OIDC-Verbund

Angenommen, Sie erstellen eine Anwendung, die auf AWS-Ressourcen zugreift, z. B. GitHub-Aktionen, die Workflows verwendet, um auf Amazon S3 und DynamoDB zuzugreifen.

Wenn Sie diese Workflows verwenden, senden Sie Anfragen an AWS-Services, die mit einem AWS-Zugriffsschlüssel signiert werden müssen. Wir empfehlen jedoch nachdrücklich, AWS-Anmeldeinformationen nicht langfristig in Anwendungen außerhalb von AWS zu speichern. Konfigurieren Sie Ihre Anwendungen stattdessen so, dass diese bei Bedarf mittels OIDC-Verbund dynamisch temporäre AWS-Sicherheits-Anmeldeinformationen anfordern. Die bereitgestellten temporären Anmeldeinformationen werden einer AWS-Rolle zugeordnet, die nur über die erforderlichen Berechtigungen zum Ausführen der von der Anwendung benötigten Aufgaben verfügt.

Beim OIDC-Verbund müssen Sie keinen benutzerdefinierten Anmelde-Code erstellen oder Ihre eigenen Benutzeridentitäten verwalten. Stattdessen können Sie OIDC in Anwendungen wie GitHub-Aktionen oder jedem anderen OpenID Connect (OIDC)-kompatiblen IdP verwenden, um sich mit AWS zu authentifizieren. Sie erhalten ein Authentifizierungs-Token, das als JSON Web Token (JWT) bezeichnet wird, und tauschen dieses Token dann gegen temporäre Sicherheits-Anmeldeinformationen in AWS aus, die einer IAM-Rolle mit Berechtigungen zur Verwendung bestimmter Ressourcen in Ihrem AWS-Konto zugeordnet sind. Durch die Verwendung eines IdP können Sie Ihr AWS-Konto schützen, da Sie keine langfristigen Sicherheitsanmeldeinformationen mit Ihrer Anwendung einbetten und bereitstellen müssen.

Der OIDC-Verbund unterstützt sowohl die Authentifizierung von Computer zu Computer (wie CI/CD-Pipelines, automatisierte Skripts und serverlose Anwendungen) als auch die Benutzerauthentifizierung. Für Szenarien mit Benutzerauthentifizierung, in denen Sie Benutzerregistrierung, Anmeldung und Benutzerprofile verwalten müssen, sollten Sie Amazon Cognito als Identitätsbroker verwenden. Weitere Informationen über die Verwendung von Amazon Cognito mit OIDC finden Sie unter Amazon Cognito für mobile Apps.

Anmerkung

Von OpenID Connect (OIDC)-Identitätsanbietern ausgestellte JSON Web Tokens (JWTs) enthalten im exp-Antrag eine Ablaufzeit, die angibt, wann das Token abläuft. IAM bietet ein Zeitfenster von fünf Minuten nach der im JWT angegebenen Ablaufzeit, um Zeitabweichungen zu berücksichtigen, wie es der OpenID Connect (OIDC) Core 1.0-Standard zulässt. Dies bedeutet, dass OIDC-JWTs, die von IAM nach der Ablaufzeit, aber innerhalb dieses Zeitfensters von fünf Minuten empfangen werden, zur weiteren Auswertung und Verarbeitung akzeptiert werden.

Themen

Weitere Ressourcen für den OIDC-Verbund

Die folgenden Ressourcen können Ihnen dabei helfen, mehr über den OIDC-Verbund zu erfahren:

Verwenden Sie OpenID Connect innerhalb Ihrer GitHub-Workflows, indem Sie OpenID Connect in Amazon Web Services konfigurieren
Amazon Cognito Identity im Amplify Libraries for Android-Handbuch und Amazon Cognito Identity im Amplify Libraries for Swift-Handbuch.
Im Artikel How to use external ID when granting access to your AWS resources im AWS-Blog zum Thema Sicherheit finden Sie eine Anleitung zum sicheren Konfigurieren eines kontoübergreifenden Zugriffs und externen Identitätsverbunds.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Gängige Szenarien

Erstellen eines OIDC-Identitätsanbieters