---
---
title: "Federated Access"
type: concept
sources: [ctp-topic-1-gruntwork-landing-zone-architecture, ctp-topic-11-ad-integration-and-login-using-ad-accounts]
last_updated: 2026-04-14
---

## Definition
联邦访问（Federated Access）是一种基于身份联合（Identity Federation）的 AWS 身份管理机制。用户通过企业现有身份提供者（如 Active Directory）进行身份验证，由 AD 组自动映射到对应的 IAM 角色，从而获得云平台资源的访问权限，无需在 AWS 中单独创建和管理 IAM 用户。

## Key Benefits
- **集中身份管理**：使用企业现有 AD，无需在 AWS 中单独管理用户账号
- **自动化权限分配**：AD 组 → IAM 角色的映射自动化，人员变动即时生效
- **安全审计**：所有访问通过 AD 域控制器统一记录和审计
- **消除凭证共享**：避免 IAM Access Key 的分发和管理风险

## Architecture
- **Identity Provider (IdP)**：企业 Active Directory
- **AWS IAM Identity Provider**：在 AWS 中配置 SAML 2.0 联合身份
- **IAM Roles**：定义具体权限策略，信任策略允许 IdP 中的特定 AD 组
- **AD Groups**：在 AD 中维护的组，按职能或项目划分

## Workflow
1. 用户在企业网络登录 AD 账户
2. 通过 AWS SSO 或 SAML 联合发起 AWS 控制台或 CLI 访问请求
3. AWS 使用 AD 凭证验证用户身份
4. 根据用户所属 AD 组，分配对应 IAM 角色的临时凭证
5. 凭证自动过期，强制定期重新认证

## Related Concepts
- [[Landing-Zone-Architecture]]：联邦访问是 Landing Zone 安全账户的核心身份管理机制
- [[IAM]]：AWS 身份和访问管理的底层服务
- [[Active-Directory]]：企业侧的联合身份提供者

## References
- [[ctp-topic-1-gruntwork-landing-zone-architecture]]
- [[ctp-topic-11-ad-integration-and-login-using-ad-accounts]]
- [[ctp-topic-5-aws-identity-and-access-management-iam]]