下方圖表中的緊急帳戶[如何設計緊急角色、帳戶和群組映射](emergency-access-mapping-design.md)。將範例 SAML 提供者 ARN 取代為您在緊急存取帳戶中建立的正確 ARN。將範例中的區域端點取代為您選擇的區域。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/[SAML PROVIDER NAME]" }, "Action":[ "sts:AssumeRoleWithSAML", "sts:TagSession" ], "Condition":{ "StringEquals":{ "SAML:aud": [ "https://signin.aws.amazon.com/saml", "https://us-west-2.signin.aws.amazon.com/saml", "https://us-west-1.signin.aws.amazon.com/saml", "https://us-east-2.signin.aws.amazon.com/saml" ] } } }, { "Effect":"Allow", "Principal":{ "Federated":"arn:aws:iam::123456789012:saml-provider/Okta" }, "Action":"sts:SetSourceIdentity" } ] } ``` ------ 1. 以下是連接到`EmergencyAccess_Role1_RO`角色之**許可政策**的範例陳述式。如需圖例,請參閱 下方圖表中的緊急帳戶[如何設計緊急角色、帳戶和群組映射](emergency-access-mapping-design.md)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": [ "arn:aws:iam::111122223333:role/EmergencyAccess_RO", "arn:aws:iam::444455556666:role/EmergencyAccess_RO" ] } ] } ``` ------ 1. 在工作負載帳戶上,設定自訂信任政策。以下是連接到`EmergencyAccess_RO`角色之**信任政策**的範例陳述式。在此範例中,帳戶`123456789012`是緊急存取帳戶。如需圖例,請參閱 下圖表中的工作負載帳戶[如何設計緊急角色、帳戶和群組映射](emergency-access-mapping-design.md)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":"arn:aws:iam::123456789012:root" }, "Action":"sts:AssumeRole" } ] } ``` ------ **注意** 大多數 IdPs可讓您將應用程式整合保持停用狀態,直到需要為止。我們建議您在 IdP 中停用直接 IAM 聯合應用程式,直到需要緊急存取為止。