Identitätsanbieter und Verbund - AWS Identitäts- und Zugriffsverwaltung
Verbund mit IAM Identity CenterVerbund mit IAMVerwenden von Amazon Cognito Sync mit IdentitätspoolsWeitere Ressourcen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitätsanbieter und Verbund

Als bewährte Methode empfehlen wir, dass menschliche Benutzer für den Zugriff auf AWS Ressourcen einen Verbund mit einem Identitätsanbieter verwenden müssen, anstatt einzelne IAM-Benutzer in Ihrem System zu erstellen. AWS-Konto Mit einem Identitätsanbieter (IdP) können Sie Ihre Benutzeridentitäten außerhalb von verwalten AWS und diesen externen Benutzeridentitäten Berechtigungen zur Nutzung von AWS Ressourcen in Ihrem Konto erteilen. Dies ist hilfreich, wenn Sie in Ihrer Organisation bereits ein eigenes Identitätssystem wie ein unternehmensweites Benutzerverzeichnis verwenden. Dies ist auch nützlich, wenn Sie eine mobile App oder Webanwendung erstellen, für die Zugriff auf Ressourcen erforderlich ist. AWS

Anmerkung

Sie können menschliche Benutzer im IAM Identity Center auch mit einem externen SAML-Identitätsanbieter verwalten, anstatt den SAML-Verbund in IAM zu verwenden. Der IAM Identity Center-Verbund mit einem Identitätsanbieter bietet Ihnen die Möglichkeit, Personen Zugriff auf mehrere AWS Konten in Ihrer Organisation und auf mehrere AWS Anwendungen zu gewähren. Informationen zu bestimmten Situationen, in denen ein IAM-Benutzer erforderlich ist, finden Sie unter Wann sollte ein IAM-Benutzer (anstelle einer Rolle) erstellt werden?.

Wenn Sie lieber ein einzelnes AWS Konto verwenden möchten, ohne IAM Identity Center zu aktivieren, können Sie IAM mit einem externen IdP verwenden, der Identitätsinformationen entweder über OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) bereitstellt. AWS OIDC verbindet Anwendungen wie Aktionen, die nicht auf Ressourcen ausgeführt werden. GitHub AWS AWS Beispiele für bekannte SAML-Identitätsanbieter sind Shibboleth und Active Directory Federation Services.

Wenn Sie einen -Identitätsanbieter verwenden, müssen Sie keinen eigenen Anmeldecode schreiben oder eigene Benutzeridentitäten verwalten. Der Identitätsanbieter erledigt das für Sie. Ihre externen Benutzer melden sich über einen IdP an, und Sie können diesen externen Identitäten Berechtigungen zur Nutzung von AWS Ressourcen in Ihrem Konto erteilen. Identitätsanbieter helfen Ihnen dabei, Ihre AWS-Konto Sicherheit zu gewährleisten, da Sie keine langfristigen Sicherheitsanmeldedaten wie Zugriffsschlüssel verteilen oder in Ihre Anwendung einbetten müssen.

Sehen Sie sich die folgende Tabelle an, um herauszufinden, welcher IAM-Verbundtyp für Ihren Anwendungsfall am besten geeignet ist: IAM, IAM Identity Center oder Amazon Cognito. Die folgenden Zusammenfassungen und Tabellen bieten einen Überblick über die Methoden, mit denen Ihre Benutzer Verbundzugriff auf AWS Ressourcen erhalten können.

IAM-Verbund-Typ Account type (Art des Kontos) Zugriffsverwaltung von: Unterstützte Identitätsquelle

Verbund mit IAM Identity Center

Mehrere Konten, verwaltet von AWS Organizations

Die menschlichen Benutzer Ihrer Belegschaft

  • SAML 2.0

  • Verwaltetes Active Directory

  • Identity-Center-Verzeichnis

Verbund mit IAM

Einzelnes, eigenständiges Konto

  • Menschliche Benutzer in kurzfristigen, kleinen Bereitstellungen

  • Maschinelle Benutzer

  • SAML 2.0

  • OIDC

Verwenden von Amazon Cognito Sync mit Identitätspools

Any

Die Benutzer von Apps, die für den Zugriff auf Ressourcen eine IAM-Autorisierung benötigen

  • SAML 2.0

  • OIDC

  • Wählen Sie OAuth 2.0-Anbieter für soziale Identität aus

Verbund mit IAM Identity Center

Für eine zentralisierte Zugriffsverwaltung von menschlichen Benutzern empfehlen wir Ihnen die Verwendung von IAM Identity Center, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Benutzern im IAM Identity Center werden kurzfristig Zugangsdaten für Ihre AWS Ressourcen gewährt. Sie können Active Directory, einen externen Identitätsanbieter (IdP) oder ein IAM Identity Center-Verzeichnis als Identitätsquelle für Benutzer und Gruppen verwenden, um Zugriff auf Ihre AWS Ressourcen zuzuweisen.

IAM Identity Center unterstützt den Identitätsverbund mit SAML (Security Assertion Markup Language) 2.0, um Benutzern, die berechtigt sind, Anwendungen innerhalb des Zugriffsportals zu verwenden, einen föderierten Single Sign-On-Zugriff zu bieten. AWS Benutzer können sich dann per Single Sign-On bei Diensten anmelden, die SAML unterstützen, einschließlich Anwendungen AWS Management Console und Drittanbieteranwendungen wie Microsoft 365, SAP Concur und Salesforce.

Verbund mit IAM

Wir empfehlen zwar dringend, menschliche Benutzer in IAM Identity Center zu verwalten, aber Sie können den föderierten Prinzipalzugriff mit IAM für menschliche Benutzer in kurzfristigen, kleinen Implementierungen aktivieren. Mit IAM können Sie separate SAML 2.0 und Open ID Connect (OIDC) IdPs verwenden und föderierte Prinzipalattribute für die Zugriffskontrolle verwenden. Mit IAM können Sie Benutzerattribute wie Kostenstelle, Titel oder Gebietsschema von Ihnen an übergeben und auf Basis dieser Attribute detaillierte IdPs AWS Zugriffsberechtigungen implementieren.

Eine Workload ist eine Sammlung von Ressourcen und Code, die einen geschäftlichen Nutzen erbringen, z. B. eine Anwendung oder ein Backend-Prozess. Ihr Workload kann eine IAM-Identität erfordern, um Anfragen an AWS Dienste, Anwendungen, Betriebstools und Komponenten zu stellen. Zu diesen Identitäten gehören Maschinen, die in Ihren AWS Umgebungen ausgeführt werden, z. B. EC2 Amazon-Instances oder AWS Lambda -Funktionen.

Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Um Zugriff auf Maschinenidentitäten zu gewähren, können Sie IAM-Rollen verwenden. IAM-Rollen verfügen über spezifische Berechtigungen und ermöglichen den Zugriff, AWS indem sie sich bei einer Rollensitzung auf temporäre Sicherheitsanmeldedaten verlassen. Darüber hinaus benötigen möglicherweise Computer außerhalb AWS dieser Systeme Zugriff auf Ihre AWS Umgebungen. Für Maschinen, die außerhalb von AWS Ihnen laufen, können Sie IAM Roles Anywhere verwenden. Weitere Informationen zu Rollen finden Sie unter IAM-Rollen. Einzelheiten dazu, wie Sie Rollen verwenden können, um den Zugriff an andere zu delegieren AWS-Konten, finden Sie unter. Tutorial: Delegieren des Zugriffs in allen AWS -Konten mithilfe von IAM-Rollen

Um einen IdP direkt mit IAM zu verknüpfen, erstellen Sie eine Identitätsanbieter-Entität, um eine Vertrauensbeziehung zwischen Ihnen AWS-Konto und dem IdP aufzubauen. IAM-Unterstützungen IdPs , die mit OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) kompatibel sind. Weitere Informationen zur Verwendung einer dieser Optionen mit finden Sie in den folgenden IdPs Abschnitten: AWS

Verwenden von Amazon Cognito Sync mit Identitätspools

Amazon Cognito wurde für Entwickler entwickelt, die Benutzer in ihren Mobil- und Web-Apps authentifizieren und autorisieren möchten. Amazon-Cognito-Benutzerpools fügen Ihrer App Anmelde- und Registrierungsfunktionen hinzu, und Identitätspools stellen IAM-Anmeldeinformationen bereit, die Ihren Benutzern Zugriff auf geschützte Ressourcen gewähren, die Sie in AWS verwalten. Identitätspools erwerben über den API-Vorgang AssumeRoleWithWebIdentity Anmeldeinformationen für temporäre Sitzungen.

Amazon Cognito arbeitet mit externen Identitätsanbietern zusammen, die SAML und OpenID Connect unterstützen, sowie mit Anbietern sozialer Identitäten wie Facebook, Google und Amazon. Ihre App kann einen Benutzer mit einem Benutzerpool oder einem externen IdP anmelden und dann Ressourcen in seinem Namen mit benutzerdefinierten temporären Sitzungen in einer IAM-Rolle abrufen.

Weitere Ressourcen