通过 IAM Identity Center 管理对多个账户的访问时,AWS 访问门户为这些账户中的每个可用角色/权限集提供可单击的链接。但是,控制台始终加载到主页。有没有办法构建一个“深层链接”URL,以便单击它的(授权)用户将:
我知道可以为给定的 PermissionSet设置中继状态,但这还不够,因为我可能希望给定的用户从不同的链接重定向到不同的位置 - 也就是说,我希望在单击的内容中对目的地进行编码URL,不在 PermissionSet 的元数据中。为每个可能的目的地创建不同的 PermissionSet 是不切实际的。
这个博客似乎准确地描述了我想要实现的目标,但它对我不起作用 - 按照说明,我:
RPID=(url-encoded string of urn:amazon:webservices)&RelayState=(url-encoded destination url)?RelayState=)附加到我的 Access Portal 提供的一键登录然而,生成的 URL 只是让我登录并将我置于主页上,而没有任何重定向。
遗憾的是,该文章的所有链接似乎都已损坏。我还找到了这个页面,并尝试使用它来生成深层链接 - 再次,不走运,我刚刚登录到主页。
我确实注意到我的登录网址与示例不同 - 它们看起来像https://<domain>/adfs/ls/idpinitiatedsignon.aspx,而我的登录网址看起来像https://<internal-string>.awsapps.com/start/#/saml/custom/AAA/BBB,其中:
AAA是 url 编码的字符串account-number (account-nickname)BBB是一些引用主AWS帐户的base64编码数据的url编码,后跟两个我无法放置的(下划线分隔的)标识符 - 一个是 form ins-[alphanumerics],另一个是 formp-[alphanumerics]这是否意味着我的 ADFS 的配置与此功能预期的不同?还有办法实现我想要的吗?
编辑:我的网络管理员通知我,我们在内部使用 Azure AD,而不是 ADFS,这可能是 URL 格式不同的原因。
amazon-web-services amazon-iam aws-sso aws-iam-identity-center
我有一个高度多帐户的环境,并且为每个帐户分配了多个权限集的用户。
例如,Bob 对于测试和生产帐户都具有管理员帐户和只读帐户。假设我只想删除 Bob 对 Prod 帐户的管理员访问权限,但保留他的只读权限,并保留管理员和只读权限集不变(因为 Alice 仍然是 Prod 中的管理员)。
如何在 IAM 身份中心执行此操作?唯一的选择似乎是删除权限集或禁用/删除用户。我不知道如何删除特定帐户的用户权限集。
amazon-web-services amazon-iam aws-sso aws-iam-identity-center
我想要启用 IAM Identity Center 并为现有 AWS 账户配置外部 IdP。此 AWS 账户已有使用 IAM 创建的用户。
这些用户会发生什么?
我特别担心我的应用程序使用的用户,例如访问 S3 存储桶。他们没有密码,只有访问密钥和秘密。配置外部 IdP 后,这些用户的密钥是否可以使用?
谢谢
amazon-web-services amazon-iam aws-sso aws-iam-identity-center