Federazione con il Centro identità IAM Federazione con IAM Federazione con pool di identità Amazon Cognito Risorse aggiuntive

Provider di identità e federazione

Come best practice, si consiglia di richiedere agli utenti di utilizzare la federazione con un provider di identità per accedere alle risorse AWS invece di creare singoli utenti IAM nell'Account AWS. I gestori dell'identità digitale (IdP) ti permettono di gestire le identità degli utenti al di fuori di AWS e di fornire a tali identità le autorizzazioni per utilizzare le risorse AWS del tuo account. Questa funzione è utile se la tua organizzazione dispone già di un proprio sistema di gestione delle identità, come ad esempio una directory aziendale degli utenti. Risulta utile anche quando devi creare un'app per dispositivi mobili o un'applicazione Web che richieda l'accesso alle risorse AWS.

Nota

Consigliamo inoltre di gestire gli utenti nel Centro identità IAM con un provider di identità SAML esterno anziché utilizzare la federazione SAML in IAM. La federazione del Centro identità IAM con un provider di identità ti offre la possibilità di consentire alle persone di accedere a più account AWS nella tua organizzazione e a più applicazioni AWS. Per informazioni su situazioni specifiche in cui è richiesto un utente IAM, consulta la sezione Quando creare un utente IAM invece di un ruolo.

Se preferisci utilizzare un unico account AWS senza abilitare il Centro identità IAM, puoi utilizzare IAM con un IdP esterno che fornisce informazioni sull'identità ad AWS utilizzando OpenID Connect (OIDC) oppure SAML 2.0 (Security Assertion Markup Language 2.0). OIDC collega applicazioni, come GitHub Actions, che non funzionano su risorse AWS a AWS. Tra i gestori dell'identità digitale SAML noti figurano Shibboleth e Active Directory Federation Services.

Quando utilizzi un provider di identità, non devi creare un codice di accesso personalizzato né gestire le tue identità utente. Tale operazione viene eseguita dall'IdP. Gli utenti esterni effettuano l'accesso attraverso un gestore dell'identità digitale e puoi assegnare a tali identità esterne le autorizzazioni per utilizzare le risorse AWS del tuo account. I gestori dell'identità digitale contribuiscono alla sicurezza dell'Account AWS perché in questo modo puoi evitare di distribuire o integrare credenziali di sicurezza a lungo termine (come le chiavi di accesso) nella tua applicazione.

Consulta la tabella seguente per determinare quale tipo di federazione IAM è il migliore per il tuo caso d'uso: IAM, Centro identità IAM o Amazon Cognito. I riepiloghi e la tabella seguenti forniscono una panoramica dei metodi che gli utenti possono utilizzare per ottenere l'accesso federato alle risorse AWS.

Tipo di federazione IAM	Tipo di account	Gestione degli accessi di...	Origine di identità supportata
Federazione con il Centro identità IAM	Più account gestiti da AWS Organizations	Utenti umani della forza lavoro	SAML 2.0 Active Directory gestita Directory del Centro identità
Federazione con IAM	Singolo account autonomo	Utenti umani impegnati in implementazioni a breve termine su piccola scala Utenti di macchine	SAML 2.0 OIDC
Federazione con pool di identità Amazon Cognito	Qualsiasi	Utenti di app che richiedono l'autorizzazione IAM per accedere alle risorse	SAML 2.0 OIDC Selezionare un gestore di identità digitali social OAuth 2.0

Federazione con il Centro identità IAM

Per una gestione centralizzata degli accessi degli utenti umani, consigliamo di utilizzare Centro identità IAM per gestire l'accesso ai tuoi account e le autorizzazioni all'interno di questi account. Agli utenti del Centro identità IAM vengono concesse credenziali a breve termine per le risorse AWS. Puoi utilizzare Active Directory, un gestore dell'identità digitale esterno, o una directory del Centro identità IAM come origine di identità per utenti e gruppi per assegnare l'accesso alle tue risorse AWS.

Il Centro identità IAM supporta la federazione delle identità con SAML (Security Assertion Markup Language) 2.0 per fornire l'accesso single sign-on federato agli utenti autorizzati a utilizzare le applicazioni all'interno del portale di accesso ad AWS. Gli utenti possono quindi eseguire l'accesso single sign-on ai servizi che supportano SAML, tra cui la Console di gestione AWS e le applicazioni di terze parti, come Microsoft 365, SAP Concur e Salesforce.

Federazione con IAM

Anche se consigliamo vivamente di gestire gli utenti umani nel Centro identità IAM, è possibile abilitare l'accesso ai principali federati con IAM per gli utenti umani impegnati in implementazioni a breve termine su piccola scala. IAM consente di utilizzare gestori dell'identità digitale SAML 2.0 e Open ID Connect (OIDC) separati e di utilizzare attributi per i principali federati al fine di controllare gli accessi. Con IAM, è possibile trasferire gli attributi utente, come centro di costo, titolo o lingua, dai tuoi gestori di identità digitale ad AWS e implementare autorizzazioni di accesso granulari basate su questi attributi.

Un carico di lavoro è una raccolta di risorse e codice che fornisce valore aziendale, ad esempio un'applicazione o un processo di backend. Il carico di lavoro può richiedere un'identità IAM per effettuare richieste a servizi, applicazioni, strumenti operativi e componenti AWS. Queste identità includono macchine in esecuzione nei tuoi ambienti AWS, ad esempio le istanze Amazon EC2 o le funzioni AWS Lambda.

Puoi anche gestire identità computer per soggetti esterni che necessitano di accesso. Per concedere l'accesso alle identità computer, puoi utilizzare i ruoli IAM. I ruoli IAM dispongono di autorizzazioni specifiche e forniscono un modo per accedere a AWS affidandosi a credenziali di sicurezza temporanee con una sessione di ruolo. Inoltre, potresti avere computer al di fuori di AWS che hanno bisogno di accedere ai tuoi ambienti AWS. Per computer che funzionano al di fuori di AWS è possibile utilizzare IAM Roles Anywhere. Per ulteriori informazioni sui ruoli, consulta Ruoli IAM. Per informazioni su come utilizzare i ruoli per delegare l'accesso su Account AWS, consulta Tutorial IAM: Delega dell'accesso tra account AWS tramite i ruoli IAM.

Per collegare un gestore dell'identità digitale a IAM, devi creare un'entità del gestore di identità per stabilire una relazione di attendibilità tra l'Account AWS e il gestore. IAM supporta i gestori dell'identità digitale compatibili con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0). Per ulteriori informazioni sull'utilizzo dei gestori dell'identità digitale con AWS, consulta le sezioni seguenti:

Federazione con pool di identità Amazon Cognito

Amazon Cognito è progettato per gli sviluppatori che desiderano autenticare e autorizzare gli utenti nelle proprie app mobili e Web. I pool di utenti di Amazon Cognito aggiungono funzionalità di accesso e registrazione all'app e i pool di identità forniscono credenziali IAM che consentono agli utenti di accedere alle risorse protette gestite in AWS. I pool di identità acquisiscono le credenziali per le sessioni temporanee tramite il funzionamento dell'operazione API AssumeRoleWithWebIdentity.

Amazon Cognito funziona con gestori dell'identità digitale esterni che supportano SAML e OpenID Connect e con gestori di identità social come Facebook, Google e Amazon. L'app può far effettuare l'accesso a un utente con un pool di utenti o un gestore dell'identità digitale esterno e recuperare in seguito le risorse per suo conto con sessioni temporanee personalizzate con un ruolo IAM.

Risorse aggiuntive

Per una dimostrazione su come creare un proxy di federazione personalizzato che abilita Single Sign-On (SSO) nella Console di gestione AWStramite il sistema di autenticazione dell'organizzazione, consulta Abilitare l'accesso personalizzato del gestore di identità alla console AWS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Usare profili dell'istanza

Scenari comuni