amazon-web-services - 如何使用 AWS Control Tower，但忽略 AWS SSO 功能而支持自定义 ADFS 方法？

Question

目标：使用除AWS SSO 之外的所有 AWS Control Tower 功能，因为与我合作的组织目前不想更改身份管理和单点登录的任何方面。

目前，该组织在其数据中心中使用 ADFS 进行 SSO 和 MFA，并具有一些自动化和流程来使用该身份解决方案设置新的 AWS 账户。

我不在乎这种与 ADFS 的集成是否会在创建新帐户时触发自动运行，因为该组织还没有达到那种级别的身份自动化，并且目标不是改变它。

如果您需要更自定义的方法，AWS Control Tower 常见问题解答建议使用 Landing Zones 解决方案而不是Control Tower：

虽然 Control Tower 使用预配置的蓝图（例如，用于目录和访问的 AWS SSO）自动创建新的登陆区，但 AWS Landing Zone 解决方案通过自定义插件（例如， 、Active Directory、Okta Directory）以及通过代码部署和配置管道进行的持续修改。

登陆区方法的 CloudFormation 模板和指南在这里：

• CloudFormation 登陆区启动模板： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-initiation.template
• AWS 登陆区开发人员指南： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-developer-guide.pdf
• AWS 登陆区实施指南： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-implementation-guide.pdf
• AWS 登陆区用户指南： https ://s3.amazonaws.com/solutions-reference/aws-landing-zone/latest/aws-landing-zone-user-guide.pdf

但我想要这一切：控制塔的易用性和使用自定义身份方法。此外，该组织使用 Terraform，因此我不想介绍一堆 CloudFormation 模板，而且 AWS Terraform Landing Zone Accelerator (TLZ)尽管已在一年多前宣布，但尚未发布。

AWS Control Tower 的 Account Factory 要求您输入 AWS SSO 电子邮件地址，因此似乎无法绕过 AWS SSO 的某些使用，至少在初始设置或“帐户注册”期间是这样：

另一个方面：由于组织使用 ADFS 进入 AWS，我无法通过切换角色访问由 AWS Control Tower 创建的帐户AWSControlTowerExecution，因为我已通过以下方式登录到 Control Tower（主）帐户联邦。

（AWSControlTowerExecution角色信任关系中的委托人是主帐号。当您通过联合身份验证时，AWS 不会将您的委托人视为您已联合到的帐户的一部分，因此该AWSControlTowerExecution角色不信任我，联合用户，可以这么说。）

Answer 1

您可以使用 AWS SSO 作为 Control Tower 默认值，包括 AWS SSO，使用 SSO 用户进入新账户并配置 ADFS，然后通过 AWS 服务控制策略 (SCP) 使 SSO 用户无用。

因此，在 Account Factory 中，按照要求输入 SSO 字段的电子邮件地址和名称。

正如您所提到的，ControlTower 会自动在每个新帐户中创建一个角色，主帐户中的管理员无需额外配置即可切换到该角色。

但是，由于您是通过联合身份进入主账户的，因此您可以通过接受通过电子邮件收到的 SSO 邀请来进入新账户。

这将要求您创建一个密码，然后通过您可以在 Control Tower > 用户和访问 > 用户门户 URL 中找到的链接登录。

通过该 AWS SSO 登录进入新创建的账户后，您可以使用组织的流程设置 ADFS。

一旦您确认 ADFS 集成有效并且您可以通过 ADFS 进入新账户，您可以通过添加以下 SCP 来拒绝您在账户设置期间使用的占位符 AWS SSO 用户的所有操作：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "DenyAWSSSOUser",
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringLike": {
                    "aws:PrincipalArn": [
                        "*AWSReservedSSO*"
                    ]
                }​​​​​​
            }​​​​​​
        }​​​​​​
    ]
}​​​​​​

SSO 用户仍然可以登录到该帐户，但无法执行或查看任何内容。

但是，为了简化此操作，您可能需要等到所有帐户都已创建后再添加此 SCP。这样，您可以首先在 AWS Organizations 中为新账户创建 OU，然后将新账户移动到该 OU，最后将此 SCP 应用于整个 OU。

此 SCP 附件没有锁定您的风险，因为作为备份/紧急访问，您仍然可以在主账户中创建 IAM 用户并将角色切换到 Control Tower 创建的账户。