1.9 KiB
1.9 KiB
title: "Federated Access" type: concept sources: [ctp-topic-1-gruntwork-landing-zone-architecture, ctp-topic-11-ad-integration-and-login-using-ad-accounts] last_updated: 2026-04-14
Definition
联邦访问(Federated Access)是一种基于身份联合(Identity Federation)的 AWS 身份管理机制。用户通过企业现有身份提供者(如 Active Directory)进行身份验证,由 AD 组自动映射到对应的 IAM 角色,从而获得云平台资源的访问权限,无需在 AWS 中单独创建和管理 IAM 用户。
Key Benefits
- 集中身份管理:使用企业现有 AD,无需在 AWS 中单独管理用户账号
- 自动化权限分配:AD 组 → IAM 角色的映射自动化,人员变动即时生效
- 安全审计:所有访问通过 AD 域控制器统一记录和审计
- 消除凭证共享:避免 IAM Access Key 的分发和管理风险
Architecture
- Identity Provider (IdP):企业 Active Directory
- AWS IAM Identity Provider:在 AWS 中配置 SAML 2.0 联合身份
- IAM Roles:定义具体权限策略,信任策略允许 IdP 中的特定 AD 组
- AD Groups:在 AD 中维护的组,按职能或项目划分
Workflow
- 用户在企业网络登录 AD 账户
- 通过 AWS SSO 或 SAML 联合发起 AWS 控制台或 CLI 访问请求
- AWS 使用 AD 凭证验证用户身份
- 根据用户所属 AD 组,分配对应 IAM 角色的临时凭证
- 凭证自动过期,强制定期重新认证
Related Concepts
- Landing-Zone-Architecture:联邦访问是 Landing Zone 安全账户的核心身份管理机制
- IAM:AWS 身份和访问管理的底层服务
- Active-Directory:企业侧的联合身份提供者