OIDC-Verbund

Stellen Sie sich vor, Sie erstellen eine Anwendung, die auf AWS Ressourcen zugreift, z. B. GitHub Aktionen, die Workflows für den Zugriff auf Amazon S3 und DynamoDB verwendet.

Wenn Sie diese Workflows verwenden, stellen Sie Anfragen an AWS Dienste, die mit einem AWS Zugriffsschlüssel signiert werden müssen. Wir empfehlen jedoch dringend, AWS Anmeldeinformationen nicht langfristig in externen Anwendungen zu speichern AWS. Konfigurieren Sie Ihre Anwendungen stattdessen mithilfe des OIDC-Verbunds so, dass temporäre AWS Sicherheitsanmeldedaten bei Bedarf dynamisch angefordert werden. Die bereitgestellten temporären Anmeldeinformationen sind einer AWS Rolle zugeordnet, die nur über Berechtigungen verfügt, die zur Ausführung der für die Anwendung erforderlichen Aufgaben erforderlich sind.

Beim OIDC-Verbund müssen Sie keinen benutzerdefinierten Anmelde-Code erstellen oder Ihre eigenen Benutzeridentitäten verwalten. Stattdessen können Sie OIDC in Anwendungen wie GitHub Actions oder jedem anderen OpenID Connect (OIDC) -kompatiblen IdP zur Authentifizierung verwenden. AWS Sie erhalten ein Authentifizierungstoken, das als JSON Web Token (JWT) bezeichnet wird, und tauschen dieses Token dann gegen temporäre Sicherheitsanmeldedaten aus, die einer IAM-Rolle mit Berechtigungen zur Nutzung bestimmter Ressourcen in AWS Ihrem zugeordnet sind. AWS-Konto Die Verwendung eines IdP hilft Ihnen dabei, Ihre AWS-Konto Sicherheit zu gewährleisten, da Sie keine langfristigen Sicherheitsnachweise in Ihre Anwendung einbetten und verteilen müssen.

Der OIDC-Verbund unterstützt sowohl die machine-to-machine Authentifizierung (wie CI/CD Pipelines, automatisierte Skripts und serverlose Anwendungen) als auch die Authentifizierung durch menschliche Benutzer. Für Authentifizierungsszenarien für menschliche Benutzer, in denen Sie Benutzerregistrierung, Anmeldung und Benutzerprofile verwalten müssen, sollten Sie Amazon Cognito als Identitätsbroker verwenden. Einzelheiten zur Verwendung von Amazon Cognito mit OIDC finden Sie unter. Amazon Cognito für mobile Apps

Anmerkung

Von OpenID Connect (OIDCJWTs) -Identitätsanbietern ausgegebene JSON-Web-Tokens () enthalten im exp Anspruch eine Ablaufzeit, die angibt, wann das Token abläuft. IAM bietet ein Zeitfenster von fünf Minuten nach der im JWT angegebenen Ablaufzeit, um Zeitabweichungen zu berücksichtigen, wie es der OpenID Connect (OIDC) Core 1.0-Standard zulässt. Das bedeutet, dass OIDC, die nach Ablauf der Ablaufzeit, aber innerhalb dieses Fünf-Minuten-Zeitfensters bei IAM JWTs eingehen, zur weiteren Auswertung und Verarbeitung akzeptiert werden.

Themen

Weitere Ressourcen für den OIDC-Verbund

Die folgenden Ressourcen können Ihnen dabei helfen, mehr über den OIDC-Verbund zu erfahren:

Verwenden Sie OpenID Connect in Ihren GitHub Workflows, indem Sie OpenID Connect in Amazon Web Services konfigurieren
Amazon Cognito Identity im Amplify Libraries for Android-Handbuch und Amazon Cognito Identity im Amplify Libraries for Swift-Handbuch.
So verwenden Sie eine externe ID bei der Gewährung des Zugriffs auf Ihre AWS Ressourcen Im AWS Sicherheitsblog finden Sie Anleitungen zur sicheren Konfiguration des kontoübergreifenden Zugriffs und des externen Identitätsverbunds.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Gängige Szenarien

Erstellen eines OIDC-Identitätsanbieters