---
title: "联合访问"
type: concept
tags: [AWS, IAM, Federation, Security]
date: 2026-04-19
---

## Definition
联合访问是通过外部身份提供商（如 Active Directory）映射 IAM 角色实现 AWS 访问的方式。

## Core Concept
> "Federated users log in via their organization's AD, which maps to an IAM role."

联合用户通过组织的 AD 登录，AD 组映射到 IAM 角色，角色授予相应的 AWS 访问权限。

## Workflow
1. 用户通过 AD 凭证登录
2. AD 组映射到 IAM 角色
3. 用户 assum 角色获取临时 AWS 凭证
4. 通过 CLI 工具（如 PFSSO）访问 AWS

## Components
- **Active Directory**：外部身份提供商
- **AD 组**：映射到 IAM 角色的组
- **IAM 角色**：接收 AD 映射的角色
- **PFSSO**：命令行联合访问工具

## Why Federation
- 集中管理用户身份（无需单独管理 IAM 用户）
- 员工离职后自动失去访问权限
- 单一登录入口

## Best Practice
Federation 是用户管理的首选方法，IAM 用户仅用于服务账号。

## Related Concepts
- [[IAM-角色]]: 联合访问的目标角色
- [[PFSSO]]: 命令行联合访问工具
- [[Active-Directory]]: 外部身份提供商

## Connections
- [[AD]] ← maps_to_role ← [[IAM-角色]]
- [[联合访问]] ← requires ← [[PFSSO]]