使用 SAML2 登录 AWS 中国区控制台

AWS 中国区和国际区的配置稍有不同，本文讲述使用 SAML2 IdP 登录 AWS 中国区控制台的相关配置。

准备工作

如果你还没有 账号，请先注册 (​​)一个 账号、新建一个用户池并创建一个应用。

配置 SAML2 IdP

进入控制台 > 应用 > 应用列表，找到你的应用，点击「配置」。

点击「配置 SAML2 身份提供商」，打开「启用 SAML2 」开关，下方的默认 ACS 地址填写：​​​​。

设置内容请粘贴以下内容：

{"audience": "https://signin.amazonaws.cn/saml","recipient": "https://signin.amazonaws.cn/saml","destination": "https://signin.amazonaws.cn/saml","mappings": {"email": "https://aws.amazon.com/SAML/Attributes/RoleSessionName"},"digestAlgorithm": "http://www.w3.org/2000/09/xmldsig#sha1","signatureAlgorithm": "http://www.w3.org/2000/09/xmldsig#rsa-sha1","authnContextClassRef": "urn:oasis:names:tc:SAML:2.0:ac:classes:unspecified","lifetimeInSeconds": 3600,"signResponse": false,"nameIdentifierFormat": "urn:oasis:names:tc:SAML:1.1:nameid-format:emailAddress","samlRequestSigningCert": ""
}

最下方的自定义 SAML 属性添加一条，Name 属性为：​​​​，类型选择 ​Uri​，值按照此格式填写 ​arn:aws-cn:iam:::role/,arn:aws-cn:iam:::saml-/​。点击「保存」。

可以先随意填写上面的 ​​、​​ 和 ​​，等配置完 AWS IAM 控制台之后再来修改。

最后下载 SAML2 的元数据文档：

/

配置 AWS IAM 控制台

登录 AWS IAM 控制台 (opens new )，进入访问管理 > 身份提供商，点击「创建提供商」。

选择 SAML，填写提供商名称，上传刚刚下载的元数据文档，然后点击「下一步」。

点击「创建」。

创建成功后，进入访问管理 > 角色，点击「创建角色」。

选择 SAML2.0 身份联合，在 SAML 提供商选择刚刚创建的 SAML 提供商，这里选择 ，选择允许编程访问和 AWS 管理控制台访问，然后点击「下一步」。

赋予角色权限，本文选择最高权限 ，然后点击「下一步」。

点击「下一步」。

填写一个角色名称，记录下面的身份提供商 arn，然后点击「创建角色」。