爲什麼aws會假設角色與saml需要角色和主體？

Question

任何人都可以解釋爲什麼操作假定-saml需要一些已經在saml-assertion中的參數，比如role-arn和principal-arn？

Answer 1

經過一番研究，我能回答的問題。我在問爲什麼發送--role-arn參數，如果它已經在saml斷言中。事實上，saml斷言可以有多個角色，所以在api請求中有必要確定應該假設哪個角色。我在this link

找到答案

Answer 2

亞馬遜的文檔assume-role-with-saml提供的信息：

• 的--role-arn串選項識別呼叫者是假設的作用。
• --principal-arn字符串選項需要仔細閱讀。亞馬遜表示

  亞馬遜資源名稱在AWS IAM的SAML提供商描述IdP的（ARN）。

後者的解釋是給前幾段：

之前您的應用程序可以調用承擔角色與 - SAML，您必須配置SAML身份提供者（IdP）發出要求索賠由AWS提供。

同一頁面提供了一個鏈接Using Identity Providers，這也解釋術語：

使用身份提供商，您可以管理AWS以外的用戶身份，你可以給這些外部用戶身份權限在您的帳戶中使用AWS資源。

也就是說，您可以使用--principal-arn選項將外部用戶身份與角色相關聯。 --role-arn選項並非真的可選，而是必需的參數。

saml-assertion（--saml-assertion字符串）選項）是可用於檢查權限的附加「膠水」。繼此選項的說明中的鏈接以Configuring a Relying Party and Adding Claims，亞馬遜表示

您還需要在您的IDP與AWS創建適當的要求規則依賴方。這些規則將有關組織中用戶和組的信息映射到相應的SAML屬性。這使您可以確保來自IdP的SAML身份驗證響應（斷言）包含AWS在IAM策略中用於檢查聯合用戶權限的必要屬性。

，反過來，鏈接到描述斷言一個頁面：Configure Assertions for the SAML Authentication Response