Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitätsanbieter-Kontrollen für gemeinsame OIDC-Anbieter
Für anerkannte gemeinsame OpenID Connect (OIDC)-Identitätsanbieter (IDPs) erfordert IAM eine explizite Bewertung spezifischer Ansprüche in Rollenvertrauensrichtlinien. Diese erforderlichen Ansprüche, die als Identitätsanbieter-Kontrollen bezeichnet werden, werden von IAM während der Rollenerstellung und der Aktualisierung von Vertrauensrichtlinien bewertet. Wenn die Rollenvertrauensrichtlinie die vom gemeinsam genutzten OIDC-IDP geforderten Kontrollen nicht bewertet, schlägt die Erstellung oder Aktualisierung der Rolle fehl. Dadurch wird sichergestellt, dass nur autorisierte Identitäten aus der vorgesehenen Organisation Rollen übernehmen und auf AWS-Ressourcen zugreifen können. Diese Sicherheitskontrolle ist entscheidend, wenn OIDC-Anbieter von mehreren AWS-Kunden gemeinsam genutzt werden.
Identitätsanbieter-Kontrollen werden von IAM nicht für bestehende OIDC-Rollenvertrauensrichtlinien bewertet. Bei Änderungen an der Rollenvertrauensrichtlinie für bestehende OIDC-Rollen verlangt IAM, dass Identitätsanbieter-Kontrollen in die Rollenvertrauensrichtlinie aufgenommen werden.
OIDC-Anbietertypen
IAM unterteilt OIDC-Identitätsanbieter in zwei verschiedene Typen: private und gemeinsam genutzte. Ein privater OIDC-IDP kann sich im Besitz einer einzelnen Organisation befinden und von dieser verwaltet werden oder ein Mandant eines SaaS-Anbieters sein, wobei seine OIDC-Aussteller-URL als eindeutiger Bezeichner für diese Organisation dient. Im Gegensatz dazu wird ein gemeinsam genutzter OIDC-IDP von mehreren Organisationen genutzt, wobei die OIDC-Aussteller-URL für alle Organisationen, die diesen Identitätsanbieter nutzen, identisch sein kann.
Die folgende Tabelle zeigt die wichtigsten Unterschiede zwischen privaten und gemeinsam genutzten OIDC-Anbietern auf:
| Merkmal | Privater OIDC-Anbieter | Gemeinsam genutzter OIDC-Anbieter |
|---|---|---|
|
Aussteller |
Einzigartig für die Organisation |
Von mehreren Organisationen gemeinsam genutzt |
|
Tenancy-Informationen |
Übermittelt durch einen einzigartigen Aussteller |
Übermittelt durch Ansprüche in JWT |
|
Vertrauensrichtlinienanforderungen |
Keine spezifische Anspruchsbewertung erforderlich |
Bewertung spezifischer Ansprüche erforderlich |
Gemeinsam genutzte OIDC-Identitätsanbieter mit Identitätsanbieter-Kontrollen
Wenn Sie einen OIDC-Anbieter in IAM erstellen oder ändern, identifiziert und bewertet das System automatisch die erforderlichen Ansprüche für anerkannte gemeinsame OIDC-Anbieter. Wenn Identitätsanbieter-Kontrollen nicht in der Rollenvertrauensrichtlinie konfiguriert sind, schlägt die Erstellung oder Aktualisierung der Rolle mit einem MalformedPolicyDocument-Fehler fehl.
Die folgende Tabelle enthält eine Liste der gemeinsam genutzten OIDC-Anbieter, die Identitätsanbieter-Kontrollen in Rollenzuständigkeitsrichtlinien erfordern, sowie zusätzliche Informationen, die Ihnen bei der Konfiguration von Identitätsanbieter-Kontrollen helfen.
| OIDC-IdP | OIDC-URL | Tenancy-Anspruch | Erforderliche Ansprüche |
|---|---|---|---|
| Amazon Cognito |
|
aud |
|
| Azure Sentinel |
https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
|
sts:RoleSessionName
|
sts:RoleSessionName
|
| Buildkite |
https://agent.buildkite.com
|
sub |
agent.buildkite.com:sub
|
| Codefresh SaaS |
https://oidc.codefresh.io |
sub |
oidc.codefresh.io:sub
|
| DVC Studio |
https://studio.datachain.ai/api |
sub |
studio.datachain.ai/api:sub
|
| GitHub-Aktionen |
https://token.actions.githubusercontent.com |
sub |
token.actions.githubusercontent.com:sub
|
| GitHub-Audit-Protokollstreaming |
https://oidc-configuration.audit-log.githubusercontent.com |
sub |
oidc-configuration.audit-log.githubusercontent.com:sub
|
| GitHub-vstoken |
https://vstoken.actions.githubusercontent.com |
sub |
vstoken.actions.githubusercontent.com:sub
|
| GitLab |
https://gitlab.com |
sub |
gitlab.com:sub
|
| IBM Turbonomic SaaS* |
|
sub |
|
| Pulumi Cloud |
https://api.pulumi.com/oidc |
aud |
api.pulumi.com/oidc:aud
|
| sandboxes.cloud |
https://sandboxes.cloud |
aud |
sandboxes.cloud:aud
|
| Scalr |
https://scalr.io |
sub |
scalr.io:sub
|
| Shisho Cloud |
https://tokens.cloud.shisho.dev |
sub |
tokens.cloud.shisho.dev:sub
|
| Terraform Cloud |
https://app.terraform.io |
sub |
app.terraform.io:sub
|
| Upbound |
https://proidc.upbound.io |
sub |
proidc.upbound.io:sub
|
| Globaler Vercel-Endpunkt |
https://oidc.vercel.com |
aud |
oidc.vercel.com:aud
|
* IBM Turbonomic aktualisiert regelmäßig seine OIDC-Aussteller-URL mit neuen Versionen der Plattform. Wir werden bei Bedarf weitere Turbonomic-OIDC-Aussteller als gemeinsame Anbieter hinzufügen.
Für alle neuen OIDC-IDPs, die von IAM als gemeinsam genutzt identifiziert werden, werden die erforderlichen Identitätsanbieter-Kontrollen für Rollenvertrauensrichtlinien auf ähnliche Weise dokumentiert und durchgesetzt.
Weitere Ressourcen
Weitere Ressourcen:
-
Weitere Informationen zum Erstellen einer IAM-Rolle für OIDC-Verbund finden Sie unter Rollen für OpenID-Connect-Verbund erstellen (Konsole).
-
Eine Liste der IAM-Bedingungsschlüssel, die für Anträge verwendet werden können, finden Sie unter Verfügbare Schlüssel für den AWS OIDC-Verbund.
