你的AWS帐户需要妥善保护,这不仅是为了保护客户数据,同时也是为了增强应用程序的可用性。对于生产环境中的工作负载这一点尤为重要,我们需要完全确信谁能访问每个账户,可以获得何种级别的权限,并能从整个组织层面上管理用户,而不用分别管理每个系统。
无论配置了多少策略和流程,最终总会有人分享自己本不应分享的帐户或安全密钥!通过配合使用SAML Identity Provider和Active Directory则可以有效解决这个问题!
虽然我们已经可以通过一些预配置的选项,例如使用AWS SSO作为SAML提供程序,但这种做法依然需要使用AD Connector将AD扩展到AWS,使其成为AWS Directory Services的一部分,这也意味着我们需要实施VPN或Direct Connect,但这并非始终都是最适合的方法,有时候甚至根本不可行!就算我们将AD扩展到AWS,也无法直接实现AWS SSO,我们还需要使用ADFS构建自己的解决方案。
为了构建这样的解决方案,我们需要使用多种组件:
- Active Directory
- ADFS
- 一个或多个AWS帐户
理论
我打算从较高层面介绍这些组件如何协同工作,因为这其中涉及很多组件和依赖项。