27 lines
1.0 KiB
Markdown
27 lines
1.0 KiB
Markdown
---
|
||
title: "Federated User"
|
||
type: concept
|
||
tags:
|
||
- aws
|
||
- security
|
||
- identity
|
||
sources: [ctp-topic-1-gruntwork-landing-zone-architecture]
|
||
last_updated: 2026-04-18
|
||
---
|
||
|
||
## Summary
|
||
通过 AD 组映射到 IAM 角色的联邦身份访问机制,替代传统 IAM 用户实现安全账户管理。
|
||
|
||
## Definition
|
||
Federated User(联邦用户)是基于身份提供商(IdP)的访问方式,用户通过企业 Active Directory(AD)进行身份验证,然后通过 SAML 或 OIDC 映射到 AWS IAM 角色获取访问权限。
|
||
|
||
## Advantages
|
||
- **集中管理**:用户凭据由企业 AD 集中管理,无需在 AWS 中单独创建 IAM 用户
|
||
- **自动生命周期**:员工离职后自动失去 AWS 访问权限
|
||
- **最小权限原则**:通过 AD 组精确控制用户获得的 IAM 角色和权限
|
||
- **审计合规**:所有访问通过企业身份系统记录和审计
|
||
|
||
## Connections
|
||
- [[IAM]] ← accepts ← [[Federated-User]]
|
||
- [[Active-Directory]] ← authenticates ← [[Federated-User]]
|
||
- [[Gruntwork-Landing-Zone]] ← uses ← [[Federated-User]] |