Auto-sync: 2026-04-19 14:51

2026-04-19 14:51:38 +08:00
parent 5ee507c33a
commit fc0dde291f
103 changed files with 3687 additions and 12 deletions
--- a/wiki/concepts/联合访问.md
+++ b/wiki/concepts/联合访问.md
@@ -0,0 +1,43 @@
+---
+title: "联合访问"
+type: concept
+tags: [AWS, IAM, Federation, Security]
+date: 2026-04-19
+---
+
+## Definition
+联合访问是通过外部身份提供商（如 Active Directory）映射 IAM 角色实现 AWS 访问的方式。
+
+## Core Concept
+> "Federated users log in via their organization's AD, which maps to an IAM role."
+
+联合用户通过组织的 AD 登录，AD 组映射到 IAM 角色，角色授予相应的 AWS 访问权限。
+
+## Workflow
+1. 用户通过 AD 凭证登录
+2. AD 组映射到 IAM 角色
+3. 用户 assum 角色获取临时 AWS 凭证
+4. 通过 CLI 工具（如 PFSSO）访问 AWS
+
+## Components
+- **Active Directory**：外部身份提供商
+- **AD 组**：映射到 IAM 角色的组
+- **IAM 角色**：接收 AD 映射的角色
+- **PFSSO**：命令行联合访问工具
+
+## Why Federation
+- 集中管理用户身份（无需单独管理 IAM 用户）
+- 员工离职后自动失去访问权限
+- 单一登录入口
+
+## Best Practice
+Federation 是用户管理的首选方法，IAM 用户仅用于服务账号。
+
+## Related Concepts
+- [[IAM-角色]]: 联合访问的目标角色
+- [[PFSSO]]: 命令行联合访问工具
+- [[Active-Directory]]: 外部身份提供商
+
+## Connections
+- [[AD]] ← maps_to_role ← [[IAM-角色]]
+- [[联合访问]] ← requires ← [[PFSSO]]