IAM Identity Center 现在支持客户管理型应用程序以编程方式访问 AWS 账户

发布于: 2026年6月30日

IAM Identity Center 现在支持客户管理型应用程序代表其用户以编程方式访问 AWS 账户,包括发现分配给用户的账户和角色,以及检索访问 AWS 账户所需的临时凭证。

如果您拥有一个客户管理型应用程序,该应用程序通过外部身份提供者(IdP)对用户进行身份验证,则可以在 IAM Identity Center 中将该 IdP 配置为可信令牌颁发者(TTI)。此次发布后,您现在可以启用此应用程序的 AWS 账户访问权限。 已经通过 IdP 登录的用户无需单独的身份验证流程,即可访问其分配的 AWS 账户,并为其授权的角色获取临时安全凭证。 这消除了冗余的登录提示,此前即使用户已通过外部身份提供者登录,仍需重新进行身份验证。

此功能适用于 IAM Identity Center 的组织实例。IAM Identity Center 管理员必须明确为每个客户管理型应用程序启用 AWS 账户访问权限。只有管理账户管理员或委派管理员才能启用此功能,从而确保集中管理哪些应用程序可以访问账户级资源。

这一功能已在所有 AWS 商业区域、AWS GovCloud(美国)区域和中国区域推出。要开始使用,请导航到 IAM Identity Center 控制台,选择您的客户管理型应用程序,然后启用 AWS 账户访问权限。有关更多信息,请参阅《IAM Identity Center 用户指南》中的为客户管理型应用程序启用 AWS 账户访问权限