nexus/wiki/concepts/Federated-Access.md

title: "Federated Access" type: concept sources: [ctp-topic-1-gruntwork-landing-zone-architecture, ctp-topic-11-ad-integration-and-login-using-ad-accounts] last_updated: 2026-04-14

Definition

联邦访问（Federated Access）是一种基于身份联合（Identity Federation）的 AWS 身份管理机制。用户通过企业现有身份提供者（如 Active Directory）进行身份验证，由 AD 组自动映射到对应的 IAM 角色，从而获得云平台资源的访问权限，无需在 AWS 中单独创建和管理 IAM 用户。

Key Benefits

• 集中身份管理：使用企业现有 AD，无需在 AWS 中单独管理用户账号
• 自动化权限分配：AD 组 → IAM 角色的映射自动化，人员变动即时生效
• 安全审计：所有访问通过 AD 域控制器统一记录和审计
• 消除凭证共享：避免 IAM Access Key 的分发和管理风险

Architecture

• Identity Provider (IdP)：企业 Active Directory
• AWS IAM Identity Provider：在 AWS 中配置 SAML 2.0 联合身份
• IAM Roles：定义具体权限策略，信任策略允许 IdP 中的特定 AD 组
• AD Groups：在 AD 中维护的组，按职能或项目划分

Workflow

1. 用户在企业网络登录 AD 账户
2. 通过 AWS SSO 或 SAML 联合发起 AWS 控制台或 CLI 访问请求
3. AWS 使用 AD 凭证验证用户身份
4. 根据用户所属 AD 组，分配对应 IAM 角色的临时凭证
5. 凭证自动过期，强制定期重新认证

Related Concepts

• Landing-Zone-Architecture：联邦访问是 Landing Zone 安全账户的核心身份管理机制
• IAM：AWS 身份和访问管理的底层服务
• Active-Directory：企业侧的联合身份提供者

References

• ctp-topic-1-gruntwork-landing-zone-architecture
• ctp-topic-11-ad-integration-and-login-using-ad-accounts
• ctp-topic-5-aws-identity-and-access-management-iam