1.3 KiB
1.3 KiB
title, type, tags, date
| title | type | tags | date | ||||
|---|---|---|---|---|---|---|---|
| 联合访问 | concept |
|
2026-04-19 |
Definition
联合访问是通过外部身份提供商(如 Active Directory)映射 IAM 角色实现 AWS 访问的方式。
Core Concept
"Federated users log in via their organization's AD, which maps to an IAM role."
联合用户通过组织的 AD 登录,AD 组映射到 IAM 角色,角色授予相应的 AWS 访问权限。
Workflow
- 用户通过 AD 凭证登录
- AD 组映射到 IAM 角色
- 用户 assum 角色获取临时 AWS 凭证
- 通过 CLI 工具(如 PFSSO)访问 AWS
Components
- Active Directory:外部身份提供商
- AD 组:映射到 IAM 角色的组
- IAM 角色:接收 AD 映射的角色
- PFSSO:命令行联合访问工具
Why Federation
- 集中管理用户身份(无需单独管理 IAM 用户)
- 员工离职后自动失去访问权限
- 单一登录入口
Best Practice
Federation 是用户管理的首选方法,IAM 用户仅用于服务账号。
Related Concepts
- IAM-角色: 联合访问的目标角色
- PFSSO: 命令行联合访问工具
- Active-Directory: 外部身份提供商