AWS 联合身份验证和 AWS 组织

Question

我对 AWS 中的联合身份有些困惑。主要是关于在使用 AWS 组织时联合如何工作。

因此，据我所知，可以使用 SSO 之类的杠杆，然后将 SSO 用作 IdP，然后通过 SAML2.0（仍然需要真正了解其工作原理）提供对 AWS 控制台的访问，让说。

但是，如果我使用某种 AWS 组织，这如何工作？

假设我有一个组织，并且该组织有一个帐户负责管理整个组织的安全。将在该帐户中启用 Security Hub 等服务。

我如何能够通过 SSO 为某些通过 SSO 登录的特定用户提供对该帐户的访问权限？

并不是在寻找一个直接的答案，而是或多或少是关于我应该研究什么来实现这一目标的方向，以及这些事情是否可以自动化到一定程度。

Answer 1

1. 您说得对，您可以使用 AWS SSO 作为 IdP 来联合您的 AWS 账户（AWS 控制台以及 AWS CLIv2）。
2. 为了使用 AWS SSO，您必须已经在使用 AWS Organizations，请参阅https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-accounts.html：“AWS Single Sign-On 与 AWS Organizations 集成，以便管理员可以选择用户需要单点登录的多个 AWS 账户- 对 AWS 管理控制台的 (SSO) 访问。”
3. 至于您如何提供对您指定为委派管理员账户的 Security Hub 账户的访问权限，它与任何其他 AWS SSO 用户相同。您将创建一个用户，然后可能将其分配给一个组。然后创建一个权限集。然后转到 Security Hub 帐户，将用户或组分配给该帐户，同时选择在联合到该帐户时为该用户/组设置的权限。

完成上述操作后，您将能够立即通过您的用户或组将 SSO 登录到该帐户 - 非常简单。