本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定對應用程式的存取
使用 AWS IAM Identity Center,您可以控制誰可以對應用程式進行單一登入存取。使用者使用其目錄登入資料登入後,即可無縫存取這些應用程式。
IAM Identity Center 透過 IAM Identity Center 與應用程式服務提供者之間的信任關係,安全地與這些應用程式通訊。此信任可以透過不同方式建立,具體取決於應用程式類型。
IAM Identity Center 支援兩種應用程式類型:[AWS 受管應用程式](awsapps.md)和[客戶受管應用程式](customermanagedapps.md)。受 AWS 管應用程式是直接從相關應用程式主控台或透過應用程式 APIs 設定。客戶受管應用程式必須新增至 IAM Identity Center 主控台,並使用 IAM Identity Center 和服務提供者的適當中繼資料進行設定。
設定應用程式以使用 IAM Identity Center 之後,您可以管理哪些使用者或群組存取應用程式。根據預設,不會將任何使用者指派給應用程式。
您也可以授予員工對 AWS 帳戶 組織中特定 AWS 管理主控台 的存取權。如需詳細資訊,請參閱[設定 的存取權 AWS 帳戶](manage-your-accounts.md)。
**Topics**
+ [AWS 受管應用程式](awsapps.md)
+ [客戶受管應用程式](customermanagedapps.md)
+ [信任的身分傳播概觀](trustedidentitypropagation-overview.md)
+ [設定您自己的 OAuth 2.0 應用程式](trustedidentitypropagation-using-customermanagedapps-setup.md)
+ [輪換 IAM Identity Center 憑證](managecerts.md)
+ [了解 IAM Identity Center 主控台中的應用程式屬性](appproperties.md)
+ [在 IAM Identity Center 主控台中指派使用者對應用程式的存取權](assignuserstoapp.md)
+ [移除使用者對 SAML 2.0 應用程式的存取權](removeaccessfromapp.md)
+ [將應用程式中的屬性映射至 IAM Identity Center 屬性](mapawsssoattributestoapp.md)
# AWS 受管應用程式
AWS IAM Identity Center 可簡化將人力資源使用者連線至 Kiro 和 Amazon Quick 等 AWS 受管應用程式的任務。透過 IAM Identity Center,您可以連接現有的身分提供者一次,並從目錄中同步使用者和群組,或直接在 IAM Identity Center 中建立和管理使用者。透過提供一個聯合點,IAM Identity Center 無需為每個應用程式設定聯合或使用者和群組同步,並減少您的管理工作。您也可以取得[使用者和群組指派的通用檢視](howtoviewandchangepermissionset.md)。
如需使用 IAM Identity Center AWS 的應用程式資料表,請參閱 [AWS 可與 IAM Identity Center 搭配使用的 受管應用程式](awsapps-that-work-with-identity-center.md)。
## 控制 AWS 受管應用程式的存取
AWS 受管應用程式的存取有兩種控制方式:
+ **應用程式初始項目**
IAM Identity Center 會透過指派給應用程式來管理此項目。根據預設, AWS 受管應用程式需要指派。如果您是應用程式管理員,可以選擇是否需要應用程式指派。
如果需要指派,當使用者登入 時 AWS 存取入口網站,只有直接或透過群組指派指派給應用程式的使用者才能檢視應用程式圖磚。
如果不需要指派,您可以允許所有 IAM Identity Center 使用者進入應用程式。在此情況下,應用程式會管理 資源的存取權,而造訪 的所有使用者都可看見應用程式圖磚 AWS 存取入口網站。
**重要**
如果您是 IAM Identity Center 管理員,您可以使用 IAM Identity Center 主控台來移除 AWS 受管應用程式的指派。移除指派之前,建議您與應用程式管理員協調。如果您打算修改決定是否需要指派或自動化應用程式指派的設定,您也應該與應用程式管理員協調。
+ **存取應用程式資源**
應用程式會透過其控制的獨立資源指派來管理此項目。
AWS 受管應用程式提供管理使用者介面,您可以用來管理對應用程式資源的存取。例如,快速管理員可以指派使用者根據其群組成員資格來存取儀表板。大多數 AWS 受管應用程式也提供可讓您將使用者指派給應用程式 AWS 管理主控台 的體驗。這些應用程式的主控台體驗可能會整合這兩個函數,以結合使用者指派功能與管理應用程式資源存取的能力。
## 共用身分資訊
### 在 中共用身分資訊的考量事項 AWS 帳戶
IAM Identity Center 支援跨應用程式最常用的屬性。這些屬性包括名字和姓氏、電話號碼、電子郵件地址、地址和慣用語言。仔細考慮哪些應用程式和哪些帳戶可以使用此個人身分識別資訊。
您可以透過下列其中一種方式控制對此資訊的存取:
+ 您可以選擇僅在 AWS Organizations 管理帳戶或 中的所有帳戶中啟用存取 AWS Organizations。
+ 或者,您可以使用服務控制政策 (SCPs) 來控制哪些應用程式可以存取 中帳戶的資訊 AWS Organizations。
例如,如果您只啟用 AWS Organizations 管理帳戶中的存取,則成員帳戶中的應用程式無法存取資訊。不過,如果您在所有帳戶中啟用存取,您可以使用 SCPs 來禁止所有應用程式存取,但您想要允許的應用程式除外。
服務控制政策是 的一項功能 AWS Organizations。如需連接 SCP 的說明,請參閱《 使用者指南》中的[連接和分離服務控制政策](/organizations/latest/userguide/orgs_manage_policies_scps_attach.html)。 *AWS Organizations *
### 設定 IAM Identity Center 以共用身分資訊
IAM Identity Center 提供包含使用者和群組屬性的身分存放區,但不包括登入憑證。您可以使用下列其中一種方法來讓 IAM Identity Center 身分存放區中的使用者和群組保持最新狀態:
+ 使用 IAM Identity Center 身分存放區做為主要身分來源。如果您選擇此方法,您可以從 IAM Identity Center 主控台或 AWS Command Line Interface () 中管理您的使用者、其登入憑證和群組AWS CLI。如需詳細資訊,請參閱[在 Identity Center 目錄中管理使用者](manage-your-identity-source-sso.md)。
+ 設定從下列任一身分來源到 IAM Identity Center 身分存放區的使用者和群組佈建 (同步):
+ **Active Directory** – 如需詳細資訊,請參閱 [Microsoft AD 目錄](manage-your-identity-source-ad.md)。
+ **外部身分提供者** – 如需詳細資訊,請參閱 [外部身分提供者](manage-your-identity-source-idp.md)。
如果您選擇此佈建方法,您可以繼續從身分來源管理使用者和群組,並將這些變更同步至 IAM Identity Center 身分存放區。
無論您選擇哪個身分來源,IAM Identity Center 都可以與 AWS 受管應用程式共用使用者和群組資訊。如此一來,您可以將身分來源連線至 IAM Identity Center 一次,然後與 中的多個應用程式共用身分資訊 AWS 雲端。這樣就不需要為每個應用程式獨立設定聯合和身分佈建。此共用功能也可讓您的使用者輕鬆存取不同 中的許多應用程式 AWS 帳戶。
## 限制 AWS 受管應用程式的使用
當您首次啟用 IAM Identity Center 時,它將成為 中所有帳戶受管 AWS 應用程式的身分來源 AWS Organizations。若要限制應用程式,您必須實作服務控制政策 SCPs)。SCPs是 的一項功能 AWS Organizations ,可用來集中控制組織中身分 (使用者和角色) 可以擁有的最大許可。您可以使用 SCPs 來封鎖對 IAM Identity Center 使用者和群組資訊的存取,並防止應用程式啟動,但在指定的帳戶中除外。如需詳細資訊,請參閱《AWS Organizations 使用者指南》**中的[服務控制政策 (SCP)](https://docs.aws.amazon.com//organizations/latest/userguide/orgs_manage_policies_scps.html)。
下列 SCP 範例會封鎖對 IAM Identity Center 使用者和群組資訊的存取,並防止應用程式啟動,但指定的帳戶 (111111111111 和 222222222222 除外):
```
{
"Sid": "DenyIdCExceptInDesignatedAWSAccounts",
"Effect": "Deny",
"Action": [
"identitystore:*",
"sso:*",
"sso-directory:*",
"sso-oauth:*"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"aws:PrincipalAccount": [
"111111111111",
"222222222222"
]
}
}
}
```
# AWS 可與 IAM Identity Center 搭配使用的 受管應用程式
IAM Identity Center 可讓您連接現有的身分來源或建立使用者一次。這可讓應用程式管理員管理對下列 AWS 受管應用程式的存取,而不需要個別聯合或使用者和群組同步。
下表中的所有 AWS 受管應用程式都會與 [IAM Identity Center 的組織執行個體](organization-instances-identity-center.md)整合。資料表也提供受支援 AWS 受管應用程式下列項目的相關資訊:
+ 應用程式是否也與 IAM Identity Center 的帳戶執行個體整合
+ 應用程式是否可以透過 IAM Identity Center 啟用受信任身分傳播
+ 應用程式是否支援使用客戶受管 KMS 金鑰設定的 IAM Identity Center
+ 應用程式是否支援在 IAM Identity Center 的其他區域中部署
**注意**
支援在其他 IAM Identity Center 區域中部署的應用程式也支援使用客戶受管 KMS 金鑰設定的 IAM Identity Center。此處列出的每個 AWS 受管應用程式都支援在主要區域中部署。如需詳細資訊,請參閱[在多個 之間部署和管理 AWS 受管應用程式 AWS 區域](multi-region-application-use.md#multi-region-aws-managed-applications)。
**AWS 與 IAM Identity Center 整合的 受管應用程式**
| AWS 受管應用程式 | 與 [IAM Identity Center 的帳戶執行個體](account-instances-identity-center.md)整合 | 透過 [IAM Identity Center 啟用受信任的身分傳播](trustedidentitypropagation-overview.md) | 支援使用[客戶受管 KMS 金鑰](encryption-at-rest.md)設定的 IAM Identity Center | 支援在 [IAM Identity Center 的其他區域中](multi-region-iam-identity-center.md)部署 |
| --- | --- | --- | --- | --- |
| Amazon Athena SQL | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon CodeCatalyst | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon DataZone | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon EKS 功能 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| EC2 上的 Amazon EMR | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon EMR on EKS | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon EMR Serverless | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon EMR Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon Kendra | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon Managed Grafana | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon Monitron | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon OpenSearch Service | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon OpenSearch Service Serverless Service | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon Q Business | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon Quick | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon Redshift | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是2 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 |
| Amazon S3 Access Grants | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 |
| Amazon SageMaker Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon SageMaker Unified Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon WorkMail | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon WorkSpaces | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| Amazon WorkSpaces Secure Browser | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| AWS App Studio | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| AWS Deadline Cloud | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 |
| AWS Glue | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| AWS IoT Events | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| AWS IoT SiteWise | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| AWS Lake Formation | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 |
| AWS re:Post Private | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| AWS Supply Chain | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| AWS Systems Manager | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 - Fleet Manager 遠端桌面 |
| AWS Transfer Family Web 應用程式 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| AWS 轉換 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| AWS Verified Access | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| 開羅 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是1 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| 多方核准 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
| OpenSearch user interface (Dashboards) | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/success_icon.svg) 是 | ![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/negative_icon.svg) 否 |
1 對於 Kiro,支援 IAM Identity Center 的帳戶執行個體,除非您的使用者需要存取 AWS 網站上的一組完整的 Kiro 功能。如需詳細資訊,請參閱《[Kiro 使用者指南》中的設定](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/getting-started-q-dev.html) *Kiro*。
2 對於 Amazon Redshift,IAM Identity Center 的帳戶執行個體受支援,但如查詢編輯器 v2 等需要許可集的應用程式除外,這些應用程式不受帳戶執行個體支援。
**注意**
雖然您可以搭配 IAM Identity Center 使用某些 AWS 服務,例如 Amazon Connect 和 AWS Client VPN 不會列在此資料表中。這是因為它們只使用 SAML 與 IAM Identity Center 整合,因此歸類為[客戶受管應用程式](customermanagedapps.md)。
# 快速入門:設定 IAM Identity Center 以測試 AWS 受管應用程式
如果您的管理員尚未提供 IAM Identity Center 的存取權,您可以使用本主題中的步驟來設定 IAM Identity Center 來測試 AWS 受管應用程式。您將了解如何啟用 IAM Identity Center、直接在 IAM Identity Center 中建立使用者,並將該使用者指派給 AWS 受管應用程式。
本主題提供如何以下列其中一種方式啟用 IAM Identity Center 的快速入門步驟:
+ **使用 AWS Organizations** – 如果您選擇此選項,則會建立 IAM Identity Center *的組織執行個體*。
+ **僅在您的特定 AWS 帳戶**- 如果您選擇此選項,則會建立 IAM Identity Center *的帳戶執行個體*。
如需這些執行個體類型的詳細資訊,請參閱 [IAM Identity Center 的組織和帳戶執行個體](identity-center-instances.md)。
## 先決條件
啟用 IAM Identity Center 之前,請確認下列事項:
+ **您有 AWS 帳戶**- 如果您沒有 AWS 帳戶,請參閱《帳戶管理參考指南》中的 [入門 AWS 帳戶](https://docs.aws.amazon.com//accounts/latest/reference/getting-started.html)。 *AWS *
+ ** AWS 受管應用程式可與 IAM Identity Center** 搭配使用 – 檢閱 的清單,[AWS 可與 IAM Identity Center 搭配使用的 受管應用程式](awsapps-that-work-with-identity-center.md)以確認您要測試的 AWS 受管應用程式可與 IAM Identity Center 搭配使用。
+ **您已檢閱區域考量** – 請確定您要測試的 AWS 受管應用程式在您啟用 IAM Identity Center AWS 區域 的 中受到支援。如需詳細資訊,請參閱受管 AWS 應用程式的文件。
**注意**
您必須在計劃啟用 IAM Identity Center 的相同區域中部署 AWS 受管應用程式。
## 設定 IAM Identity Center 的組織執行個體以測試 AWS 受管應用程式
**注意**
本主題說明如何使用 啟用 IAM Identity Center AWS Organizations,這是啟用 IAM Identity Center 的建議方法。
**確認您的許可**
若要使用 啟用 IAM Identity Center AWS Organizations,您必須以下列其中一種方式登入 AWS 管理主控台:
+ 在將啟用 IAM Identity Center 的 AWS 帳戶 中具有管理許可的使用者 AWS Organizations。
+ 根使用者 (除非不存在其他管理使用者,否則不建議使用)。
**重要**
根使用者可存取帳戶中的所有 AWS 服務和資源。作為安全最佳實務,除非您沒有其他登入資料,否則請勿使用您帳戶的根登入資料來存取 AWS 資源。這些登入資料可讓未管制的帳戶存取和很難撤銷這些帳戶。
### 步驟 1. 使用 啟用 IAM Identity Center AWS Organizations
1. 執行下列其中一項操作來登入 AWS 管理主控台。
+ **新使用者 AWS (根使用者)** – 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者的身分登入。在下一頁中,輸入您的密碼。
+ **已使用 AWS 搭配獨立 AWS 帳戶 (IAM 憑證)** – 使用您的 IAM 憑證搭配管理許可來登入。
1. 在 AWS 管理主控台首頁上,選取 IAM Identity Center 服務或導覽至 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**啟用**,並使用 啟用 IAM Identity Center AWS Organizations。執行此操作時,您要建立 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)。
### 步驟 2. 在 IAM Identity Center 中建立管理使用者
此程序說明如何直接在內建 Identity Center 目錄中建立使用者。此目錄未連接至管理員可能用來管理人力資源使用者的任何其他目錄。在 IAM Identity Center 中建立使用者後,您將為此使用者指定新的登入資料。當您以此使用者身分登入以測試受 AWS 管應用程式時,您將使用新的登入資料登入,而不是您用來存取公司資源的任何現有登入資料。
**注意**
我們建議您使用此方法來建立使用者,僅用於測試目的。
1. 在 IAM Identity Center 主控台的導覽窗格中,選擇**使用者**,然後選擇**新增使用者**。
1. 遵循 主控台中的指引來新增使用者。保留選取**密碼設定指示來傳送電子郵件給此使用者**,並確認指定您有權存取的電子郵件地址。
1. 在導覽窗格中,選擇 AWS 帳戶,選取您帳戶旁的核取方塊,然後選擇**指派使用者或群組**。
1. 選擇**使用者**索引標籤,選取您剛新增之使用者的核取方塊,然後選擇**下一步**。
1. 選擇**建立許可集**,然後遵循主控台中的指引來建立`AdministratorAccess`預先定義的許可集。
1. 完成後,新的許可集會出現在清單中。關閉瀏覽器視窗中的**許可集**索引標籤,返回**指派使用者和群組**索引標籤,然後選擇**建立許可集**旁的重新整理圖示。
1. 在**指派使用者和群組**瀏覽器索引標籤上,新的許可集會出現在清單中。選取許可集名稱旁的核取方塊,選擇**下一步**,然後選擇**提交**。
1. 登出 主控台。
### 步驟 3。以管理使用者身分登入 AWS 存取入口網站
AWS 存取入口網站是一種 Web 入口網站,可讓您建立具有 AWS 管理主控台存取權的使用者。您必須先接受加入 IAM Identity Center 的邀請並啟用您的使用者登入資料,才能登入 AWS 存取入口網站。
1. 檢查您的電子郵件是否有主旨行**邀請加入 AWS IAM Identity Center**。
1. 選擇**接受邀請**,並遵循註冊頁面上的指引,為您的使用者設定新密碼、登入和註冊 MFA 裝置。
1. 註冊 MFA 裝置後, AWS 存取入口網站會開啟。
1. 在 AWS 存取入口網站中,選取您的 AWS 帳戶 ,然後選擇 **AdministratorAccess**。系統會將您重新導向至 AWS 管理主控台。
### 步驟 4. 設定 AWS 受管應用程式以使用 IAM Identity Center
1. 當您登入 AWS 管理主控台時,請為您計劃使用的 AWS 受管應用程式開啟主控台。
1. 遵循 主控台中的指引,將 AWS 受管應用程式設定為使用 IAM Identity Center。在此過程中,您可以將您建立的使用者指派給應用程式。
## 設定 IAM Identity Center 的帳戶執行個體以測試 AWS 受管應用程式
**注意**
IAM Identity Center 的帳戶執行個體會將您的部署限制為單一 AWS 帳戶。您必須在與要測試 AWS 的應用程式相同的 AWS 區域 中啟用此執行個體。
**確認您的應用程式**
使用 IAM Identity Center 的所有 AWS 受管應用程式都可以與 IAM Identity Center 的組織執行個體搭配使用。不過,只有其中一些應用程式可以與 IAM Identity Center 的帳戶執行個體搭配使用。檢閱 的清單[AWS 可與 IAM Identity Center 搭配使用的 受管應用程式](awsapps-that-work-with-identity-center.md)。
### Step1:啟用 IAM Identity Center 的帳戶執行個體。
1. 執行下列其中一項操作來登入 AWS 管理主控台。
+ **新使用者 AWS (根使用者)** – 選擇**根使用者**並輸入 AWS 帳戶 您的電子郵件地址,以帳戶擁有者的身分登入。在下一頁中,輸入您的密碼。
+ **已使用 AWS 搭配獨立 AWS 帳戶 (IAM 登入資料)** – 使用您的 IAM 登入資料搭配管理許可來登入。
1. 在 AWS 管理主控台首頁上,選取 IAM Identity Center 服務或導覽至 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**啟用**。
1. 在**使用 啟用 IAM Identity Center AWS Organizations** 頁面上,選擇**啟用 IAM Identity Center 的帳戶執行個體**。
1. 在**啟用 IAM Identity Center 帳戶執行個體**頁面上,檢閱資訊並選擇性地新增要與此帳戶執行個體建立關聯的標籤。然後選擇**啟用**。
### 步驟 2. 在 IAM Identity Center 中建立使用者
此程序說明如何直接在內建 Identity Center 目錄中建立使用者。此目錄未連接至管理員可能用來管理人力資源使用者的任何其他目錄。在 IAM Identity Center 中建立使用者後,您將為此使用者指定新的登入資料。當您以此使用者身分登入以測試受 AWS 管應用程式時,您將使用新的登入資料登入。新的登入資料將不允許您存取其他公司資源。
**注意**
我們建議您使用此方法來建立使用者,僅用於測試目的。
1. 在 IAM Identity Center 主控台的導覽窗格中,選擇**使用者**,然後選擇**新增使用者**。
1. 遵循 主控台中的指引來新增使用者。保留選取**密碼設定指示來傳送電子郵件給此使用者**,並確認指定您有權存取的電子郵件地址。
1. 登出 主控台。
### 步驟 3。以您的 IAM Identity Center 使用者身分登入 AWS 存取入口網站
AWS 存取入口網站是一種 Web 入口網站,可讓您建立具有 AWS 管理主控台存取權的使用者。您必須先接受加入 IAM Identity Center 的邀請並啟用您的使用者登入資料,才能登入 AWS 存取入口網站。
1. 檢查您的電子郵件是否有主旨行**邀請加入 AWS IAM Identity Center**。
1. 選擇**接受邀請**,並遵循註冊頁面上的指引,為您的使用者設定新密碼、登入和註冊 MFA 裝置。
1. 註冊 MFA 裝置後, AWS 存取入口網站會開啟。當應用程式可供您使用時,您可以在**應用程式**索引標籤下找到它們。
**注意**
AWS 支援帳戶執行個體的應用程式允許使用者登入應用程式,而不需要額外的許可。因此,**帳戶**索引標籤將保持空白。
### 步驟 4. 設定 AWS 受管應用程式以使用 IAM Identity Center
1. 當您登入 AWS 管理主控台時,請為您計劃使用的 AWS 受管應用程式開啟主控台。
1. 遵循 主控台中的指引,將 AWS 受管應用程式設定為使用 IAM Identity Center。在此過程中,您可以將您建立的使用者指派給應用程式。
# 檢視和變更 AWS 受管應用程式的詳細資訊
使用 主控台或應用程式的 APIs 將 AWS 受管應用程式連線至 IAM Identity Center 後,應用程式會向 IAM Identity Center 註冊。向 IAM Identity Center 註冊應用程式後,您可以在 IAM Identity Center 主控台中檢視和變更應用程式的詳細資訊。
有關應用程式的資訊包括是否需要使用者和群組指派,以及如果適用,為身分傳播指派的使用者和群組和信任的應用程式。如需受信任身分傳播的資訊,請參閱 [信任的身分傳播概觀](trustedidentitypropagation-overview.md)。
**在 IAM Identity Center 主控台中檢視和變更 AWS 受管應用程式的相關資訊**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 選擇**AWS 受**管索引標籤。
1. 選擇您要開啟和檢視之受管應用程式的連結。
1. 如果您想要變更 AWS 受管應用程式的相關資訊,請選擇**動作**,然後選擇**編輯詳細資訊**。
1. 您可以變更應用程式的顯示名稱、描述,以及使用者和群組指派方法。
1. 若要變更顯示名稱,請在顯示名稱欄位中輸入所需的**名稱**,然後選擇**儲存變更**。
1. 若要變更描述,請在描述欄位中輸入所需的**描述**,然後選擇**儲存變更**。
1. 若要變更使用者和群組指派方法,請進行所需的變更,然後選擇**儲存變更**。如需詳細資訊,請參閱[IAM Identity Center 中的使用者、群組和佈建](users-groups-provisioning.md)。
# 停用 AWS 受管應用程式
若要防止使用者驗證受 AWS 管應用程式,您可以在 IAM Identity Center 主控台中停用應用程式。
**停用 AWS 受管應用程式**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 在**應用程式**頁面的**AWS 受管應用程式**下,選擇您要停用的應用程式。
1. 選取應用程式後,選擇**動作**,然後選擇**停用**。
1. 在**停用應用程式**對話方塊中,選擇**停用**。
1. 在**AWS 受管應用程式**清單中,應用程式狀態會顯示為**非作用中**。
**注意**
如果停用 AWS 受管應用程式,您可以選擇**動作**,然後選擇**啟用**,以還原使用者對應用程式進行身分驗證的彈性。
# 啟用身分增強主控台工作階段
主控台的身分增強工作階段透過提供一些額外的使用者內容來個人化該使用者的使用體驗,來增強使用者的 AWS 主控台工作階段。[AWS 應用程式和網站上的 Kiro](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-on-aws.html) Pro 使用者目前支援此功能。
您可以啟用身分增強主控台工作階段,而無需在 AWS 主控台中對現有的存取模式或聯合進行任何變更。如果您的使用者使用 IAM 登入 AWS 主控台 (例如,如果他們以 IAM 使用者身分登入或透過 IAM 的聯合身分存取),他們可以繼續使用這些方法。如果您的使用者登入 AWS 存取入口網站,他們可以繼續使用其 IAM Identity Center 使用者憑證。
**Topics**
+ [先決條件和考量事項](#prereqs-and-considerations)
+ [如何啟用identity-enhanced-console工作階段](#enable-identity-enhanced-sessions-q)
+ [身分增強主控台工作階段的運作方式](#how-identity-enhanced-sessions-work)
## 先決條件和考量事項
啟用身分增強主控台工作階段之前,請檢閱下列先決條件和考量事項:
+ 如果您的使用者透過 Kiro Pro 訂閱在 AWS 應用程式和網站上存取 Kiro,您必須啟用身分增強主控台工作階段。
**注意**
Kiro 使用者可以在沒有身分增強工作階段的情況下存取 Kiro,但無法存取其 Kiro Pro 訂閱。
+ 身分增強主控台工作階段需要 IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)。
+ 如果您在選擇加入中啟用 IAM Identity Center,則不支援與 Kiro 整合 AWS 區域。
+ 若要啟用身分增強主控台工作階段,您必須具有下列許可:
+ `sso:CreateApplication`
+ `sso:GetSharedSsoConfiguration`
+ `sso:ListApplications`
+ `sso:PutApplicationAssignmentConfiguration`
+ `sso:PutApplicationAuthenticationMethod`
+ `sso:PutApplicationGrant`
+ `sso:PutApplicationAccessScope`
+ `signin:CreateTrustedIdentityPropagationApplicationForConsole`
+ `signin:ListTrustedIdentityPropagationApplicationsForConsole`
+ 若要讓使用者能夠使用身分增強主控台工作階段,您必須在以身分為基礎的政策中授予他們`sts:setContext`許可。如需詳細資訊,請參閱[授予使用者使用身分增強主控台工作階段的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_sts-setcontext.html)。
## 如何啟用identity-enhanced-console工作階段
您可以在 Kiro 主控台或 IAM Identity Center 主控台中啟用身分增強主控台工作階段。
**在 Kiro 主控台中啟用身分增強主控台工作階段**
啟用身分增強主控台工作階段之前,您必須擁有已連接身分來源的 IAM Identity Center 組織執行個體。如果您已設定 IAM Identity Center,請跳至步驟 3。
1. 開啟 IAM Identity Center 主控台。選擇**啟用**,然後建立 IAM Identity Center 的組織執行個體。如需相關資訊,請參閱[啟用 IAM Identity Center](enable-identity-center.md)。
1. 將您的身分來源連接至 IAM Identity Center,並將使用者佈建至 IAM Identity Center。如果您尚未使用其他身分來源,您可以將現有的身分來源連線至 IAM Identity Center,或使用 Identity Center 目錄。如需詳細資訊,請參閱[IAM Identity Center 身分來源教學課程](tutorials.md)。
1. 完成設定 IAM Identity Center 後,請開啟 Kiro 主控台,並遵循 *Kiro 使用者指南*中的[訂閱](https://docs.aws.amazon.com/amazonq/latest/qdeveloper-ug/q-admin-setup-subscribe-management-account.html)步驟。請務必啟用身分增強主控台工作階段。
**注意**
如果您沒有足夠的許可來啟用身分增強主控台工作階段,您可能需要要求 IAM Identity Center 管理員在 IAM Identity Center 主控台中為您執行此任務。如需詳細資訊,請參閱下一程序。
**在 IAM Identity Center 主控台中啟用身分增強主控台工作階段**
如果您是 IAM Identity Center 管理員,則其他管理員可能會要求您在 IAM Identity Center 主控台中啟用身分增強主控台工作階段。
1. 開啟 IAM Identity Center 主控台。
1. 在導覽窗格中,選擇**設定**。
1. 在**啟用身分增強工作階段**下,選擇**啟用**。
1. 在第二個訊息中,選擇**啟用**。
1. 完成啟用身分增強主控台工作階段後,確認訊息會出現在**設定**頁面頂端。
1. 在**詳細資訊**區段中,**身分增強工作階段**的狀態為**已啟用**。
## 身分增強主控台工作階段的運作方式
IAM Identity Center 會增強使用者目前的主控台工作階段,以包含作用中 IAM Identity Center 使用者的 ID 和 IAM Identity Center 工作階段 ID。
身分增強主控台工作階段包含下列三個值:
+ **身分存放區使用者 ID** ([identitystore:UserId](condition-context-keys-sts-idc.md#condition-keys-identity-store-user-id)) - 此值用於唯一識別連接到 IAM Identity Center 的身分來源中的使用者。
+ **身分存放區目錄 ARN** ([identitystore:IdentityStoreArn](condition-context-keys-sts-idc.md#condition-keys-identity-store-arn)) - 此值是連接到 IAM Identity Center 的身分存放區的 ARN,您可以在其中查詢 的屬性`identitystore:UserId`。
+ **IAM Identity Center 工作階段 ID** - 此值指出使用者的 IAM Identity Center 工作階段是否仍然有效。
這些值相同,但以不同方式取得,並在程序的不同點新增,取決於使用者登入的方式:
+ **IAM Identity Center (AWS 存取入口網站)**:在此情況下,使用者的身分存放區使用者 ID 和 ARN 值已在作用中的 IAM Identity Center 工作階段中提供。IAM Identity Center 只會新增工作階段 ID,以增強目前的工作階段。
+ **其他登入方法**:如果使用者以 IAM 使用者、IAM 角色或 IAM 聯合身分使用者 AWS 身分登入 ,則不會提供任何這些值。IAM Identity Center 透過新增身分存放區使用者 ID、身分存放區目錄 ARN 和工作階段 ID 來增強目前的工作階段。
# 客戶受管應用程式
IAM Identity Center 可做為人力資源使用者和群組的中央身分服務。如果您已使用身分提供者 (IdP),IAM Identity Center 可以與您的 IdP 整合,以便您可以將使用者和群組佈建至 IAM Identity Center,並使用 IdP 進行身分驗證。透過單一連線,IAM Identity Center 會在多個 前面代表您的 IdP, AWS 服務 並讓 OAuth 2.0 應用程式代表您的使用者請求存取這些服務中的資料。您也可以使用 IAM Identity Center 將您的使用者存取權指派給 [SAML 2.0 應用程式。](https://wiki.oasis-open.org/security)這包括 Amazon Connect 和 等 AWS 服務 AWS Client VPN,這些服務專門使用 SAML 與 IAM Identity Center 整合,因此分類為客戶受管應用程式。
+ 如果您的應用程式支援 **JSON Web Token (JWTs)**,您可以使用 IAM Identity Center 的信任身分傳播功能,讓您的應用程式 AWS 服務 代表使用者請求存取 中的資料。信任的身分傳播建立在 OAuth 2.0 授權架構上,並包含一個選項,供應用程式交換來自外部 OAuth 2.0 授權伺服器的身分字符,用於 IAM Identity Center 發行並由 識別的字符 AWS 服務。如需詳細資訊,請參閱[信任的身分傳播使用案例](trustedidentitypropagation-integrations.md)。
+ 如果您的應用程式支援 **SAML 2.0**,您可以將其連線到 [IAM Identity Center 的組織執行個體](identity-center-instances.md)。您可以使用 IAM Identity Center 將存取權指派給 SAML 2.0 應用程式。
**注意**
將客戶受管應用程式與使用[客戶受管 KMS 金鑰](encryption-at-rest.md)的 IAM Identity Center 執行個體整合時,請確認應用程式是否叫用 IAM Identity Center 服務 APIs,以確認應用程式是否需要 KMS 金鑰許可。請遵循 IAM Identity Center 使用者指南的[基準 KMS 金鑰政策中授予 KMS 金鑰](baseline-KMS-key-policy.md#baseline-kms-key-policy-statements-for-use-of-custom-workflows-with-iam-identity-center)許可給自訂工作流程的指引。
**Topics**
+ [單一登入存取 SAML 2.0 和 OAuth 2.0 應用程式](customermanagedapps-saml2-oauth2.md)
+ [設定客戶受管 SAML 2.0 應用程式](customermanagedapps-saml2-setup.md)
# 單一登入存取 SAML 2.0 和 OAuth 2.0 應用程式
IAM Identity Center 可讓您為使用者提供 SAML 2.0 或 OAuth 2.0 應用程式的單一登入存取權。下列主題提供 SAML 2.0 和 OAuth 2.0 的高階概觀。
**Topics**
+ [SAML 2.0](#samlfederationconcept)
+ [OAuth 2.0](#oidc-concept)
## SAML 2.0
SAML 2.0 是產業標準,用於安全交換 SAML 聲明,在 SAML 授權機構 (稱為身分提供者或 IdP) 和 SAML 2.0 消費者 (稱為服務提供者或 SP) 之間傳遞有關使用者的資訊。IAM Identity Center 會使用此資訊,為有權在存取入口網站內使用應用程式的使用者提供聯合單一登入 AWS 存取。
**注意**
IAM Identity Center 不支援驗證來自 SAML 應用程式傳入 SAML 身分驗證請求的簽章。
## OAuth 2.0
OAuth 2.0 是一種通訊協定,可讓應用程式安全地存取和共用使用者資料,而無需共用密碼。此功能為使用者提供安全且標準化的方式,以允許應用程式存取其資源。不同的 OAuth 2.0 授予流程可促進存取。
IAM Identity Center 可讓在公有用戶端上執行的應用程式擷取臨時憑證,以透過程式設計方式代表其使用者存取 AWS 帳戶 和服務。公有用戶端通常是用於在本機執行應用程式的桌上型電腦、筆記型電腦或其他行動裝置。在公有用戶端上執行的應用程式範例 AWS 包括 AWS Command Line Interface (AWS CLI) AWS 工具組、 和 AWS 軟體開發套件 (SDKs)。為了讓這些應用程式能夠取得登入資料,IAM Identity Center 支援以下部分 OAuth 2.0 流程:
+ 授權碼授予與程式碼交換的驗證金鑰 (PKCE) ([RFC 6749](https://www.rfc-editor.org/rfc/rfc6749#section-4.1) 和 [RFC 7636](https://www.rfc-editor.org/rfc/rfc7636))
+ 裝置授權授予 ([RFC 8628](https://datatracker.ietf.org/doc/html/rfc8628))
**注意**
這些授予類型只能與支援此功能 AWS 服務 的 搭配使用。這些服務可能不會在所有 中支援此授予類型 AWS 區域。請參閱有關 AWS 服務 區域差異的文件。
OpenID Connect (OIDC) 是一種以 OAuth 2.0 架構為基礎的身分驗證通訊協定。OIDC 指定如何使用 OAuth 2.0 進行身分驗證。透過 [IAM Identity Center OIDC 服務 APIs](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_Operations.html),應用程式會註冊 OAuth 2.0 用戶端,並使用其中一個流程來取得存取字符,以提供 IAM Identity Center 受保護 APIs許可。應用程式會指定[存取範圍](https://docs.aws.amazon.com/singlesignon/latest/userguide/customermanagedapps-saml2-oauth2.html#scopes-oidc)來宣告其預期的 API 使用者。在身為 IAM Identity Center 管理員的您設定身分來源之後,如果應用程式最終使用者尚未完成登入程序,則必須完成。您的最終使用者接著必須提供其同意,以允許應用程式進行 API 呼叫。這些 API 呼叫會使用使用者的許可進行。IAM Identity Center 會傳回存取字符給應用程式,其中包含使用者同意的存取範圍。
### 使用 OAuth 2.0 授予流程
OAuth 2.0 授予流程只能透過支援流程的 AWS 受管應用程式使用。若要使用 OAuth 2.0 流程,您的 IAM Identity Center 執行個體和您使用的任何受支援 AWS 受管應用程式必須部署在單一 中 AWS 區域。請參閱每個 的文件 AWS 服務 ,以判斷 AWS 受管應用程式的區域可用性,以及您要使用的 IAM Identity Center 執行個體。
若要使用使用 OAuth 2.0 流程的應用程式,最終使用者必須輸入應用程式將與 IAM Identity Center 執行個體連線和註冊的 URL。視應用程式而定,身為管理員,您必須為使用者提供**AWS 存取入口網站 URL** 或 IAM Identity Center 執行個體的**發行者 URL**。您可以在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon/)設定頁面上找到這兩個**設定**。如需有關設定用戶端應用程式的其他資訊,請參閱該應用程式的文件。
登入應用程式並提供同意的最終使用者體驗取決於應用程式是否使用 [使用 PKCE 授予授權碼](#auth-code-grant-pkce)或 [裝置授權授予](#device-auth-grant)。
#### 使用 PKCE 授予授權碼
在具有瀏覽器的裝置上執行的應用程式會使用此流程。
1. 瀏覽器視窗隨即開啟。
1. 如果使用者尚未驗證,瀏覽器會將他們重新導向以完成使用者身分驗證。
1. 身分驗證後,使用者會收到顯示下列資訊的同意畫面:
+ 應用程式的名稱
+ 應用程式請求同意使用的存取範圍
1. 使用者可以取消同意程序,也可以提供其同意,而應用程式會根據使用者的許可繼續存取。
#### 裝置授權授予
此流程可供在含或不含瀏覽器的裝置上執行的應用程式使用。當應用程式啟動流程時,應用程式會顯示 URL 和使用者程式碼,使用者稍後必須在流程中驗證。使用者程式碼是必要的,因為啟動流程的應用程式可能在與使用者提供同意的裝置不同的裝置上執行。此程式碼可確保使用者同意他們在其他裝置上啟動的流程。
**注意**
如果您有用戶端使用 `device.sso.region.amazonaws.com`,您必須更新授權流程以使用 Code Exchange (PKCE) 的驗證金鑰。如需詳細資訊,請參閱[《 使用者指南》中的使用 設定 IAM Identity Center 身分驗證 AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html)。 *AWS Command Line Interface *
1. 當流程從具有瀏覽器的裝置啟動時,瀏覽器視窗會開啟。當流程從沒有瀏覽器的裝置啟動時,使用者必須在不同的裝置上開啟瀏覽器,並前往應用程式顯示的 URL。
1. 無論哪種情況,如果使用者尚未驗證,瀏覽器都會重新導向他們以完成使用者身分驗證。
1. 身分驗證後,使用者會收到顯示下列資訊的同意畫面:
+ 應用程式的名稱
+ 應用程式請求同意使用的存取範圍
+ 應用程式呈現給使用者的使用者程式碼
1. 使用者可以取消同意程序,也可以提供其同意,而應用程式會根據使用者的許可繼續存取。
### 存取範圍
*範圍*定義可透過 OAuth 2.0 流程存取的服務存取權。範圍是服務的一種方式,也稱為資源伺服器,用於將與動作和服務資源相關的許可分組,並指定 OAuth 2.0 用戶端可以請求的粗略精細操作。當 OAuth 2.0 用戶端向 [IAM Identity Center OIDC 服務](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html)註冊時,用戶端會指定宣告其預期動作的範圍,使用者必須提供同意。
OAuth 2.0 用戶端使用 [OAuth 2.0 (RFC 6749) 第 3.3](https://www.rfc-editor.org/rfc/rfc6749.html#section-3.3) 節中定義的`scope`值,以指定針對存取字符請求的許可。請求存取權杖時,用戶端最多可指定 25 個範圍。當使用者在授權碼授予與 PKCE 或裝置授權授予流程中提供同意時,IAM Identity Center 會將範圍編碼為傳回的存取權杖。
AWS 會將範圍新增至支援 的 IAM Identity Center AWS 服務。下表列出 IAM Identity Center OIDC 服務在您註冊公有用戶端時支援的範圍。
#### 註冊公有用戶端時,IAM Identity Center OIDC 服務支援的存取範圍
****
| Scope (範圍) | Description | 支援的服務 |
| --- | --- | --- |
| sso:account:access | 存取 IAM Identity Center 受管帳戶和許可集。 | IAM Identity Center |
| codewhisperer:analysis | 啟用存取 Kiro 程式碼分析。 | AWS 建構家 ID 和 IAM Identity Center |
| codewhisperer:completions | 啟用存取 Kiro 內嵌程式碼建議。 | AWS 建構家 ID 和 IAM Identity Center |
| codewhisperer:conversations | 啟用存取 Kiro 聊天。 | AWS 建構家 ID 和 IAM Identity Center |
| codewhisperer:taskassist | 啟用存取 Kiro Agent 以進行軟體開發。 | AWS 建構家 ID 和 IAM Identity Center |
| codewhisperer:transformations | 啟用存取 Kiro Agent 以進行程式碼轉換。 | AWS 建構家 ID 和 IAM Identity Center |
| codecatalyst:read\$1write | 讀取和寫入 Amazon CodeCatalyst 資源,允許存取所有現有的資源。 | AWS 建構家 ID 和 IAM Identity Center |
| verified\$1access:application:connect | 啟用 AWS Verified Access | AWS Verified Access |
| redshift:connect | 連線至 Amazon Redshift | Amazon Redshift |
| datazone:domain:access | 存取 DataZone 網域執行角色 | Amazon DataZone |
| nosqlworkbench:datamodeladviser | 建立和讀取資料模型 | NoSQL Workbench |
| transform:read\$1write | 啟用對 AWS Transform Agent 的存取權以進行程式碼轉換 | AWS 轉換 |
# 設定客戶受管 SAML 2.0 應用程式
如果您使用支援 [SAML 2.0](https://wiki.oasis-open.org/security) 的客戶受管應用程式,您可以透過 SAML 2.0 將 IdP 聯合到 IAM Identity Center,並使用 IAM Identity Center 管理使用者對這些應用程式的存取。您可以從 IAM Identity Center 主控台中常用應用程式的目錄中選取 SAML 2.0 應用程式,也可以設定自己的 SAML 2.0 應用程式。
**注意**
如果您有支援 OAuth 2.0 的客戶受管應用程式,且您的使用者需要從這些應用程式存取 AWS 服務,則可以使用信任的身分傳播。透過信任的身分傳播,使用者可以登入應用程式,且該應用程式可以在存取資料的請求中傳遞使用者的身分 AWS 服務。
**Topics**
+ [從 IAM Identity Center 應用程式目錄設定應用程式](saasapps.md)
+ [設定您自己的 SAML 2.0 應用程式](customermanagedapps-set-up-your-own-app-saml2.md)
# 從 IAM Identity Center 應用程式目錄設定應用程式
您可以使用 IAM Identity Center 主控台中的應用程式目錄來新增許多與 IAM Identity Center 搭配使用的常用 SAML 2.0 應用程式。範例包括 Salesforce、Box 和 Microsoft 365。
大多數應用程式提供有關如何設定 IAM Identity Center 與應用程式服務提供者之間信任的詳細資訊。在目錄中選取應用程式之後,此資訊可在應用程式的組態頁面中取得。設定應用程式後,您可以視需要將存取權指派給 IAM Identity Center 中的使用者或群組。
使用此程序來設定 IAM Identity Center 與您應用程式服務提供者之間的 SAML 2.0 信任關係。
在開始此程序之前,擁有服務供應商的中繼資料交換檔案會很有幫助,讓您可以更有效率地設定信任。如果您沒有此檔案,您仍然可以使用此程序來手動設定信任。
**從應用程式目錄新增和設定應用程式**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 選擇**客戶管理**索引標籤。
1. 選擇**新增應用程式**。
1. 在**選取應用程式類型**頁面**的設定偏好設定**下,選擇**我想要從目錄中選取應用程式**。
1. 在**應用程式目錄**下,開始輸入您要在搜尋方塊中新增的應用程式名稱。
1. 在應用程式出現在搜尋結果中時,從清單中選擇應用程式的名稱,然後選擇**下一步**。
1. 在**設定應用程式**頁面上,**顯示名稱**和**描述**欄位會預先填入應用程式的相關詳細資訊。您可以編輯此資訊。
1. 在 **IAM Identity Center 中繼資料**下,執行下列動作:
1. 在 **IAM Identity Center SAML 中繼資料檔案**下,選擇**下載**以下載身分提供者中繼資料。
1. 在 **IAM Identity Center 憑證**下,選擇**下載憑證**以下載身分提供者憑證。
**注意**
您稍後從服務供應商的網站設定應用程式時,將需要這些檔案。請遵循該供應商的說明執行。
1. (選用) 在**應用程式屬性**下,您可以指定**應用程式啟動 URL**、**轉送狀態**和**工作階段持續時間**。如需詳細資訊,請參閱[了解 IAM Identity Center 主控台中的應用程式屬性](appproperties.md)。
1. 在**應用程式中繼資料**下,執行下列其中一項操作:
1. 如果您有中繼資料檔案,請選擇**上傳應用程式 SAML 中繼資料檔案**。然後,選取**選擇檔案**以尋找並選取中繼資料檔案。
1. 如果您沒有中繼資料檔案,請選擇**手動輸入中繼資料值**,然後提供 **Application ACS URL** 和 **Application SAML 對象**值。
1. 選擇**提交**。系統會將您導向至您剛新增之應用程式的詳細資訊頁面。
# 設定您自己的 SAML 2.0 應用程式
您可以設定自己的應用程式,以允許使用 SAML 2.0 的聯合身分,並將其新增至 IAM Identity Center。設定您自己的 SAML 2.0 應用程式的步驟大多與從 IAM Identity Center 主控台的應用程式目錄設定 SAML 2.0 應用程式相同。不過,您還必須為自己的 SAML 2.0 應用程式提供額外的 SAML 屬性映射。這些映射可讓 IAM Identity Center 為您的應用程式正確填入 SAML 2.0 聲明。您可以在第一次設定應用程式時提供此額外的 SAML 屬性映射。您也可以在 IAM Identity Center 主控台的應用程式詳細資訊頁面上提供 SAML 2.0 屬性映射。
使用下列程序設定 IAM Identity Center 與 SAML 2.0 應用程式服務提供者之間的 SAML 2.0 信任關係。開始此程序前,請確定您具有服務供應商的憑證和中繼資料交換檔案,以便完成信任的設定。
**設定您自己的 SAML 2.0 應用程式**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 選擇**客戶管理**索引標籤。
1. 選擇**新增應用程式**。
1. 在**選取應用程式類型**頁面的**設定偏好**下,選擇**我有想要設定的應用程式**。
1. 在**應用程式類型**下,選擇 **SAML 2.0。**
1. 選擇**下一步**。
1. 在**設定應用程式**頁面**的設定應用程式**下,輸入應用程式的**顯示名稱**,例如 **MyApp**。然後,輸入**描述**。
1. 在 **IAM Identity Center 中繼資料**下,執行下列動作:
1. 在 **IAM Identity Center SAML 中繼資料檔案**下,選擇**下載**以下載身分提供者中繼資料。
1. 在 **IAM Identity Center 憑證**下,選擇**下載**以下載身分提供者憑證。
**注意**
稍後在您從服務供應商的網站設定自訂應用程式時,將需要這些檔案。
1. (選用) 在**應用程式屬性**下,您也可以指定**應用程式啟動 URL**、**轉送狀態**和**工作階段持續時間**。如需詳細資訊,請參閱[了解 IAM Identity Center 主控台中的應用程式屬性](appproperties.md)。
1. 在**應用程式中繼資料**下,選擇**手動輸入中繼資料值**。然後,提供 **Application ACS URL** 和 **Application SAML 對象**值。
1. 選擇**提交**。系統會將您導向至您剛新增之應用程式的詳細資訊頁面。
# 信任的身分傳播概觀
信任的身分傳播是 IAM Identity Center 的一項功能,可讓 的管理員根據 群組關聯等使用者屬性 AWS 服務 授予許可。透過信任的身分傳播,身分內容會新增至 IAM 角色,以識別請求存取 AWS 資源的使用者。此內容會傳播到其他內容 AWS 服務。
身分內容包含的資訊, AWS 服務 用於在收到存取請求時做出授權決策。此資訊包含識別請求者的中繼資料 (例如 IAM Identity Center 使用者)、請求存取的 AWS 服務 (例如 Amazon Redshift),以及存取範圍 (例如唯讀存取)。接收 AWS 服務 使用此內容,以及指派給使用者的任何許可,來授權存取其資源。
## 受信任身分傳播的優點
信任的身分傳播可讓 管理員使用您人力的公司身分,將許可 AWS 服務 授予 資源,例如資料。此外,他們可以透過查看服務日誌或 來稽核誰存取了哪些資料 AWS CloudTrail。如果您是 IAM Identity Center 管理員,其他 AWS 服務 管理員可能會要求您啟用信任的身分傳播。
## 啟用信任的身分傳播
啟用受信任身分傳播的程序包含下列兩個步驟:
1. **啟用 IAM Identity Center 並將現有的身分來源連接到 IAM Identity Center** - 您將繼續管理現有身分來源中的人力資源身分;將其連接到 IAM Identity Center 會建立對人力資源的參考,在您的 AWS 服務 使用案例中所有人都可以共用。它也可供資料擁有者在未來使用案例使用。
1. **將 的使用案例中 AWS 服務 的 連接到 IAM Identity Center** - AWS 服務 信任的身分傳播使用案例中每個 的管理員遵循個別服務文件中的指引,將服務連接到 IAM Identity Center。
**注意**
如果您的使用案例涉及*第三方*或*客戶開發的應用程式*,您可以在驗證應用程式使用者和 IAM Identity Center 的身分提供者之間設定信任關係,以啟用信任的身分傳播。這可讓您的應用程式利用先前描述的信任身分傳播流程。
如需詳細資訊,請參閱[使用具有受信任權杖發行者的應用程式](using-apps-with-trusted-token-issuer.md)。
## 受信任身分傳播的運作方式
下圖顯示受信任身分傳播的高階工作流程:
![\[簡化的受信任身分傳播工作流程。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/simplied-tip-1.png)
1. 使用者使用面向用戶端的應用程式進行身分驗證,例如 Quick。
1. 面向用戶端的應用程式會請求使用 AWS 服務 來查詢資料的存取權,並包含使用者的相關資訊。
**注意**
有些信任的身分傳播使用案例涉及 AWS 服務 使用 服務驅動程式與 互動的工具。您可以在使用案例[指引中了解這是否適用於您的使用案例](trustedidentitypropagation-integrations.md)。
1. 會向 IAM Identity Center AWS 服務 驗證使用者身分,並比較使用者屬性,例如其群組關聯,以及存取所需的屬性。只要使用者或其群組具有必要的許可, 就會 AWS 服務 授權存取。
1. AWS 服務 可能會在 AWS CloudTrail 及其服務日誌中記錄使用者識別符。如需詳細資訊,請參閱 服務文件。
下圖概述了信任的身分傳播工作流程中先前描述的步驟:
![\[簡化的受信任身分傳播工作流程。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/simplied-tip-2.png)
**Topics**
+ [受信任身分傳播的優點](#benefits-trusted-identity-propagation)
+ [啟用信任的身分傳播](#enabling-tip)
+ [受信任身分傳播的運作方式](#how-tip-works)
+ [先決條件和考量事項](trustedidentitypropagation-overall-prerequisites.md)
+ [信任的身分傳播使用案例](trustedidentitypropagation-integrations.md)
+ [授權服務](authorization-services.md)
# 先決條件和考量事項
在您設定信任的身分傳播之前,請檢閱下列先決條件和考量事項。
**Topics**
+ [先決條件](#trustedidentitypropagation-prerequisites)
+ [考量事項](#trustedidentitypropagation-considerations)
+ [客戶受管應用程式的考量事項](#trustedidentitypropagation-customer-apps)
## 先決條件
若要使用信任的身分傳播,請確定您的環境符合下列先決條件:
+ 啟用和佈建 IAM Identity Center
+ 若要使用信任的身分傳播,您必須在使用者將存取 AWS 的應用程式和服務啟用 AWS 區域 相同的 中啟用 IAM Identity Center。如需相關資訊,請參閱[啟用 IAM Identity Center](enable-identity-center.md)。
+ 建議使用 IAM Identity Center Organization 執行個體 - 我們建議您使用在 管理帳戶中啟用的 IAM Identity Center [組織執行個體](organization-instances-identity-center.md) AWS Organizations。您可以將 IAM Identity Center 組織執行個體的[管理委派](organization-instances-identity-center.md)給成員帳戶。如果您選擇 IAM Identity Center [的帳戶執行個體](account-instances-identity-center.md),您希望使用者透過信任 AWS 服務 的身分傳播存取的所有項目都必須位於您啟用 IAM Identity Center AWS 帳戶 的相同位置。如需詳細資訊,請參閱[IAM Identity Center 的帳戶執行個體。](account-instances-identity-center.md)。
+ 將您現有的身分提供者連線至 IAM Identity Center,並將您的使用者和群組佈建至 IAM Identity Center。如需詳細資訊,請參閱[IAM Identity Center 身分來源教學課程](tutorials.md)。
+ 將受信任身分傳播使用案例中的 AWS 受管應用程式和服務連接到 IAM Identity Center。若要使用受信任的身分傳播, AWS 受管應用程式必須連線至 IAM Identity Center。
## 考量事項
設定和使用受信任身分傳播時,請注意下列考量:
+ **IAM Identity Center 的組織與帳戶執行個體**
+ IAM Identity Center [的組織執行個體](organization-instances-identity-center.md)將為您提供最大的控制和靈活性,將您的使用案例擴展到多個 AWS 帳戶、使用者和 AWS 服務。如果您無法使用組織執行個體,IAM Identity Center 的帳戶執行個體可能支援您的使用案例。若要進一步了解您的使用案例 AWS 服務 支援 IAM Identity Center 的帳戶執行個體,請參閱 [AWS 可與 IAM Identity Center 搭配使用的 受管應用程式](awsapps-that-work-with-identity-center.md)。
+ **不需要多帳戶許可 (許可集)**
+ 信任的身分傳播不需要您設定[多帳戶許可](manage-your-accounts.md) (許可集)。您可以啟用 IAM Identity Center,並僅用於受信任的身分傳播。
## 客戶受管應用程式的考量事項
即使您的使用者與非由 管理的用戶端應用程式互動 AWS,例如 Tableau或自訂開發的應用程式,您的人力資源也可以受益於受信任的身分傳播。這些應用程式的使用者可能無法在 IAM Identity Center 中佈建。為了讓使用者能夠順利辨識和授權存取 AWS 資源,IAM Identity Center 可讓您設定身分提供者驗證使用者和 IAM Identity Center 之間的信任關係。如需詳細資訊,請參閱[使用具有受信任權杖發行者的應用程式](using-apps-with-trusted-token-issuer.md)。
此外,為您的應用程式設定受信任的身分傳播將需要:
+ 您的應用程式必須使用 OAuth 2.0 架構進行身分驗證。信任的身分傳播不支援 SAML 2.0 整合。
+ 您的應用程式必須由 IAM Identity Center 識別。遵循[使用案例](trustedidentitypropagation-integrations.md)的特定指引。
# 信任的身分傳播使用案例
身為 IAM Identity Center 管理員,您可能需要協助設定使用者面向應用程式的受信任身分傳播 AWS 服務。若要支援此請求,您需要以下資訊:
+ 您的使用者將與哪些面向用戶端的應用程式互動?
+ 哪些 AWS 服務 用於查詢資料和授權存取資料?
+ 何者 AWS 服務 授權存取資料?
在啟用**不涉及第三方應用程式或自訂開發應用程式之受信任身分傳播使用案例**時,您的角色是:
1. [啟用 IAM Identity Center](enable-identity-center.md)。
1. [將您現有的身分來源連接到 IAM Identity Center](tutorials.md)。
這些使用案例的受信任身分組態其餘步驟會在連線的 AWS 服務 和 應用程式中執行。連線 AWS 服務 或應用程式的管理員應參閱各自的使用者指南,以取得完整的服務特定指引。
您在啟用**涉及第三方應用程式或自訂開發應用程式之受信任身分傳播使用案例**時所扮演的角色包括 的步驟[啟用 IAM Identity Center](enable-identity-center.md),以及[連接身分來源](tutorials.md),以及:
1. 設定您的身分提供者 (IdP) 與第三方或自訂開發應用程式的連線。
1. 讓 IAM Identity Center 識別第三方或自訂開發的應用程式。
1. 在 IAM Identity Center 中將您的 IdP 設定為信任的字符發行者。如需詳細資訊,請參閱[使用具有受信任權杖發行者的應用程式](using-apps-with-trusted-token-issuer.md)。
連線應用程式的管理員和 AWS 服務 應參考各自的使用者指南,以取得完整的服務特定指引。
## 分析、資料湖和機器學習使用案例
您可以使用下列分析和機器學習服務來啟用受信任的傳播使用案例:
+ **Amazon Redshift** - 如需指引,請參閱 [使用 Amazon Redshift 進行信任的身分傳播](tip-usecase-redshift.md)。
+ **Amazon EMR** - 如需指引,請參閱 [使用 Amazon EMR 進行信任的身分傳播](tip-usecase-emr.md)。
+ **Amazon Athena** - 如需指引,請參閱 [使用 Amazon Athena 的受信任身分傳播](tip-usecase-ate.md)。
+ **SageMaker Studio** - 如需指引,請參閱 [使用 Amazon SageMaker Studio 進行信任的身分傳播](trusted-identity-propagation-usecase-sagemaker-studio.md)。
## 其他使用案例
您可以使用這些額外的 啟用 IAM Identity Center 和信任的身分傳播 AWS 服務:
+ **Amazon Q Business** - 如需指引,請參閱:
+ [使用 IAM Identity Center 的應用程式管理工作流程](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/how-it-works.html#admin-flow-idc)。
+ [使用 IAM Identity Center 設定 Amazon Q Business 應用程式](https://docs.aws.amazon.com//amazonq/latest/qbusiness-ug/create-application.html)。
+ [使用 IAM Identity Center 受信任身分傳播設定 Amazon Q Business](https://aws.amazon.com/blogs//machine-learning/configuring-amazon-q-business-with-aws-iam-identity-center-trusted-identity-propagation/)。
+ **Amazon OpenSearch Service** - 如需指引,請參閱:
+ [Amazon OpenSearch Service 的 IAM Identity Center Trusted Identity Propagation Support](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/idc-aos.html)。
+ [使用 Amazon OpenSearch Service 的集中式 OpenSearch 使用者介面 (儀表板)](https://docs.aws.amazon.com//opensearch-service/latest/developerguide/application.html)。
+ **AWS Transfer Family** - 如需指引,請參閱:
+ [Transfer Family Web 應用程式](https://docs.aws.amazon.com//transfer/latest/userguide/web-app.html)。
**Topics**
+ [分析、資料湖和機器學習使用案例](#tip-data-analytic-usecases-overview)
+ [其他使用案例](#tip-additional-usecases)
+ [使用 Amazon Redshift 進行信任的身分傳播](tip-usecase-redshift.md)
+ [使用 Amazon EMR 進行信任的身分傳播](tip-usecase-emr.md)
+ [使用 Amazon Athena 的受信任身分傳播](tip-usecase-ate.md)
+ [使用 Amazon SageMaker Studio 進行信任的身分傳播](trusted-identity-propagation-usecase-sagemaker-studio.md)
# 使用 Amazon Redshift 進行信任的身分傳播
啟用受信任身分傳播的步驟取決於您的使用者是否與 AWS 受管應用程式或客戶受管應用程式互動。下圖顯示用戶端應用程式可信任的身分傳播組態 - AWS 受管或外部 AWS - 使用 Amazon Redshift 或授權服務,例如 AWS Lake Formation 或 Amazon S3 提供的存取控制來查詢 Amazon Redshift 資料Access Grants。
![\[使用 Amazon Redshift、Quick、Lake Formation 和 IAM Identity Center 的受信任身分傳播圖表\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/rs-tip-diagram.png)
啟用可信任身分傳播至 Amazon Redshift 時,Redshift 管理員可以設定 Redshift 以[自動建立](https://docs.aws.amazon.com//redshift/latest/mgmt/redshift-iam-access-control-sso-autocreate.html) IAM Identity Center 的角色做為身分提供者、將 Redshift 角色映射至 IAM Identity Center 中的群組,並使用 [Redshift 角色型存取控制來授予存取權](https://docs.aws.amazon.com//redshift/latest/dg/r_tutorial-RBAC.html)。
## 支援面向用戶端的應用程式
**AWS 受管應用程式**
下列 AWS 受管用戶端應用程式支援受信任的身分傳播至 Amazon Redshift:
+ [Amazon Redshift Query Editor V2](setting-up-tip-redshift.md)
+ [快速](https://docs.aws.amazon.com//quicksight/latest/user/redshift-trusted-identity-propagation.html)
**注意**
如果您使用 Amazon Redshift Spectrum 存取 中的外部資料庫或資料表 AWS Glue Data Catalog,請考慮設定 [Lake Formation](tip-tutorial-lf.md) 和 [Amazon S3 Access Grants](tip-tutorial-s3.md) 以提供精細存取控制。
**客戶受管應用程式**
下列客戶受管應用程式支援 Amazon Redshift 的受信任身分傳播:
+ **Tableau** 包括 Tableau Desktop、 Tableau Server和 Tableau Prep
+ 若要為 的使用者啟用信任的身分傳播Tableau,請參閱 *AWS 大數據部落格*中的[使用 IAM Identity Center 整合 Tableau和 Okta Amazon Redshift](https://aws.amazon.com/blogs//big-data/integrate-tableau-and-okta-with-amazon-redshift-using-aws-iam-identity-center/)。
+ **SQL 用戶端** (DBeaver 和 DBVisualizer)
+ 若要為 SQL 用戶端 (DBeaver 和 DBVisualizer) 的使用者啟用信任的身分傳播,請參閱*AWS 大數據部落格*中的[使用 IAM Identity Center 將身分提供者 (IdP) 與 Amazon Redshift 查詢編輯器 V2 和 SQL 用戶端整合,以實現無縫的單一登入](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)。
# 使用 Amazon Redshift 查詢編輯器 V2 設定受信任的身分傳播
下列程序會逐步解說如何實現從 Amazon Redshift 查詢編輯器 V2 到 Amazon Redshift 的受信任身分傳播。
## 先決條件
您必須先設定下列項目,才能開始使用本教學課程:
1. [啟用 IAM Identity Center](enable-identity-center.md)。建議使用[組織執行個體](organization-instances-identity-center.md)。如需詳細資訊,請參閱[先決條件和考量事項](trustedidentitypropagation-overall-prerequisites.md)。
1. [將使用者和群組從您的身分來源佈建至 IAM Identity Center](tutorials.md)。
啟用受信任身分傳播包括 IAM Identity Center 主控台中 IAM Identity Center 管理員執行的任務,以及 Amazon Redshift 主控台中 Amazon Redshift 管理員執行的任務。
## IAM Identity Center 管理員執行的任務
IAM Identity Center 管理員需要完成下列任務:
1. 在具有下列許可政策的 Amazon Redshift 叢集或無伺服器執行個體存在的帳戶中**建立 [IAM 角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles.html)**。如需詳細資訊,請參閱[建立 IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create.html)。
1. 下列政策範例包含完成本教學課程所需的許可。若要使用此政策,請將範例政策中的*斜體預留位置文字*取代為您自己的資訊。如需其他指示,請參閱[建立政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)或[編輯政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)。
**許可政策:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowRedshiftApplication",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
},
{
"Sid": "AllowIDCPermissions",
"Effect": "Allow",
"Action": [
"sso:DescribeApplication",
"sso:DescribeInstance"
],
"Resource": [
"arn:aws:sso:::instance/Your-IAM-Identity-Center-Instance ID",
"arn:aws:sso::111122223333:application/Your-IAM-Identity-Center-Instance-ID/*"
]
}
]
}
```
------
**信任政策:**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"redshift-serverless.amazonaws.com",
"redshift.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
1. 在 AWS Organizations 啟用 IAM Identity Center 的管理帳戶中**建立許可集**。您將在下一個步驟中使用它,以允許聯合身分使用者存取 Redshift 查詢編輯器 V2。
1. 前往 **IAM Identity Center** 主控台,在**多帳戶許可**下,選擇**許可集**。
1. 選擇 **Create permission set (建立許可集合)**。
1. 選擇**自訂許可集**,然後選擇**下一步**。
1. 在**AWS 受管政策**下,選擇 **`AmazonRedshiftQueryEditorV2ReadSharing`**。
1. 在**內嵌政策**下,新增下列政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Allow",
"Action": [
"redshift:DescribeQev2IdcApplications",
"redshift-serverless:ListNamespaces",
"redshift-serverless:ListWorkgroups",
"redshift-serverless:GetWorkgroup"
],
"Resource": "*"
}
]
}
```
------
1. 選取**下一步**,然後提供許可集名稱的名稱。例如 **Redshift-Query-Editor-V2**。
1. 在**轉送狀態 - 選用**下,使用格式將預設轉送狀態設定為查詢編輯器 V2 URL:`https://your-region.console.aws.amazon.com/sqlworkbench/home`。
1. 檢閱設定,然後選擇**建立**。
1. 導覽至 IAM Identity Center Dashboard,然後從**設定摘要**區段複製 AWS 存取入口網站 URL。
![\[步驟 i,從 IAM Identity Center 主控台複製 AWS 存取入口網站 URL。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/setting-up-redshift-step-i.png)
1. 開啟新的 Incognito 瀏覽器視窗並貼上 URL。
這將帶您前往 AWS 存取入口網站,確保您使用 IAM Identity Center 使用者登入。
![\[步驟 j:登入以 AWS 存取入口網站。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/setting-up-redshift-step-j.png)
如需許可集的詳細資訊,請參閱 [AWS 帳戶 使用許可集管理](permissionsetsconcept.md)。
1. **啟用聯合身分使用者存取 Redshift 查詢編輯器 V2**。
1. 在 AWS Organizations 管理帳戶中,開啟 **IAM Identity Center** 主控台。
1. 在導覽窗格中的**多帳戶許可**下,選擇 **AWS 帳戶**。
1. 在頁面上 AWS 帳戶 ,選取要為其指派存取權的 AWS 帳戶 。
1. 選擇**指派使用者或群組**。
1. 在**指派使用者和群組**頁面上,選擇要為其建立許可集的使用者和或群組。然後選擇**下一步**。
1. 在**指派許可集**頁面上,選擇您在上一個步驟中建立的許可集。然後選擇**下一步**。
1. 在**檢閱和提交指派**頁面上,檢閱您的選擇,然後選擇**提交**。
## Amazon Redshift 管理員執行的任務
啟用 Amazon Redshift 的受信任身分傳播需要 Amazon Redshift 叢集管理員或 Amazon Redshift Serverless 管理員在 Amazon Redshift 主控台中執行許多任務。如需詳細資訊,請參閱*AWS 大數據部落格*中的[整合身分提供者 (IdP) 與使用 IAM Identity Center 的 Amazon Redshift 查詢編輯器 V2 和 SQL 用戶端,以實現無縫的單一登入](https://aws.amazon.com/blogs//big-data/integrate-identity-provider-idp-with-amazon-redshift-query-editor-v2-and-sql-client-using-aws-iam-identity-center-for-seamless-single-sign-on/)。
# 使用 Amazon EMR 進行信任的身分傳播
下圖顯示使用 Amazon EMR on Amazon EC2 搭配 AWS Lake Formation 和 Amazon S3 提供之存取控制的 Amazon EMR Studio 的受信任身分傳播組態Access Grants。
![\[使用 Amazon EMR、Lake Formation 和 IAM Identity Center 的受信任身分傳播圖表\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/emr-tip-diagram.png)
**支援面向用戶端的應用程式**
+ Amazon EMR Studio
**若要啟用信任的身分傳播,請遵循下列步驟:**
+ [將 Amazon EMR 設定為 Studio](setting-up-tip-emr.md) Amazon EMR 叢集的面向用戶端應用程式。
+ [使用 在 Amazon EC2 上設定 Amazon EMR 叢集Apache Spark](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-idc-start.html)。
+ *建議*: [AWS Lake Formation](tip-tutorial-lf.md)和 [Amazon S3 Access Grants](tip-tutorial-s3.md) 為 S3 中的 AWS Glue Data Catalog 和基礎資料位置提供精細的存取控制。
# 使用 Amazon EMR Studio 設定受信任的身分傳播
下列程序會逐步引導您在對執行 的 Amazon Athena 工作群組或 Amazon EMR 叢集的查詢中設定 Amazon EMR Studio以進行受信任身分傳播Apache Spark。
## 先決條件
您必須先設定下列項目,才能開始使用本教學課程:
1. [啟用 IAM Identity Center](enable-identity-center.md)。建議使用[組織執行個體](organization-instances-identity-center.md)。如需詳細資訊,請參閱[先決條件和考量事項](trustedidentitypropagation-overall-prerequisites.md)。
1. [將使用者和群組從您的身分來源佈建至 IAM Identity Center](tutorials.md)。
若要從 Amazon EMR Studio 完成設定信任的身分傳播,EMR Studio 管理員必須執行下列步驟。
## 步驟 1. 建立 EMR Studio 所需的 IAM 角色
在此步驟中,Amazon EMR Studio管理員會建立 和 IAM 服務角色,以及 EMR 的 IAM 使用者角色Studio。
1. **[建立 EMR Studio 服務角色](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html)** - EMR Studio 擔任此 IAM 角色,以安全地管理工作區和筆記本、連線至叢集,以及處理資料互動。
1. 導覽至 IAM 主控台 ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)://) 並建立 IAM 角色。
1. 選取 **AWS 服務**做為信任的實體,然後選擇 **Amazon EMR**。連接下列政策以定義角色的許可和信任關係。
若要使用這些政策,請以您自己的資訊取代範例政策中的*斜體預留位置文字*。如需其他指示,請參閱[建立政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)或[編輯政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectActions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
},
{
"Sid": "BucketActions",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetEncryptionConfiguration"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket-For-EMR-Studio"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "Your-AWS-Account-ID"
}
}
}
]
}
```
------
如需所有服務角色許可的參考,請參閱 [EMR Studio 服務角色許可](https://docs.aws.amazon.com/emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)。
1. **[為 IAM Identity Center 身分驗證建立 EMR Studio 使用者角色](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-create-user-role)** - 當使用者透過 IAM Identity Center 登入以管理工作區、EMR 叢集、任務、git 儲存庫時,EMR Studio 會擔任此角色。**此角色用於啟動信任的身分傳播工作流程**。
**注意**
EMR Studio 使用者角色不需要包含存取 AWS Glue Catalog. AWS Lake Formation permissions 中資料表 Amazon S3 位置的許可。註冊的湖位置將用於接收臨時許可。
下列範例政策可用於允許 EMR Studio 使用者使用 Athena 工作群組執行查詢的角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowDefaultEC2SecurityGroupsCreationInVPCWithEMRTags",
"Effect": "Allow",
"Action": [
"ec2:CreateSecurityGroup"
],
"Resource": [
"arn:aws:ec2:*:*:vpc/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingEMRTagsDuringDefaultSecurityGroupCreation",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true",
"ec2:CreateAction": "CreateSecurityGroup"
}
}
},
{
"Sid": "AllowSecretManagerListSecrets",
"Action": [
"secretsmanager:ListSecrets"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Sid": "AllowSecretCreationWithEMRTagsAndEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:CreateSecret",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*",
"Condition": {
"StringEquals": {
"aws:RequestTag/for-use-with-amazon-emr-managed-policies": "true"
}
}
},
{
"Sid": "AllowAddingTagsOnSecretsWithEMRStudioPrefix",
"Effect": "Allow",
"Action": "secretsmanager:TagResource",
"Resource": "arn:aws:secretsmanager:*:*:secret:emr-studio-*"
},
{
"Sid": "AllowPassingServiceRoleForWorkspaceCreation",
"Action": "iam:PassRole",
"Resource": [
"arn:aws:iam::111122223333:role/service-role/AmazonEMRStudio_ServiceRole_Name"
],
"Effect": "Allow"
},
{
"Sid": "AllowS3ListAndLocationPermissions",
"Action": [
"s3:ListAllMyBuckets",
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::*",
"Effect": "Allow"
},
{
"Sid": "AllowS3ReadOnlyAccessToLogs",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::aws-logs-Your-AWS-Account-ID-Region/elasticmapreduce/*"
],
"Effect": "Allow"
},
{
"Sid": "AllowAthenaQueryExecutions",
"Effect": "Allow",
"Action": [
"athena:StartQueryExecution",
"athena:GetQueryExecution",
"athena:GetQueryResults",
"athena:StopQueryExecution",
"athena:ListQueryExecutions",
"athena:GetQueryResultsStream",
"athena:ListWorkGroups",
"athena:GetWorkGroup",
"athena:CreatePreparedStatement",
"athena:GetPreparedStatement",
"athena:DeletePreparedStatement"
],
"Resource": "*"
},
{
"Sid": "AllowGlueSchemaManipulations",
"Effect": "Allow",
"Action": [
"glue:GetDatabase",
"glue:GetDatabases",
"glue:GetTable",
"glue:GetTables",
"glue:GetPartition",
"glue:GetPartitions"
],
"Resource": "*"
},
{
"Sid": "AllowQueryEditorToAccessWorkGroup",
"Effect": "Allow",
"Action": "athena:GetWorkGroup",
"Resource": "arn:aws:athena:*:111122223333:workgroup*"
},
{
"Sid": "AllowConfigurationForWorkspaceCollaboration",
"Action": [
"elasticmapreduce:UpdateEditor",
"elasticmapreduce:PutWorkspaceAccess",
"elasticmapreduce:DeleteWorkspaceAccess",
"elasticmapreduce:ListWorkspaceAccessIdentities"
],
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"elasticmapreduce:ResourceTag/creatorUserId": "${aws:userId}"
}
}
},
{
"Sid": "DescribeNetwork",
"Effect": "Allow",
"Action": [
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Sid": "ListIAMRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "AssumeRole",
"Effect": "Allow",
"Action": [
"sts:AssumeRole"
],
"Resource": "*"
}
]
}
```
------
下列信任政策允許 EMR Studio 擔任該角色:
**注意**
需要額外許可,才能利用 EMR Studio Workspaces 和 EMR Notebooks。如需詳細資訊,請參閱[建立 EMR Studio 使用者的許可政策](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-user-permissions.html#emr-studio-permissions-policies)。
**您可以透過以下連結找到更多資訊:**
+ [使用客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)
+ [EMR Studio 服務角色許可](https://docs.aws.amazon.com//emr/latest/ManagementGuide/emr-studio-service-role.html#emr-studio-service-role-permissions-table)
## 步驟 2. 建立和設定 EMR Studio
在此步驟中,您將在 EMR Studio 主控台中建立 Amazon EMR Studio,並使用您在 中建立的 IAM 角色[步驟 1. 建立 EMR Studio 所需的 IAM 角色步驟 2. 建立和設定 EMR Studio](#setting-up-tip-emr-step1)。
1. 導覽至 EMR Studio 主控台,選取**建立 Studio** 和**自訂設定**選項。您可以建立新的 S3 儲存貯體或使用現有的儲存貯體。您可以勾選方塊,**使用您自己的 KMS 金鑰加密工作區檔案**。如需詳細資訊,請參閱[AWS Key Management Service](https://docs.aws.amazon.com//kms/latest/developerguide/overview.html)。
![\[步驟 1 在 EMR 主控台中建立 EMR Studio。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/emr-tutorial-step-3.1.png)
1. 在**服務角色下,讓 Studio 存取您的資源**,[步驟 1. 建立 EMR Studio 所需的 IAM 角色步驟 2. 建立和設定 EMR Studio](#setting-up-tip-emr-step1)從功能表中選取在 中建立的服務角色。
1. 在**身分驗證**下選擇 **IAM Identity Center**。選取在 中建立的使用者角色[步驟 1. 建立 EMR Studio 所需的 IAM 角色步驟 2. 建立和設定 EMR Studio](#setting-up-tip-emr-step1)。
![\[步驟 3 在 EMR 主控台中建立 EMR Studio,為身分驗證方法選取 IAM Identity Center。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/emr-tutorial-step-3.3.png)
1. 勾選**信任的身分傳播**方塊。在應用程式存取區段下選擇**僅指派的使用者和群組**,這可讓您僅授予授權的使用者和群組存取此 Studio。
1. *(選用)* - 如果您搭配 EMR 叢集使用此 Studio,則可以設定 VPC 和子網路。
![\[步驟 4 在 EMR 主控台中建立 EMR Studio,選取網路和安全性設定。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/emr-tutorial-step-3.4.png)
1. 檢閱所有詳細資訊,然後選取**建立 Studio**。
1. 設定 Athena WorkGroup 或 EMR 叢集之後,請登入 Studio 的 URL 以:
1. 使用查詢編輯器執行 Athena 查詢。
1. 使用Jupyter筆記本在工作區中執行 Spark 任務。
# 使用 Amazon Athena 的受信任身分傳播
啟用受信任身分傳播的步驟取決於您的使用者是否與 AWS 受管應用程式或客戶受管應用程式互動。下圖顯示用戶端應用程式可信任的身分傳播組態 - AWS 受管或外部 AWS - 使用 Amazon Athena 透過 AWS Lake Formation 和 Amazon S3 提供的存取控制來查詢 Amazon S3 資料Access Grants。
**注意**
Amazon Athena 的信任身分傳播需要使用 Trino。
不支援透過 ODBC 和 JDBC 驅動程式連接到 Amazon Athena 的 Apache Spark 和 SQL 用戶端。
![\[使用 Athena、Amazon EMR、Lake Formation 和 IAM Identity Center 的受信任身分傳播圖表\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/ate-tip-diagram.png)
**AWS 受管應用程式**
下列 AWS 受管用戶端面向應用程式支援 Athena 的受信任身分傳播:
+ Amazon EMR Studio
**若要啟用信任的身分傳播,請遵循下列步驟:**
+ [將 Amazon EMR 設定為 Studio](setting-up-tip-emr.md) Athena 的面向用戶端應用程式。啟用受信任身分傳播時,需要 EMR Studio 中的查詢編輯器來執行 Athena 查詢。
+ [設定 Athena 工作群組](setting-up-tip-ate.md)。
+ [設定 AWS Lake Formation](tip-tutorial-lf.md) 以根據 IAM Identity Center 中的使用者或群組啟用 AWS Glue 資料表的精細存取控制。
+ [設定 Amazon S3 Access Grants](tip-tutorial-s3.md) 以啟用對 S3 中基礎資料位置的暫時存取。
**注意**
Amazon S3 中對 Athena 查詢結果的存取控制Access Grants需要 Lake Formation AWS Glue Data Catalog 和 Amazon S3。
**客戶受管應用程式**
若要為*自訂開發應用程式*的使用者啟用受信任身分傳播,請參閱 *AWS 安全部落格*中的[使用受信任身分傳播以 AWS 服務 程式設計方式存取 ](https://aws.amazon.com/blogs//security/access-aws-services-programmatically-using-trusted-identity-propagation/)。
# 使用 Amazon Athena 工作群組設定信任的身分傳播
下列程序會逐步引導您設定 Amazon Athena 工作群組以進行信任的身分傳播。
## 先決條件
您必須先設定下列項目,才能開始使用本教學課程:
1. [啟用 IAM Identity Center](enable-identity-center.md)。建議使用[組織執行個體](organization-instances-identity-center.md)。如需詳細資訊,請參閱[先決條件和考量事項](trustedidentitypropagation-overall-prerequisites.md)。
1. [將使用者和群組從您的身分來源佈建至 IAM Identity Center](tutorials.md)。
1. 此組態需要 [Amazon EMR Studio](setting-up-tip-emr.md)、 [AWS Lake Formation](tip-tutorial-lf.md)和 [Amazon S3 Access Grants](tip-tutorial-s3.md)。
## 使用 Athena 設定受信任的身分傳播
若要使用 Athena 設定受信任的身分傳播,Athena 管理員必須:
1. 檢閱[使用啟用 IAM Identity Center 的 Athena 工作群組時的考量和限制](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-considerations-and-limitations)。
1. [建立已啟用 IAM Identity Center 的 Athena 工作群組](https://docs.aws.amazon.com//athena/latest/ug/workgroups-identity-center.html#workgroups-identity-center-creating-an-identity-center-enabled-athena-workgroup)。
# 使用 Amazon SageMaker Studio 進行信任的身分傳播
[Amazon SageMaker Studio](https://docs.aws.amazon.com//sagemaker/latest/dg/studio-updated.html) 與 IAM Identity Center 整合,並支援[使用者背景工作階段](user-background-sessions.md)和信任的身分傳播。使用者背景工作階段允許使用者在 SageMaker Studio 上啟動長時間執行的任務,而不需要該使用者在任務執行時保持登入狀態。任務會立即在背景執行,並使用啟動任務之使用者的許可。即使使用者關閉電腦、IAM Identity Center 登入工作階段過期,或使用者登出 AWS 存取入口網站,任務仍可繼續執行。使用者背景工作階段的預設工作階段持續時間為 7 天,但您可以指定最長 90 天的持續時間。信任的身分傳播允許根據使用者的身分或群組成員資格,將精細存取提供給 Amazon S3 儲存貯體等 AWS 資源。
下圖顯示 SageMaker Studio 的受信任身分傳播組態,可存取存放在 Amazon S3 儲存貯體中的資料。IAM Identity Center 已啟用使用者背景工作階段,這可讓 SageMaker Studio 訓練任務在背景執行。訓練資料的存取控制由 Amazon S3 提供Access Grants。
![\[SageMaker Studio 的受信任身分傳播圖表,以及在使用者背景工作階段中執行的 SageMaker Studio 訓練任務,以及存取 Amazon S3 提供之 Amazon S3 中的訓練資料Access Grants。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/sagemaker-studio-s3-user-background-session-training-job-s3-access-grants-diagram.png)
**AWS 受管應用程式**
下列 AWS 受管用戶端面向應用程式支援受信任的身分傳播:
+ [Amazon SageMaker Studio](setting-up-trusted-identity-propagation-sagemaker-studio.md)
**若要啟用信任的身分傳播和使用者背景工作階段,請遵循下列步驟:**
+ [將 SageMaker Studio 設定為面向用戶端的應用程式。](setting-up-trusted-identity-propagation-sagemaker-studio.md)
+ [設定 Amazon S3 Access Grants](tip-tutorial-s3.md) 以啟用暫時存取 Amazon S3 中的基礎資料位置。
# 使用 SageMaker Studio 設定受信任的身分傳播
下列程序會逐步引導您設定 SageMaker Studio 進行受信任身分傳播和使用者背景工作階段。
## 先決條件
您必須先完成下列任務,才能開始使用本教學課程:
1. [啟用 IAM Identity Center](enable-identity-center.md)。組織執行個體為必要項目。如需詳細資訊,請參閱[先決條件和考量事項](trustedidentitypropagation-overall-prerequisites.md)。
1. [將使用者和群組從您的身分來源佈建至 IAM Identity Center](tutorials.md)。
1. [確認已在 IAM Identity Center 主控台中啟用使用者背景工作階段](user-background-sessions.md)。根據預設,會啟用使用者背景工作階段,並將工作階段持續時間設定為 7 天。您可以變更此持續時間。
若要從 SageMaker Studio 設定信任的身分傳播,SageMaker Studio 管理員必須執行下列步驟。
## 步驟 1:在新的或現有的 SageMaker Studio 網域中啟用信任的身分傳播
SageMaker Studio 使用網域來組織使用者設定檔、應用程式及其相關資源。若要啟用受信任身分傳播,您必須建立 SageMaker Studio 網域或修改現有網域,如下列程序所述。
1. 開啟 SageMaker AI 主控台,導覽至**網域**,然後執行下列其中一項操作。
+ **使用[組織設定](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions)建立新的 SageMaker Studio 網域。**
選擇**為組織設定**,然後執行下列動作:
+ 選擇 **AWS Identity Center** 作為身分驗證方法。
+ 選取**為此網域上的所有使用者啟用受信任身分傳播**核取方塊。
+ **修改現有的 SageMaker Studio 網域。**
+ 選取使用 IAM Identity Center 進行身分驗證的現有網域。
**重要**
只有使用 IAM Identity Center 進行身分驗證的 SageMaker Studio 網域才支援信任的身分傳播。如果網域使用 IAM 進行身分驗證,則您無法變更身分驗證方法,因此無法啟用信任的身分傳播。
+ [編輯網域設定](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-edit)。編輯**身分驗證和許可**設定,以啟用信任的身分傳播。
1. 繼續[步驟 2:設定預設網域執行角色](#setting-up-trusted-identity-propagation-sagemaker-studio-domain-execution-role)。SageMaker Studio 網域的使用者需要此角色才能存取其他 AWS 服務,例如 Amazon S3。
## 步驟 2:設定預設網域執行角色和角色信任政策
*網域執行角色*是 SageMaker Studio 網域代表網域中的所有使用者擔任的 [IAM 角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles)。您指派給此角色的許可決定 SageMaker Studio 可執行的動作。
1. 若要建立或選取網域執行角色,請執行下列其中一項操作:
+ **使用 [組織的設定](https://docs.aws.amazon.com//sagemaker/latest/dg/onboard-custom.html#onboard-custom-instructions)來建立或選取角色。**
+ 開啟 SageMaker AI 主控台,並遵循**步驟 2:設定角色和 ML 活動**中的主控台指引,以建立新的網域執行角色或選取現有角色。
+ 完成其餘的設定步驟,以建立 SageMaker Studio 網域。
+ **手動建立執行角色。**
+ 開啟 IAM 主控台並[自行建立執行角色](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-create-execution-role)。
1. [更新連接至網域執行角色的信任政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_update-role-trust-policy.html),使其包含下列兩個動作: [https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)和 [https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html](https://docs.aws.amazon.com//IAM/latest/UserGuide/reference_policies_iam-condition-keys.html)。如需有關如何尋找 SageMaker Studio 網域執行角色的資訊,請參閱[取得網域執行角色](https://docs.aws.amazon.com//sagemaker/latest/dg/sagemaker-roles.html#sagemaker-roles-get-execution-role-domain)。
*信任政策*會指定可擔任角色的身分。此政策是允許 SageMaker Studio 服務擔任網域執行角色的必要政策。新增這兩個動作,使其在您的政策中顯示如下。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"sagemaker.amazonaws.com"
]
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
## 步驟 3:驗證網域執行角色所需的 Amazon S3 Access Grant 許可
若要使用 Amazon S3 Access Grants,您必須將許可政策 (做為內嵌政策或客戶受管政策) 連接至包含下列許可的 SageMaker Studio 網域執行角色。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetDataAccess",
"s3:GetAccessGrantsInstanceForPrefix"
],
"Resource": "arn:aws:s3:us-east-2:111122223333:access-grants/default"
}
]
}
```
如果您沒有包含這些許可的政策,請遵循*AWS Identity and Access Management 《 使用者指南*》中的[新增和移除 IAM 身分許可](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-attach-detach.html)中的指示。
## 步驟 4:將群組和使用者指派給網域
遵循[新增群組和使用者中的步驟,將群組和使用者](https://docs.aws.amazon.com//sagemaker/latest/dg/domain-groups-add.html)指派給 SageMaker Studio 網域。
## 步驟 5:設定 Amazon S3 Access Grants
若要設定 Amazon S3 Access Grants,請遵循[透過 IAM Identity Center 為受信任身分傳播設定 Amazon S3 Access Grants ](tip-tutorial-s3.md#tip-tutorial-s3-configure)中的步驟。使用step-by-step說明來完成下列任務:
1. 建立 Amazon S3 Access Grants 執行個體。
1. 在該執行個體中註冊位置。
1. 建立授予,以允許特定 IAM Identity Center 使用者或群組存取這些位置中指定的 Amazon S3 位置或子集 (例如特定字首)。
## 步驟 6:提交 SageMaker 訓練任務並檢視使用者背景工作階段詳細資訊
在 SageMaker Studio 中,啟動新的 Jupyter 筆記本並提交訓練任務。任務執行時,請完成下列步驟以檢視工作階段資訊,並確認使用者背景工作階段內容處於作用中狀態。
1. 開啟 IAM Identity Center 主控台。
1. 選擇 **Users** (使用者)。
1. 在**使用者**頁面上,選擇您要管理其工作階段的使用者名稱。這會帶您前往包含使用者資訊的頁面。
1. 在使用者頁面上,選擇**作用中工作階段**索引標籤。**作用中工作階段**旁的括號中的數字表示此使用者的作用中工作階段數量。
1. 若要依使用工作階段之任務的 Amazon Resource Name (ARN) 搜尋工作階段,請在**工作階段類型**清單中,選擇**使用者背景工作階段**,然後在搜尋方塊中輸入任務 ARN。
以下是使用使用者背景工作階段的訓練任務如何在使用者的 **Active 工作階段**索引標籤中顯示的範例。
![\[alt text not found\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/sagemaker-studio-training-job-displayed-in-identity-center-console-active-sessions.png)
## 步驟 7:檢視 CloudTrail 日誌以驗證 CloudTrail 中信任的身分傳播
啟用信任的身分傳播時,動作會顯示在 `onBehalfOf`元素下的 CloudTrail 事件日誌中。`userId` 反映啟動訓練任務的 IAM Identity Center 使用者的 ID。下列 CloudTrail 事件會擷取信任身分傳播的程序。
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROA123456789EXAMPLE:SageMaker",
"arn": "arn:aws:sts::111122223333:assumed-role/SageMaker-ExecutionRole-20250728T125817/SageMaker",
"accountId": "111122223333",
"accessKeyId": "ASIAIOSFODNN7EXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROA123456789EXAMPLE",
"arn": "arn:aws:iam::111122223333:role/service-role/SageMaker-ExecutionRole-20250728T125817",
"accountId": "111122223333",
"userName": "SageMaker-ExecutionRole-20250728T125817"
},
"attributes": {
"creationDate": "2025-07-29T17:17:10Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "2801d3e0-f0e1-707f-54e8-f558b19f0a10",
"identityStoreArn": "arn:aws:identitystore::777788889999:identitystore/d-1234567890"
}
},
```
## 執行時期考量
如果管理員為長時間執行的訓練或處理任務設定了 **MaxRuntimeInSeconds**,而該任務低於使用者背景工作階段持續時間,則 SageMaker Studio 會執行任務的最短期限為 **MaxRuntimeInSeconds ** 或使用者背景工作階段持續時間。
如需 **MaxRuntimeInSeconds** 的詳細資訊,請參閱《*Amazon SageMaker API 參考*》中的 `CreateTrainingJob` [StoppingCondition](https://docs.aws.amazon.com//sagemaker/latest/APIReference/API_CreateTrainingJob.html#sagemaker-CreateTrainingJob-request-StoppingCondition) 參數指南。
# 授權服務
在所有[分析和資料湖使用案例中](trustedidentitypropagation-integrations.md#tip-data-analytic-usecases-overview),您可以使用下列方式實現精細存取控制:
+ AWS Lake Formation - 如需指引,請參閱[AWS Lake Formation 使用 IAM Identity Center 設定](tip-tutorial-lf.md)。
+ Amazon S3 Access Grants - 如需指引,請參閱 [使用 IAM Identity Center 設定 Amazon S3 Access Grants](tip-tutorial-s3.md)。
# AWS Lake Formation 使用 IAM Identity Center 設定
[AWS Lake Formation](https://docs.aws.amazon.com//lake-formation/latest/dg/what-is-lake-formation.html) 是一種受管服務,可簡化資料湖的建立和管理 AWS。它可自動化資料收集、分類和安全性,提供集中式儲存庫來存放和分析各種資料類型。Lake Formation 提供精細的存取控制,並與各種 AWS 分析服務整合,讓組織能夠有效率地設定、保護並從其資料湖衍生洞見。
請依照下列步驟,使用 IAM Identity Center 和信任的身分傳播,讓 Lake Formation 根據使用者身分授予資料許可。
## 先決條件
您必須先設定下列項目,才能開始使用本教學課程:
+ [啟用 IAM Identity Center](enable-identity-center.md)。建議使用[組織執行個體](organization-instances-identity-center.md)。如需詳細資訊,請參閱[先決條件和考量事項](trustedidentitypropagation-overall-prerequisites.md)。
## 設定受信任身分傳播的步驟
1. 將 **IAM Identity Center 與 整合 AWS Lake Formation**,並遵循[將 Lake Formation 與 IAM Identity Center ](https://docs.aws.amazon.com//lake-formation/latest/dg/connect-lf-identity-center.html)連接中的指引。
**重要**
**如果您沒有 AWS Glue Data Catalog 資料表,您必須建立這些資料表**,才能使用 AWS Lake Formation 將存取權授予 IAM Identity Center 使用者和群組。如需詳細資訊,請參閱在 [中建立物件 AWS Glue Data Catalog](https://docs.aws.amazon.com//lake-formation/latest/dg/populating-catalog.html)。
1. **註冊資料湖位置**。
[註冊存放 Glue 資料表資料的 S3 位置](https://docs.aws.amazon.com//lake-formation/latest/dg/register-location.html)。藉由這樣做,Lake Formation 會在查詢資料表時佈建對所需 S3 位置的臨時存取權,因此不需要在服務角色 (例如 WorkGroup 上設定的 Athena 服務角色) 中包含 S3 許可。
1. 在 AWS Lake Formation 主控台的導覽窗格中,導覽至**管理**區段下方的**資料湖位置**。選取**註冊位置**。
這將允許 Lake Formation 佈建具有存取 S3 資料位置必要許可的臨時 IAM 登入資料。
![\[步驟 1 在 Lake Formation 主控台中註冊資料湖位置。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/lf-tutorial-step-3.1.png)
1. 在 Amazon S3 路徑欄位中輸入資料表資料位置的 AWS Glue S3 路徑。 **Amazon S3 **
1. 在 **IAM 角色**區段中,如果您想要將服務連結角色與信任的身分傳播搭配使用,請勿選取該角色。建立具有下列許可的個別角色。
若要使用這些政策,請以您自己的資訊取代範例政策中的*斜體預留位置文字*。如需其他指示,請參閱[建立政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)或[編輯政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)。許可政策應授予路徑中指定之 S3 位置的存取權:
1. **許可政策**:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "LakeFormationDataAccessPermissionsForS3",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket/*"
]
},
{
"Sid": "LakeFormationDataAccessPermissionsForS3ListBucket",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::Your-S3-Bucket"
]
},
{
"Sid": "LakeFormationDataAccessServiceRolePolicy",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets"
],
"Resource": [
"arn:aws:s3:::*"
]
}
]
}
```
------
1. **信任關係**:這應該包含 `sts:SectContext`,這是信任身分傳播的必要項目。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:SetContext"
]
}
]
}
```
------
**注意**
精靈建立的 IAM 角色是服務連結角色,不包含 `sts:SetContext`。
1. 建立 IAM 角色後,選取**註冊位置**。
## 使用 Lake Formation 跨 進行信任的身分傳播 AWS 帳戶
AWS Lake Formation 支援使用 [AWS Resource Access Manager (RAM)](https://docs.aws.amazon.com//ram/latest/userguide/what-is.html) 跨 共用資料表, AWS 帳戶 並在授予者帳戶和承授者帳戶位於相同 AWS 區域、相同 中,並共用相同的 IAM Identity Center 組織執行個體時 AWS Organizations,使用受信任的身分傳播。如需詳細資訊,請參閱 [Lake Formation 中的跨帳戶資料共用](https://docs.aws.amazon.com//lake-formation/latest/dg/cross-data-sharing-lf.html)。
# 使用 IAM Identity Center 設定 Amazon S3 Access Grants
[Amazon S3 Access Grants](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-get-started.html) 提供將身分型精細存取控制授予 S3 位置的彈性。您可以使用 Amazon S3 Access Grants 將 Amazon S3 儲存貯體存取權直接授予公司使用者和群組。請依照下列步驟,Access Grants透過 IAM Identity Center 啟用 S3,並實現受信任的身分傳播。
## 先決條件
您必須先設定下列項目,才能開始使用本教學課程:
+ [啟用 IAM Identity Center](enable-identity-center.md)。建議使用[組織執行個體](organization-instances-identity-center.md)。如需詳細資訊,請參閱[先決條件和考量事項](trustedidentitypropagation-overall-prerequisites.md)。
## 透過 IAM Identity Center 設定受信任身分傳播的 S3 存取授權
**如果您已經有已註冊位置的 Amazon S3 Access Grants執行個體,請遵循下列步驟:**
1. [建立 IAM Identity Center 執行個體的關聯](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-idc.html)。
1. [建立授予](#tip-tutorial-s3-create-grant)。
**如果您Access Grants尚未建立 Amazon S3,請遵循下列步驟:**
1. [https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html) - 您可以為每個執行個體建立一個 S3 Access Grants執行個體 AWS 區域。當您建立 S3 Access Grants執行個體時,請務必勾選**新增 IAM Identity Center 執行個體**方塊,並提供 IAM Identity Center 執行個體的 ARN。選取**下一步**。
下圖顯示 Amazon S3 Access Grants主控台中的建立 S3 Access Grants執行個體頁面: Amazon S3
![\[在 S3 Access Grants 主控台中建立 S3 Access Grants執行個體頁面。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/s3-tutorial-step-1.1.png)
1. **註冊位置** - 在 AWS 區域 帳戶中的 中[建立 Amazon S3 Access Grants執行個體](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-instance-create.html)後,您會在該執行個體中[註冊 S3 位置](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html)。S3 Access Grants位置會將預設 S3 區域 (`S3://`)、儲存貯體或字首映射至 IAM 角色。S3 Access Grants會擔任此 Amazon S3 角色,將臨時登入資料提供給存取該特定位置的承授者。您必須先在 S3 Access Grants執行個體中註冊至少一個位置,才能建立存取授權。
針對**位置範圍**,指定 `s3://`,其中包含該區域中的所有儲存貯體。這是大多數使用案例的建議位置範圍。如果您有進階存取管理使用案例,您可以將位置範圍設定為儲存貯體 中的特定儲存貯體`s3://bucket`或字首`s3://bucket/prefix-with-path`。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的[註冊位置](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-location-register.html)。
**注意**
請確定您要授予存取權之 AWS Glue 資料表的 S3 位置包含在此路徑中。
此程序要求您為位置設定 IAM 角色。此角色應包含存取位置範圍的許可。您可以使用 S3 主控台精靈來建立角色。您需要在此 IAM 角色的政策中指定 S3 Access Grants執行個體 ARN。S3 Access Grants執行個體 ARN 的預設值為 `arn:aws:s3:Your-Region:Your-AWS-Account-ID:access-grants/default`。
下列範例許可政策會將 Amazon S3 許可授予您建立的 IAM 角色。之後的範例信任政策允許 S3 Access Grants服務主體擔任 IAM 角色。
1. **許可政策**
若要使用這些政策,請以您自己的資訊取代範例政策中的*斜體預留位置文字*。如需其他指示,請參閱[建立政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_create.html)或[編輯政策](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_manage-edit.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ObjectLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:GetObjectAcl",
"s3:GetObjectVersionAcl",
"s3:ListMultipartUploadParts"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "ObjectLevelWritePermissions",
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:PutObjectAcl",
"s3:PutObjectVersionAcl",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:AbortMultipartUpload"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "BucketLevelReadPermissions",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "111122223333"
},
"ArnEquals": {
"s3:AccessGrantsInstanceArn": [
"arn:aws:s3:::access-grants/instance-id"
]
}
}
},
{
"Sid": "OptionalKMSPermissionsForSSEEncryption",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"kms:GenerateDataKey"
],
"Resource": [
"*"
]
}
]
}
```
------
1. **信任政策**
在 IAM 角色信任政策中,授予 S3 存取授權服務 (`access-grants.s3.amazonaws.com`) 主體對您建立之 IAM 角色的存取權。若要完成此操作,您可以建立包含下列陳述式的 JSON 檔案。若要將信任政策新增至您的帳戶,請參閱[使用自訂信任政策建立角色](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_create_for-custom.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "Stmt1234567891011",
"Effect": "Allow",
"Action": [
"sts:AssumeRole",
"sts:SetSourceIdentity"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
}
}
},
{
"Sid": "Stmt1234567891012",
"Effect": "Allow",
"Action": "sts:SetContext",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333",
"aws:SourceArn": "Your-Custom-Access-Grants-Location-ARN"
},
"ForAllValues:ArnEquals": {
"sts:RequestContextProviders": "arn:aws:iam::aws:contextProvider/IdentityCenter"
}
}
}
]
}
```
------
## 建立 Amazon S3 存取授權
如果您有已註冊位置的 Amazon S3 Access Grants執行個體,且您已將 IAM Identity Center 執行個體與其建立關聯,則可以[建立授權](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html)。在 S3 **主控台建立授予**頁面中,完成下列操作:
**建立授與**
1. 選取在上一個步驟中建立的位置。您可以新增子字首,以減少授予的範圍。子字首可以是 `bucket`、 `bucket/prefix`或 儲存貯體中的物件。如需詳細資訊,請參閱《*Amazon Simple Storage Service 使用者指南*》中的 [Subprefix](https://docs.aws.amazon.com//AmazonS3/latest/userguide/access-grants-grant-create.html#subprefix)。
1. 在**許可和存取**下,根據您的需求選取**讀取**和或**寫入**。
1. 在**授予者類型**中,選擇**目錄身分表單 IAM Identity Center**。
1. 提供 IAM Identity Center **使用者或群組 ID**。您可以在 IAM Identity Center 主控台的使用者和群組[區段下找到**使用者**和**群組**](howtoviewandchangepermissionset.md) IDs。選取**下一步**。
1. 在**檢閱和完成**頁面上,檢閱 S3 的設定,Access Grant然後選取**建立授予**。
下圖顯示 Amazon S3 Access Grants主控台中的建立授予頁面:
![\[在 Amazon S3 Access Grants 主控台中建立授予頁面。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/s3-tutorial-step-1.4.png)
# 設定您自己的 OAuth 2.0 應用程式
信任的身分傳播可讓客戶受管應用程式代表使用者請求存取 AWS 服務中的資料。資料存取管理是以使用者的身分為基礎,因此管理員可以根據使用者的現有使用者和群組成員資格授予存取權。使用者的身分、代表他們執行的動作和其他事件都會記錄在服務特定的日誌和 CloudTrail 事件中。
透過信任的身分傳播,使用者可以登入客戶受管應用程式,且該應用程式可以在存取資料的請求中傳遞使用者的身分 AWS 服務。
**重要**
若要存取 AWS 服務,客戶受管應用程式必須從 IAM Identity Center 外部的信任權杖發行者取得權杖。*信任的權杖發行者*是建立簽章權杖的 OAuth 2.0 授權伺服器。這些字符授權應用程式啟動存取 AWS 服務 (接收應用程式) 的請求。如需詳細資訊,請參閱[使用具有受信任權杖發行者的應用程式](using-apps-with-trusted-token-issuer.md)。
**Topics**
+ [設定客戶受管 OAuth 2.0 應用程式以進行受信任身分傳播](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)
+ [指定信任的應用程式](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md)
+ [使用具有受信任權杖發行者的應用程式](using-apps-with-trusted-token-issuer.md)
# 設定客戶受管 OAuth 2.0 應用程式以進行受信任身分傳播
若要設定受信任身分傳播的客戶受管 OAuth 2.0 應用程式,您必須先將其新增至 IAM Identity Center。使用下列程序將您的應用程式新增至 IAM Identity Center。
**Topics**
+ [步驟 1:選取應用程式類型](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-select-app-type)
+ [步驟 2:指定應用程式詳細資訊](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)
+ [步驟 3:指定身分驗證設定](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)
+ [步驟 4:指定應用程式登入資料](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)
+ [步驟 5:檢閱和設定](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)
## 步驟 1:選取應用程式類型
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 選擇**客戶管理**索引標籤。
1. 選擇**新增應用程式**。
1. 在**選取應用程式類型**頁面的**設定偏好**下,選擇**我有想要設定的應用程式**。
1. 在**應用程式類型**下,選擇 **OAuth 2.0**。
1. 選擇**下一步**,繼續前往下一頁 [步驟 2:指定應用程式詳細資訊](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-app-details)。
## 步驟 2:指定應用程式詳細資訊
1. 在**指定應用程式詳細資訊**頁面**的應用程式名稱和描述**下,輸入應用程式的**顯示名稱**,例如 **MyApp**。然後,輸入**描述**。
1. 在**使用者和群組指派方法**下,選擇下列其中一個選項:
+ **需要指派** – 僅允許指派給此應用程式的 IAM Identity Center 使用者和群組存取應用程式。
應用程式圖磚可見性 – 只有直接或透過群組指派指派給應用程式的使用者,才能在 AWS 存取入口網站中檢視應用程式圖磚,前提是** AWS 存取入口網站中的應用程式可見性**設定為**可見**。
+ **不需要指派** – 允許所有授權的 IAM Identity Center 使用者和群組存取此應用程式。
應用程式圖磚可見性 – 除非** AWS 存取入口網站中的應用程式可見性**設為**不**可見,否則登入 AWS 存取入口網站的所有使用者都可看見應用程式圖磚。
1. 在**AWS 存取入口網站**下,輸入使用者可存取應用程式的 URL,並指定應用程式圖磚是否會顯示在 AWS 存取入口網站中。如果您選擇**不可見**,則甚至沒有指派的使用者都可以檢視應用程式圖磚。
1. 在**標籤 (選用)** 下,選擇**新增標籤**,然後指定**索引鍵**和**值的值 (選用)**。
如需標籤的相關資訊,請參閱[標記 AWS IAM Identity Center 資源](tagging.md)。
1. 選擇**下一步**,然後繼續前往下一頁 [步驟 3:指定身分驗證設定](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-authentication-settings)。
## 步驟 3:指定身分驗證設定
若要將支援 OAuth 2.0 的客戶受管應用程式新增至 IAM Identity Center,您必須指定信任的權杖發行者。受信任字符發行者是能建立簽章字符的 OAuth 2.0 授權伺服器。這些字符授權發起請求的應用程式 (請求應用程式) 存取 AWS 受管應用程式 (接收應用程式)。
1. 在**指定身分驗證設定**頁面的**信任字符發行者**下,執行下列其中一項操作:
+ 若要使用現有的受信任權杖發行者:
選取您要使用之受信任權杖發行者名稱旁的核取方塊。
+ 若要新增受信任權杖發行者:
1. 選擇**建立信任的權杖發行者**。
1. 新的瀏覽器索引標籤隨即開啟。請遵循 中的步驟 5 到 8[如何將受信任權杖發行者新增至 IAM Identity Center 主控台](setuptrustedtokenissuer.md#how-to-add-trustedtokenissuer)。
1. 完成這些步驟後,請返回您用於應用程式設定的瀏覽器視窗,然後選取您剛新增的信任權杖發行者。
1. 在信任權杖發行者清單中,選取您剛新增之信任權杖發行者名稱旁的核取方塊。
選取信任權杖發行者之後,即會顯示**設定選取的信任權杖發行者**區段。
1. 在**設定選取的受信任權杖發行者**下,輸入 **Aud 宣告**。**Aud 宣告**會識別受信任字符發行者所產生字符的目標對象 (收件人)。如需詳細資訊,請參閱[Aud 宣告](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim)。
1. 若要防止使用者在使用此應用程式時重新驗證身分,請選取**啟用重新整理字符授予**。選取時,此選項會每 60 分鐘重新整理工作階段的存取字符,直到工作階段過期或使用者結束工作階段為止。
1. 選擇**下一步**,然後前往下一頁 [步驟 4:指定應用程式登入資料](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-specify-application-credentials)。
## 步驟 4:指定應用程式登入資料
完成此程序中的步驟,以指定您的應用程式用來與信任的應用程式執行權杖交換動作的登入資料。這些登入資料用於以資源為基礎的政策。政策要求您指定具有執行政策中指定動作之許可的委託人。即使信任的應用程式位於相同的 中,**您也必須指定委託人** AWS 帳戶。
**注意**
當您使用 政策設定許可時, 只會授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。
此政策需要 [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) API 動作。如需此政策的詳細資訊,以及您可以視需要針對環境進行調整的範例,請參閱 [IAM Identity Center IAM Identity Center 的資源型政策範例](iam-auth-access-using-resource-based-policies.md)。
1. 在**指定應用程式登入**資料頁面上,執行下列其中一項操作:
+ 若要快速指定一或多個 IAM 角色:
1. 選擇**輸入一或多個 IAM 角色**。
1. 在**輸入 IAM 角色**下,指定現有 IAM 角色的 Amazon Resource Name (ARN)。若要指定 ARN,請使用下列語法。ARN 的區域部分是空白的,因為 IAM 資源是全域。
```
arn:aws:iam::account:role/role-name-with-path
```
如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[使用資源型政策和 IAM ARN 進行跨帳戶存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html#access_policies-cross-account-using-resource-based-policies)。 [ ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html#identifiers-arns)
+ 若要手動編輯政策 (如果您指定非AWS 憑證則為必要):
1. 選取**編輯應用程式政策**。
1. 在 JSON 文字方塊中輸入或貼上文字,以修改您的政策。
1. 解決政策驗證期間產生的任何安全警告、錯誤或一般警告。如需詳細資訊,請參閱[《 使用者指南》中的驗證 IAM 政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_policy-validator.html)。 *AWS Identity and Access Management *
1. 選擇**下一步**,然後前往下一頁 [步驟 5:檢閱和設定](#customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2-review-and-configure)。
## 步驟 5:檢閱和設定
1. 在**檢閱和設定**頁面上,檢閱您所做的選擇。若要進行變更,請選擇您想要的組態區段,選擇**編輯**,然後進行必要的變更。
1. 完成後,請選擇**新增應用程式**。
1. 您新增的應用程式會出現在**客戶受管應用程式**清單中。
1. 在 IAM Identity Center 中設定客戶受管應用程式後,您必須為身分傳播指定一或多個 AWS 服務或信任的應用程式。這可讓使用者登入您的客戶受管應用程式,並存取信任應用程式中的資料。
如需詳細資訊,請參閱[指定信任的應用程式](trustedidentitypropagation-using-customermanagedapps-specify-trusted-apps.md)。
# 指定信任的應用程式
[設定客戶受管應用程式](customermanagedapps-trusted-identity-propagation-set-up-your-own-app-OAuth2.md)後,您必須指定一或多個信任 AWS 的服務或信任的應用程式,以進行身分傳播。指定具有客戶受管應用程式使用者需要存取之資料 AWS 的服務。當您的使用者登入客戶受管應用程式時,該應用程式會將您的使用者身分傳遞給信任的應用程式。
使用下列程序來選取服務,然後為該服務指定要信任的個別應用程式。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 選擇**客戶管理**索引標籤。
1. 在**客戶受管應用程式**清單中,選取您要啟動存取請求的 OAuth 2.0 應用程式。這是您的使用者登入的應用程式。
1. 在**詳細資訊**頁面的**用於身分傳播的可信應用程式**下,選擇**指定信任的應用程式**。
1. 在**設定類型**下,選取**個別應用程式並指定存取權**,然後選擇**下一步**。
1. 在**選取服務**頁面上,選擇 AWS 具有客戶受管應用程式可信任之應用程式的服務,以進行身分傳播,然後選擇**下一步**。
您選取的服務會定義可信任的應用程式。您將在下一個步驟中選取應用程式。
1. 在**選取應用程式**頁面上,選擇**個別應用程式**,選取每個可接收存取請求之應用程式的核取方塊,然後選擇**下一步**。
1. 在**設定存取**頁面的**組態方法**下,執行下列其中一項操作:
+ **選取每個應用程式的存取權 –** 選取此選項,為每個應用程式設定不同的存取層級。選擇您要為其設定存取層級的應用程式,然後選擇**編輯存取權**。在**要套用的存取層級**中,視需要變更存取層級,然後選擇**儲存變更**。
+ **將相同層級的存取套用至所有應用程式** – 如果您不需要為每個應用程式設定存取層級,請選取此選項。
1. 選擇**下一步**。
1. 在**檢閱組態**頁面上,檢閱您所做的選擇。若要進行變更,請選擇您想要的組態區段,選擇**編輯存取權**,然後進行必要的變更。
1. 完成後,請選擇**信任應用程式**。
# 使用具有受信任權杖發行者的應用程式
受信任權杖發行者可讓您將受信任身分傳播與在 外部驗證的應用程式搭配使用 AWS。透過信任的字符發行者,您可以授權這些應用程式代表其使用者提出請求,以存取 AWS 受管應用程式。
下列主題說明受信任權杖發行者的運作方式,並提供設定指引。
**Topics**
+ [受信任權杖發行者概觀](#trusted-token-issuer-overview)
+ [受信任權杖發行者的先決條件和考量事項](#trusted-token-issuer-prerequisites)
+ [JTI 宣告詳細資訊](#trusted-token-issuer-configuration-jti-claim)
+ [受信任權杖發行者組態設定](trusted-token-issuer-configuration-settings.md)
+ [設定信任的字符發行者](setuptrustedtokenissuer.md)
+ [身分增強的 IAM 角色工作階段](trustedidentitypropagation-identity-enhanced-iam-role-sessions.md)
## 受信任權杖發行者概觀
受信任身分傳播提供一種機制,可讓在 外部驗證的應用程式使用受信任字符發行者,代表其使用者 AWS 提出請求。*信任的權杖發行者*是建立簽章權杖的 OAuth 2.0 授權伺服器。這些字符會授權應用程式啟動存取 (接收應用程式) 的請求 AWS 服務(請求應用程式)。請求應用程式代表受信任字符發行者驗證的使用者啟動存取請求。信任的字符發行者和 IAM Identity Center 都知道這些使用者。
AWS 服務 接收請求會根據其使用者和群組成員資格來管理對其資源的精細授權,如 Identity Center 目錄所示。 AWS 服務 無法直接使用外部字符發行者的字符。
為了解決此問題,IAM Identity Center 為請求應用程式或請求應用程式使用的 AWS 驅動程式提供了一種方法,以將受信任字符發行者發出的字符交換為 IAM Identity Center 產生的字符。IAM Identity Center 產生的權杖是指對應的 IAM Identity Center 使用者。請求應用程式或驅動程式會使用新的字符來起始對接收應用程式的請求。由於新權杖參考 IAM Identity Center 中的對應使用者,因此接收應用程式可以根據使用者或其群組成員資格來授權請求的存取權,如 IAM Identity Center 所示。
**重要**
選擇 OAuth 2.0 授權伺服器新增為信任的權杖發行者,是一項需要仔細考量的安全決策。僅選擇您信任的受信任字符發行者來執行下列任務:
驗證字符中指定的使用者。
授權該使用者存取接收應用程式。
產生權杖,IAM Identity Center 可以交換 IAM Identity Center 建立的權杖。
## 受信任權杖發行者的先決條件和考量事項
在您設定信任的權杖發行者之前,請檢閱下列先決條件和考量事項。
+ **受信任權杖發行者組態**
您必須設定 OAuth 2.0 授權伺服器 (信任的字符發行者)。雖然信任的權杖發行者通常是您用來做為 IAM Identity Center 身分來源的身分提供者,但不一定是。如需有關如何設定受信任權杖發行者的資訊,請參閱相關身分提供者的文件。
**注意**
您最多可以設定 10 個受信任權杖發行者,以便與 IAM Identity Center 搭配使用,只要您將受信任權杖發行者中每個使用者的身分映射到 IAM Identity Center 中的對應使用者。
+ 建立權杖的 OAuth 2.0 授權伺服器 (受信任權杖發行者) 必須具有 [OpenID Connect (OIDC)](https://openid.net/specs/openid-connect-discovery-1_0.html) 探索端點,IAM Identity Center 可用來取得公有金鑰來驗證權杖簽章。如需詳細資訊,請參閱[OIDC 探索端點 URL (發行者 URL)](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url)。
+ **受信任權杖發行者發行的權杖**
來自信任權杖發行者的權杖必須符合下列要求:
+ 權杖必須使用 RS256 演算法以 [JSON Web 權杖 (JWT)](https://datatracker.ietf.org/doc/html/rfc7519#section-3) 格式簽署。
+ 字符必須包含下列宣告:
+ [發行者](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1) (iss) – 發行權杖的實體。此值必須與信任字符發行者 OIDC 探索端點 (發行者 URL) 中設定的值一致。
+ [主旨](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2) (子) – 已驗證的使用者。
+ [對象 ](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3)(aud) – 字符的預期收件人。這是權杖從 AWS 服務 IAM Identity Center 交換權杖後將會存取的 。如需詳細資訊,請參閱[Aud 宣告](trusted-token-issuer-configuration-settings.md#trusted-token-issuer-aud-claim)。
+ [過期時間](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4) (exp) – 字符過期的時間。
+ 字符可以是身分字符或存取字符。
+ 字符必須具有可以唯一映射到一個 IAM Identity Center 使用者的屬性。
**注意**
Microsoft Entra ID 不支援將自訂簽署金鑰用於來自 JWTs。若要Microsoft Entra ID搭配信任的權杖發行者使用來自 的權杖,您無法使用自訂簽署金鑰。
+ **選用宣告**
IAM Identity Center 支援 RFC 7523 中定義的所有選用宣告。如需詳細資訊,請參閱此 RFC [的第 3 節:JWT 格式和處理需求](https://datatracker.ietf.org/doc/html/rfc7523#section-3)。
例如,字符可以包含 [JTI (JWT ID) 宣告](https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7)。此宣告存在時,可防止具有相同 JTI 的權杖重複使用進行權杖交換。如需 JTI 宣告的詳細資訊,請參閱 [JTI 宣告詳細資訊](#trusted-token-issuer-configuration-jti-claim)。
+ **使用受信任字符發行者的 IAM Identity Center 組態**
您也必須啟用 IAM Identity Center、設定 IAM Identity Center 的身分來源,以及佈建對應至信任權杖發行者目錄中使用者的使用者。
若要這樣做,您必須執行下列其中一項操作:
+ 使用跨網域身分管理 (SCIM) 2.0 通訊協定,將使用者同步至 IAM Identity Center。
+ 直接在 IAM Identity Center 中建立使用者。
## JTI 宣告詳細資訊
如果 IAM Identity Center 收到交換 IAM Identity Center 已交換權杖的請求,則請求會失敗。若要偵測和防止權杖交換重複使用權杖,您可以包含 JTI 宣告。IAM Identity Center 會根據權杖中的宣告來防止權杖的重播。
並非所有 OAuth 2.0 授權伺服器都會將 JTI 宣告新增至權杖。有些 OAuth 2.0 授權伺服器可能不允許您將 JTI 新增為自訂宣告。支援使用 JTI 宣告的 OAuth 2.0 授權伺服器可能會將此宣告新增至僅限身分字符、僅限存取字符或兩者。如需詳細資訊,請參閱 OAuth 2.0 授權伺服器的文件。
如需建置交換權杖之應用程式的相關資訊,請參閱 IAM Identity Center API 文件。如需有關設定客戶受管應用程式以取得和交換正確字符的資訊,請參閱應用程式的文件。
# 受信任權杖發行者組態設定
下列各節說明設定和使用受信任字符發行者所需的設定。
**Topics**
+ [OIDC 探索端點 URL (發行者 URL)](#oidc-discovery-endpoint-url)
+ [屬性對應](#trusted-token-issuer-attribute-mappings)
+ [Aud 宣告](#trusted-token-issuer-aud-claim)
## OIDC 探索端點 URL (發行者 URL)
當您將受信任權杖發行者新增至 IAM Identity Center 主控台時,您必須指定 OIDC 探索端點 URL。此 URL 通常由其相對 URL 所參考`/.well-known/openid-configuration`。在 IAM Identity Center 主控台中,此 URL 稱為*發行者 URL*。
**注意**
您必須貼上探索端點的 URL,*直到 且不含* 為止`.well-known/openid-configuration`。如果 URL `.well-known/openid-configuration` 中包含 ,信任的字符發行者組態將無法運作。由於 IAM Identity Center 不會驗證此 URL,如果 URL 的格式不正確,信任的權杖發行者設定將會失敗,恕不另行通知。
OIDC 探索端點 URL 只能透過連接埠 80 和 443 存取。
IAM Identity Center 使用此 URL 來取得受信任字符發行者的其他資訊。例如,IAM Identity Center 使用此 URL 來取得驗證受信任字符發行者產生的字符所需的資訊。當您將受信任權杖發行者新增至 IAM Identity Center 時,您必須指定此 URL。若要尋找 URL,請參閱您用來為應用程式產生權杖的 OAuth 2.0 授權伺服器提供者文件,或直接聯絡提供者尋求協助。
## 屬性對應
屬性映射可讓 IAM Identity Center 將信任權杖發行者發出的權杖中表示的使用者與 IAM Identity Center 中的單一使用者進行比對。當您將信任的字符發行者新增至 IAM Identity Center 時,必須指定屬性映射。此屬性映射用於由受信任權杖發行者產生的權杖中的宣告。宣告中的值用於搜尋 IAM Identity Center。搜尋會使用指定的屬性來擷取 IAM Identity Center 中的單一使用者,該使用者將做為 中的使用者。 AWS您選擇的宣告必須對應至 IAM Identity Center 身分存放區中可用屬性的固定清單中的一個屬性。您可以選擇下列其中一個 IAM Identity Center 身分存放區屬性:使用者名稱、電子郵件和外部 ID。您在 IAM Identity Center 中指定的屬性值對於每個使用者必須是唯一的。
## Aud 宣告
*aud 宣告*會識別要為其指定權杖的對象 (收件人)。當請求存取的應用程式透過未與 IAM Identity Center 聯合的身分提供者進行身分驗證時,該身分提供者必須設定為信任的字符發行者。接收存取請求的應用程式 (接收應用程式) 必須將受信任字符發行者產生的字符交換為 IAM Identity Center 產生的字符。
如需有關如何在受信任權杖發行者註冊接收應用程式時取得 aud 宣告值的資訊,請參閱受信任權杖發行者的文件,或聯絡受信任權杖發行者管理員尋求協助。
# 設定信任的字符發行者
若要為向 IAM Identity Center 外部驗證的應用程式啟用受信任身分傳播,一或多個管理員必須設定受信任權杖發行者。信任的權杖發行者是 OAuth 2.0 授權伺服器,會向啟動請求的應用程式 (請求應用程式) 發出權杖。這些字符授權這些應用程式代表其使用者向接收應用程式 (an) 發出請求 AWS 服務。
**Topics**
+ [協調管理角色和責任](#coordinating-administrative-roles-responsibilities)
+ [設定受信任權杖發行者的任務](#setuptrustedtokenissuer-tasks)
+ [如何將受信任權杖發行者新增至 IAM Identity Center 主控台](#how-to-add-trustedtokenissuer)
+ [如何在 IAM Identity Center 主控台中檢視或編輯受信任權杖發行者設定](#view-edit-trusted-token-issuers)
+ [使用信任權杖發行者的應用程式的設定程序和請求流程](#setuptrustedtokenissuer-setup-process-request-flow)
## 協調管理角色和責任
在某些情況下,單一管理員可能會執行設定信任字符發行者所需的所有必要任務。如果多個管理員執行這些任務,則需要密切協調。下表說明多個管理員如何協調以設定信任的字符發行者,並設定 AWS 服務來使用它。
**注意**
應用程式可以是與 IAM Identity Center 整合並支援受信任身分傳播的任何 AWS 服務。
如需詳細資訊,請參閱[設定受信任權杖發行者的任務](#setuptrustedtokenissuer-tasks)。
****
| Role | 執行這些任務 | 與 協調 |
| --- | --- | --- |
| IAM Identity Center 管理員 | 將外部 IdP 做為受信任權杖發行者新增至 IAM Identity Center 主控台。 協助設定 IAM Identity Center 與外部 IdP 之間的正確屬性映射。 當信任的字符發行者新增至 IAM Identity Center 主控台時,通知 AWS 服務管理員。 | 外部 IdP (受信任字符發行者) 管理員 AWS 服務管理員 |
| 外部 IdP (受信任字符發行者) 管理員 | 設定外部 IdP 以發出權杖。 協助設定 IAM Identity Center 與外部 IdP 之間的正確屬性映射。 將對象名稱 (Aud 宣告) 提供給 AWS 服務管理員。 | IAM Identity Center 管理員 AWS 服務管理員 |
| AWS 服務管理員 | 檢查 AWS 服務主控台是否有受信任權杖發行者。在 IAM Identity Center 管理員將其新增至 IAM Identity Center 主控台之後,可在 AWS 服務主控台中看到信任的權杖發行者。 將 AWS 服務設定為使用信任的字符發行者。 | IAM Identity Center 管理員 外部 IdP (受信任字符發行者) 管理員 |
## 設定受信任權杖發行者的任務
若要設定受信任權杖發行者,IAM Identity Center 管理員、外部 IdP (受信任權杖發行者) 管理員和應用程式管理員必須完成下列任務。
**注意**
應用程式可以是與 IAM Identity Center 整合並支援受信任身分傳播的任何 AWS 服務。
1. **將受信任權杖發行者新增至 IAM Identity Center** – IAM Identity Center 管理員[會使用 IAM Identity Center 主控台或 API 新增受信任權杖發行者](#how-to-add-trustedtokenissuer)。 [APIs](https://docs.aws.amazon.com/singlesignon/latest/APIReference/API_Operations.html) 此組態需要指定下列項目:
+ 受信任權杖發行者的名稱。
+ OIDC 探索端點 URL (在 IAM Identity Center 主控台中,此 URL 稱為*發行者 URL*)。探索端點只能透過連接埠 80 和 443 存取。
+ 使用者查詢的屬性映射。此屬性映射用於由受信任權杖發行者產生的權杖中的宣告。宣告中的值用於搜尋 IAM Identity Center。搜尋會使用指定的屬性來擷取 IAM Identity Center 中的單一使用者。
1. **將 AWS 服務連線至 IAM Identity Center** – AWS 服務管理員必須使用應用程式或應用程式 APIs 的 主控台,將應用程式連線至 IAM Identity Center。
將信任的字符發行者新增至 IAM Identity Center 主控台後,它也會在 AWS 服務主控台中顯示,並可供 AWS 服務管理員選取。
1. **設定權杖交換的使用** – 在 AWS 服務主控台中, AWS 服務管理員會將 AWS 服務設定為接受信任權杖發行者發行的權杖。這些字符會交換為 IAM Identity Center 產生的字符。這需要從步驟 1 指定受信任權杖發行者的名稱,以及對應至 AWS 服務的 Aud 宣告值。
信任的權杖發行者會將 Aud 宣告值放在其發行的權杖中,以表示權杖旨在供 AWS 服務使用。若要取得此值,請聯絡信任權杖發行者的管理員。
## 如何將受信任權杖發行者新增至 IAM Identity Center 主控台
在具有多個管理員的組織中,此任務由 IAM Identity Center 管理員執行。如果您是 IAM Identity Center 管理員,您必須選擇要用作受信任權杖發行者的外部 IdP。
**將受信任權杖發行者新增至 IAM Identity Center 主控台**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**信任權杖發行者**下,選擇**建立信任權杖發行者**。
1. 在**設定外部 IdP 以發出信任權杖**頁面上,**在信任權杖發行者詳細資訊**下,執行下列動作:
+ 對於**發行者 URL**,請指定外部 IdP 的 [OIDC 探索 URL](trusted-token-issuer-configuration-settings.md#oidc-discovery-endpoint-url),該 IdP 將發出受信任身分傳播的字符。 IdP 您必須指定探索端點的 URL,直到 且不含 為止`.well-known/openid-configuration`。外部 IdP 的管理員可以提供此 URL。
**注意**
請注意,此 URL 必須符合發行者 (iss) 宣告中針對受信任身分傳播發出的字符中的 URL。
+ 針對**受信任權杖發行者名稱**,在 IAM Identity Center 和應用程式主控台中輸入名稱以識別此受信任權杖發行者。
1. 在**映射屬性**下,執行下列動作:
+ 針對**身分提供者屬性**,從清單中選擇屬性,以對應至 IAM Identity Center 身分存放區中的屬性。
+ 針對 **IAM Identity Center 屬性**,選取屬性對應的屬性映射。
1. 在**標籤 (選用)** 下,選擇**新增標籤**、為**金鑰**指定值,以及為值選擇性指定**值**。
如需標籤的相關資訊,請參閱[標記 AWS IAM Identity Center 資源](tagging.md)。
1. 選擇**建立信任的權杖發行者**。
1. 完成建立信任的權杖發行者之後,請聯絡應用程式管理員,讓他們知道信任的權杖發行者名稱,以便確認信任的權杖發行者顯示在適當的主控台中。
1. 應用程式管理員必須在適用的主控台中選取此受信任權杖發行者,以讓使用者從設定為受信任身分傳播的應用程式存取應用程式。
## 如何在 IAM Identity Center 主控台中檢視或編輯受信任權杖發行者設定
將受信任權杖發行者新增至 IAM Identity Center 主控台後,您可以檢視和編輯相關設定。
如果您打算編輯信任的權杖發行者設定,請記住,這樣做可能會導致使用者無法存取任何設定為使用信任權杖發行者的應用程式。為了避免中斷使用者存取,建議您在編輯設定之前,先針對設定為使用信任字符發行者的任何應用程式,與管理員進行協調。
**在 IAM Identity Center 主控台中檢視或編輯信任權杖發行者設定**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇**設定**。
1. 在**設定**頁面上,選擇**身分驗證**索引標籤。
1. 在**信任權杖發行者**下,選取您要檢視或編輯的信任權杖發行者。
1. 選擇**動作**,然後選擇**編輯**。
1. 在**編輯信任權杖發行者**頁面上,視需要檢視或編輯設定。您可以編輯信任的權杖發行者名稱、屬性映射和標籤。
1. 選擇**儲存變更**。
1. 在**編輯信任的字符發行者**對話方塊中,系統會提示您確認是否要進行變更。選擇**確認**。
## 使用信任權杖發行者的應用程式的設定程序和請求流程
本節說明使用受信任權杖發行者進行受信任身分傳播的應用程式的設定程序和請求流程。下圖提供此程序的概觀。
![\[使用受信任權杖發行者進行受信任身分傳播的應用程式設定程序和請求流程\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/trusted-identity-propagation-trusted-token-issuer-request-flow.png)
下列步驟提供此程序的其他資訊。
1. 設定 IAM Identity Center 和接收 AWS 受管應用程式,以使用信任的字符發行者。如需相關資訊,請參閱[設定受信任權杖發行者的任務](#setuptrustedtokenissuer-tasks)。
1. 請求流程會在使用者開啟請求應用程式時開始。
1. 請求應用程式會向信任的權杖發行者請求權杖,以起始對接收 AWS 受管應用程式的請求。如果使用者尚未進行身分驗證,此程序會觸發身分驗證流程。字符包含下列資訊:
+ 使用者的主體 (Sub)。
+ IAM Identity Center 用來在 IAM Identity Center 中查詢對應使用者的屬性。
+ 對象 (對象) 宣告,其中包含信任權杖發行者與接收 AWS 受管應用程式相關聯的值。如果有其他宣告,IAM Identity Center 不會使用這些宣告。
1. 請求應用程式或其使用的 AWS 驅動程式會將字符傳遞給 IAM Identity Center,並請求將字符交換為 IAM Identity Center 產生的字符。如果您使用 AWS 驅動程式,您可能需要為此使用案例設定驅動程式。如需詳細資訊,請參閱相關 AWS 受管應用程式的文件。
1. IAM Identity Center 使用 OIDC Discovery 端點來取得可用於驗證字符真實性的公有金鑰。IAM Identity Center 接著會執行下列動作:
+ 驗證權杖。
+ 搜尋 Identity Center 目錄。若要這樣做,IAM Identity Center 會使用字符中指定的映射屬性。
+ 驗證使用者是否有權存取接收應用程式。如果 AWS 受管應用程式設定為需要指派給使用者和群組,則使用者必須擁有應用程式的直接或以群組為基礎的指派,否則請求會被拒絕。如果 AWS 受管應用程式設定為不需要使用者和群組指派,則處理會繼續。
**注意**
AWS 服務具有預設設定組態,可判斷使用者和群組是否需要指派。如果您計劃將它們與信任的身分傳播搭配使用,建議您不要修改這些應用程式的**需要指派**設定。即使您已設定允許使用者存取特定應用程式資源的精細許可,修改**需要指派**設定仍可能導致意外行為,包括中斷使用者存取這些資源。
+ 確認請求應用程式已設定為使用接收 AWS 受管應用程式的有效範圍。
1. 如果先前的驗證步驟成功,IAM Identity Center 會建立新的權杖。新權杖是不透明 (加密) 權杖,其中包含 IAM Identity Center 中對應使用者的身分、接收 AWS 受管應用程式的對象 (Aud),以及請求應用程式在向接收 AWS 受管應用程式提出請求時可以使用的範圍。
1. 請求應用程式或其使用的驅動程式會啟動資源請求給接收應用程式,並將 IAM Identity Center 產生的字符傳遞給接收應用程式。
1. 接收應用程式會呼叫 IAM Identity Center,以取得使用者身分和字符中編碼的範圍。它也可能請求從 Identity Center 目錄取得使用者屬性或使用者的群組成員資格。
1. 接收應用程式會使用其授權組態來判斷使用者是否有權存取請求的應用程式資源。
1. 如果使用者有權存取請求的應用程式資源,接收應用程式會回應請求。
1. 使用者的身分、代表他們執行的動作和其他事件都會記錄在接收應用程式日誌和 CloudTrail 事件中。記錄此資訊的特定方式會根據應用程式而有所不同。
# 身分增強的 IAM 角色工作階段
[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html) (STS) 可讓應用程式取得身分增強的 IAM 角色工作階段。身分增強型角色工作階段具有新增的身分內容,可將使用者識別符帶到 AWS 服務 其呼叫的 。 AWS 服務 可以在 IAM Identity Center 中查詢使用者的群組成員資格和屬性,並使用它們來授權使用者存取 資源。
AWS 應用程式透過向 AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html) API 動作提出請求,並在請求的 `ProvidedContexts` 參數中將內容聲明與使用者的識別符 (`userId`) 傳遞給 ,來取得身分增強型角色工作階段`AssumeRole`。內容聲明是從回應`SSO OIDC`對 的請求所收到的`idToken`宣告中取得[https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html)。當 AWS 應用程式使用身分增強型角色工作階段來存取資源時,CloudTrail 會記錄 `userId`、啟動工作階段和採取的動作。如需詳細資訊,請參閱[身分增強 IAM 角色工作階段記錄](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)。
**Topics**
+ [身分增強型 IAM 角色工作階段的類型](#types-identity-enhanced-iam-role-sessions)
+ [身分增強 IAM 角色工作階段記錄](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## 身分增強型 IAM 角色工作階段的類型
AWS STS 可以建立兩種不同類型的身分增強 IAM 角色工作階段,取決於提供給`AssumeRole`請求的內容聲明。從 IAM Identity Center 取得 ID 字符的應用程式可以將 `sts:identiy_context`(建議) 或 `sts:audit_context`(支援回溯相容性) 新增至 IAM 角色工作階段。身分增強的 IAM 角色工作階段只能具有其中一個內容聲明,不能同時具有兩者。
### 使用 建立的身分增強 IAM 角色工作階段 `sts:identity_context`
當身分增強型角色工作階段包含稱為 `sts:identity_context` AWS 服務 的 時,會判斷資源授權是以角色工作階段中代表的使用者為基礎,還是以角色為基礎。 AWS 服務 支援以使用者為基礎的授權提供應用程式的管理員控制項,以將存取權指派給使用者或使用者為成員的群組。
AWS 服務 不支援使用者型授權的 會忽略 `sts:identity_context`。CloudTrail 會使用角色採取的所有動作來記錄 IAM Identity Center 使用者的 userId。如需詳細資訊,請參閱[身分增強 IAM 角色工作階段記錄](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)。
若要從 取得這類身分增強型角色工作階段 AWS STS,應用程式會使用 請求參數,在 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html) `ProvidedContexts`請求中提供 `sts:identity_context` 欄位的值。使用 `arn:aws:iam::aws:contextProvider/IdentityCenter`做為 的值`ProviderArn`。
如需授權行為的詳細資訊,請參閱接收的文件 AWS 服務。
### 使用 建立的身分增強 IAM 角色工作階段 `sts:audit_context`
在過去, `sts:audit_context` 用來讓 AWS 服務 記錄使用者身分,而不使用它來做出授權決策。 AWS 服務 現在可以使用單一內容 - `sts:identity_context` - 來達成此目的,以及做出授權決策。我們建議在所有信任身分傳播的新部署`sts:identity_context`中使用 。
## 身分增強 IAM 角色工作階段記錄
AWS 服務 使用身分增強 IAM 角色工作階段向 提出請求時,使用者的 IAM Identity Center `userId`會記錄在 `OnBehalfOf`元素中的 CloudTrail。CloudTrail 中記錄事件的方式會根據 而有所不同 AWS 服務。並非所有 都會 AWS 服務 記錄 `onBehalfOf`元素。
以下是如何使用身分增強型角色工作階段向 AWS 服務 提出的請求在 CloudTrail 中記錄的範例。
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```
# 輪換 IAM Identity Center 憑證
IAM Identity Center 使用憑證來設定 IAM Identity Center 與您應用程式服務提供者之間的 SAML 信任關係。當您在 IAM Identity Center 中新增應用程式時,會自動建立 IAM Identity Center 憑證,以便在設定程序期間與該應用程式搭配使用。根據預設,此自動產生的 IAM Identity Center 憑證有效期為五年。
身為 IAM Identity Center 管理員,有時您需要將較舊的憑證取代為指定應用程式較新的憑證。例如,當憑證上的過期日期接近時,您可能需要取代憑證。使用較新的憑證取代較舊憑證的程序稱為*憑證輪換*。
## 輪換憑證之前的考量事項
在您開始在 IAM Identity Center 中輪換憑證的程序之前,請考慮下列事項:
+ 認證輪換程序需要您重新建立 IAM Identity Center 與服務提供者之間的信任。若要重新建立信任,請使用 中提供的程序[輪換 IAM Identity Center 憑證](rotatecert.md)。
+ 使用服務供應商更新憑證可能會對您的使用者造成暫時性服務中斷,直到成功重新建立信任為止。如果可能,請在尖峰時段仔細規劃此操作。
# 輪換 IAM Identity Center 憑證
輪換 IAM Identity Center 憑證是一個包含下列項目的多步驟程序:
+ 產生新憑證
+ 將新憑證新增至服務提供者的網站
+ 將新憑證設定為作用中
+ 刪除非作用中憑證
依照下列順序使用下列所有程序,以完成指定應用程式的憑證輪換程序。
## 步驟 1:產生新憑證
您產生的新 IAM Identity Center 憑證可以設定為使用下列屬性:
+ **有效期間** – 指定新 IAM Identity Center 憑證過期之前分配的時間 (以月為單位)。
+ **金鑰大小** – 決定金鑰必須搭配其密碼編譯演算法使用的位元數。您可以將此值設定為 1024 位元 RSA 或 2048 位元 RSA。如需金鑰大小如何在密碼編譯中運作的一般資訊,請參閱[金鑰大小](https://en.wikipedia.org/wiki/Key_size)。
+ **演算法** – 指定 IAM Identity Center 在簽署 SAML 聲明/回應時使用的演算法。您可以盡可能使用 SHA-256 將此值設定為 SHA-1 或 SHA-256. AWS recommends,除非您的服務供應商需要 SHA-1。 SHA-256 如需密碼編譯演算法運作方式的一般資訊,請參閱[公有金鑰密碼編譯](https://en.wikipedia.org/wiki/Public-key_cryptography)。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 在應用程式清單中,選擇要產生新憑證的應用程式。
1. 在應用程式詳細資訊頁面上,選擇**組態**索引標籤。在 **IAM Identity Center 中繼資料**下,選擇**管理憑證**。 如果您沒有**組態**索引標籤或組態設定不可用,則不需要輪換此應用程式的憑證。
1. 在 **IAM Identity Center 憑證**頁面上,選擇**產生新憑證**。
1. 在**產生新的 IAM Identity Center 憑證**對話方塊中,指定**有效期間**、**演算法**和**金鑰大小**的適當值。然後選擇**產生**。
## 步驟 2:更新服務供應商的網站
使用下列程序來重新建立與應用程式服務提供者的信任。
**重要**
當您將新憑證上傳到服務提供者時,您的使用者可能無法進行身分驗證。若要修正這種情況,請將新憑證設定為作用中,如下一個步驟所述。
1. 在 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)中,選擇您剛產生新憑證的應用程式。
1. 在應用程式詳細資訊頁面上,選擇**編輯組態**。
1. 選擇**檢視指示**,然後遵循特定應用程式服務供應商網站的指示來新增新產生的憑證。
## 步驟 3:將新憑證設定為作用中
應用程式最多可以指派兩個憑證給它。IAM Identity Center 將使用設定為作用中的憑證來簽署所有 SAML 聲明。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 在應用程式清單中,選擇您的應用程式。
1. 在應用程式詳細資訊頁面上,選擇**組態**索引標籤。在 **IAM Identity Center 中繼資料**下,選擇**管理憑證**。
1. 在 **IAM Identity Center 憑證**頁面上,選取您要設定為作用中的憑證,選擇**動作**,然後選擇**設定為作用中**。
1. 在**將選取的憑證設為作用中**對話方塊中,確認您了解將憑證設定為作用中可能需要您重新建立信任,然後選擇**設為作用中**。
## 步驟 4:刪除舊憑證
使用下列程序來完成應用程式的憑證輪換程序。您只能刪除處於**非作用中**狀態的憑證。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 在應用程式清單中,選擇您的應用程式。
1. 在應用程式詳細資訊頁面上,選取**組態**索引標籤。在 **IAM Identity Center 中繼資料**下,選擇**管理憑證**。
1. 在 **IAM Identity Center 憑證**頁面上,選取您要刪除的憑證。選擇 **Actions (動作)**,然後選擇 **Delete (刪除 VPC)**。
1. 在**刪除憑證**對話方塊中,選擇**刪除**。
# 憑證過期狀態指示燈
在 IAM Identity Center 主控台中,**應用程式**頁面會在每個應用程式的屬性中顯示狀態指示燈圖示。這些圖示會顯示在清單中每個憑證旁的**過期日期**欄中。以下說明 IAM Identity Center 用來判斷每個憑證顯示哪些圖示的條件。
+ **紅色** – 表示憑證目前已過期。
+ **黃色** – 表示憑證將在 90 天內過期。
+ **綠色** – 表示憑證目前有效,且至少會再維持 90 天有效。
**檢查憑證的狀態**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 在應用程式清單中,檢閱清單中憑證的狀態,如 **上的過期**資料欄所示。
# 了解 IAM Identity Center 主控台中的應用程式屬性
在 IAM Identity Center 中,您可以透過設定應用程式啟動 URL、轉送狀態和工作階段持續時間來自訂使用者體驗。
## 應用程式啟動 URL
您將使用應用程式啟動 URL,啟動應用程式的聯合身分流程。通常用於僅支援服務提供者 (SP) 起始繫結的應用程式。
下列步驟和圖表說明當使用者在 AWS 存取入口網站中選擇應用程式時,應用程式啟動 URL 身分驗證工作流程:
1. 使用者的瀏覽器使用應用程式啟動 URL 的值 (本例為 https://example.com) 將身分驗證請求重新導向。
1. 應用程式會將`HTML``POST`具有 的 `SAMLRequest`傳送至 IAM Identity Center。
1. 然後,IAM Identity Center 會將`HTML``POST`具有 `SAMLResponse` 的 傳回應用程式。
![\[圖表顯示應用程式啟動 URL 驗證工作流程:當使用者在 AWS 存取入口網站中選擇應用程式時的步驟。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/app_properties_start_url.png)
## 轉送狀態
進行聯合身分驗證期間,轉送狀態會將應用程式內的使用者重新導向。對於 SAML 2.0,此值將未經修改而傳遞至應用程式。設定應用程式屬性後,IAM Identity Center 會將轉送狀態值與 SAML 回應一起傳送至應用程式。
![\[圖表顯示聯合身分驗證程序:轉送狀態、SAML 2.0、IAM Identity Center、應用程式接收回應。\]](http://docs.aws.amazon.com/zh_tw/singlesignon/latest/userguide/images/app_properties_relay_state.png)
## 工作階段持續時間
工作階段持續時間是應用程式使用者工作階段有效的時間長度。對於 SAML 2.0,這是用來設定 SAML 聲明的元素 `SessionNotOnOrAfter`的日期`saml2:AuthNStatement`。
應用程式可以透過下列其中一種方式解譯工作階段持續時間:
+ 應用程式可以使用它來判斷使用者工作階段允許的最長時間。應用程式可能會產生持續時間較短的使用者工作階段。如果應用程式僅支援持續時間不足於所設定工作階段長度的使用者工作階段,就會發生這種情況。
+ 應用程式將其用於做為確切的持續時間,而且可能不允許管理員設定其值。如果應用程式僅支援特定的工作階段長度,就會發生這種情況。
如需工作階段持續時間使用方式的詳細資訊,請參閱具體應用程式的說明文件。
# 在 IAM Identity Center 主控台中指派使用者對應用程式的存取權
您可以將使用者單一登入存取權指派給應用程式目錄中的 SAML 2.0 應用程式或自訂 SAML 2.0 應用程式。
群組指派的考量事項:
+ **將存取權直接指派給群組。**為了協助簡化存取許可的管理,建議您將存取權直接指派給群組,而非個別使用者。使用 群組,您可以將許可授予或拒絕給使用者群組,而不是將這些許可套用至每個人。如果使用者移至不同的組織,您只需將該使用者移至不同的群組。然後,使用者會自動接收新組織所需的許可。
+ **不支援巢狀群組。**將使用者存取權指派給應用程式時,IAM Identity Center 不支援將使用者新增至巢狀群組。如果使用者新增至巢狀群組,他們可能會在登入期間收到「您沒有任何應用程式」訊息。必須針對使用者為成員的直屬群組進行指派。
**將使用者或群組存取權指派給應用程式**
**重要**
對於 AWS 受管應用程式,您必須直接從相關應用程式主控台或透過 APIs 新增使用者。
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
**注意**
如果您在 中管理使用者 AWS Managed Microsoft AD,請確定 IAM Identity Center 主控台正在使用 AWS Managed Microsoft AD 目錄所在的 AWS 區域,然後再執行下一個步驟。
1. 選擇 **Applications (應用程式)**。
1. 在應用程式清單中,選擇您要為其指派存取權的應用程式名稱。
1. 在應用程式詳細資訊頁面**的指派使用者**區段中,選擇**指派使用者**。
1. 在**指派使用者**對話方塊中,輸入使用者顯示名稱或群組名稱。您可以透過選取出現在搜尋結果中的適用帳戶來指定多個使用者或群組。
1. 選擇 **Assign users (指派使用者)**。
# 移除使用者對 SAML 2.0 應用程式的存取權
使用此程序移除使用者存取應用程式目錄或自訂 SAML 2.0 應用程式中的 SAML 2.0 應用程式。如需身分驗證工作階段和持續時間的詳細資訊,請參閱[了解 IAM Identity Center 中的身分驗證工作階段](authconcept.md)。
**移除使用者對應用程式的存取權**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 在應用程式清單中,選擇您要從中移除使用者存取權的應用程式。
1. 在應用程式詳細資訊頁面**的指派使用者**區段中,選取要移除的使用者或群組,然後選擇**移除存取**按鈕。
1. 在 **Remove access (移除存取)** 對話方塊中,驗證使用者或群組名稱。然後選擇 **Remove access (移除存取)**。
# 將應用程式中的屬性映射至 IAM Identity Center 屬性
某些服務供應商需要自訂 SAML 聲明來傳遞有關使用者登入的其他資料。在這種情況下,請使用下列程序來指定應用程式使用者屬性應如何對應至 IAM Identity Center 中的對應屬性。
**將應用程式屬性映射至 IAM Identity Center 中的屬性**
1. 開啟 [IAM Identity Center 主控台](https://console.aws.amazon.com/singlesignon)。
1. 選擇 **Applications (應用程式)**。
1. 在應用程式清單中,選擇您要對應屬性的應用程式。
1. 在應用程式詳細資訊頁面上,選擇**動作**,然後選擇**編輯屬性映射**。
1. 選擇**新增屬性映射**。
1. 在第一個文字方塊中,輸入應用程式屬性。
1. 在第二個文字方塊中,輸入您要映射至應用程式屬性的 IAM Identity Center 屬性。例如,您可能想要將應用程式屬性映射**Username**至 IAM Identity Center 使用者屬性 **email**。若要查看 IAM Identity Center 中允許的使用者屬性清單,請參閱 中的表格[IAM Identity Center 與外部身分提供者目錄之間的屬性映射](attributemappingsconcept.md)。
1. 在資料表的第三欄中,從選單中選擇屬性的適當格式。
1. 選擇**儲存變更**。