40 lines
1.9 KiB
Markdown
40 lines
1.9 KiB
Markdown
---
|
||
---
|
||
title: "Federated Access"
|
||
type: concept
|
||
sources: [ctp-topic-1-gruntwork-landing-zone-architecture, ctp-topic-11-ad-integration-and-login-using-ad-accounts]
|
||
last_updated: 2026-04-14
|
||
---
|
||
|
||
## Definition
|
||
联邦访问(Federated Access)是一种基于身份联合(Identity Federation)的 AWS 身份管理机制。用户通过企业现有身份提供者(如 Active Directory)进行身份验证,由 AD 组自动映射到对应的 IAM 角色,从而获得云平台资源的访问权限,无需在 AWS 中单独创建和管理 IAM 用户。
|
||
|
||
## Key Benefits
|
||
- **集中身份管理**:使用企业现有 AD,无需在 AWS 中单独管理用户账号
|
||
- **自动化权限分配**:AD 组 → IAM 角色的映射自动化,人员变动即时生效
|
||
- **安全审计**:所有访问通过 AD 域控制器统一记录和审计
|
||
- **消除凭证共享**:避免 IAM Access Key 的分发和管理风险
|
||
|
||
## Architecture
|
||
- **Identity Provider (IdP)**:企业 Active Directory
|
||
- **AWS IAM Identity Provider**:在 AWS 中配置 SAML 2.0 联合身份
|
||
- **IAM Roles**:定义具体权限策略,信任策略允许 IdP 中的特定 AD 组
|
||
- **AD Groups**:在 AD 中维护的组,按职能或项目划分
|
||
|
||
## Workflow
|
||
1. 用户在企业网络登录 AD 账户
|
||
2. 通过 AWS SSO 或 SAML 联合发起 AWS 控制台或 CLI 访问请求
|
||
3. AWS 使用 AD 凭证验证用户身份
|
||
4. 根据用户所属 AD 组,分配对应 IAM 角色的临时凭证
|
||
5. 凭证自动过期,强制定期重新认证
|
||
|
||
## Related Concepts
|
||
- [[Landing-Zone-Architecture]]:联邦访问是 Landing Zone 安全账户的核心身份管理机制
|
||
- [[IAM]]:AWS 身份和访问管理的底层服务
|
||
- [[Active-Directory]]:企业侧的联合身份提供者
|
||
|
||
## References
|
||
- [[ctp-topic-1-gruntwork-landing-zone-architecture]]
|
||
- [[ctp-topic-11-ad-integration-and-login-using-ad-accounts]]
|
||
- [[ctp-topic-5-aws-identity-and-access-management-iam]]
|