Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Steuern des Zugriffs mit IAM-Richtlinien
IAM bietet mehrere Richtlinientypen zur Steuerung des Zugriffs auf die Funktion „Outbound Identity Federation“. Mithilfe identitätsbasierter Richtlinien können Sie steuern, welche IAM-Prinzipale Token anfordern können, und bestimmte Token-Eigenschaften wie Zielgruppe, Gültigkeitsdauer und Signaturalgorithmen durchsetzen. Mithilfe von Service Control-Richtlinien (SCPs) können Sie unternehmensweite Einschränkungen bei der Token-Generierung für alle Konten in Ihren AWS Organizations durchsetzen. Richtlinien zur Ressourcenkontrolle (RCPs) steuern den Zugriff auf Ressourcenebene. Sie können auch VPC-Endpunktrichtlinien verwenden, um einzuschränken, welche Principals über Ihre VPC-Endpunkte auf die AWS STS GetWebIdentityToken API zugreifen können, und so Ihren Sicherheitsstatus um Kontrollen auf Netzwerkebene erweitern. In diesem Abschnitt wird erklärt, wie Sie mithilfe dieser Richtlinientypen und Bedingungsschlüssel detaillierte Zugriffskontrollen implementieren.
Um Identitätstoken anzufordern, muss ein IAM-Prinzipal über die entsprechende Genehmigung verfügen. sts:GetWebIdentityToken Erteilen Sie diese Berechtigung über Identitätsrichtlinien, die IAM-Benutzern oder -Rollen zugewiesen sind. Damit Tags (Schlüssel- und Wertepaare) an den GetWebIdentityToken Anruf übergeben werden können, muss der IAM-Prinzipal über die sts:TagGetWebIdentityToken entsprechende Berechtigung verfügen.
-
Verwenden Sie den IdentityTokenAudience Bedingungsschlüssel sts:, um einzuschränken, welche externen Dienste Token empfangen können.
-
Verwenden Sie den DurationSeconds Bedingungsschlüssel sts:, um die maximale Lebensdauer von Token durchzusetzen.
-
Verwenden Sie den SigningAlgorithm Bedingungsschlüssel sts:, um bestimmte kryptografische Algorithmen vorzuschreiben.
-
Verwenden Sie den RequestTag Bedingungsschlüssel aws: und vergleichen Sie das Tag-Schlüssel-Wert-Paar, das in der Anfrage übergeben wurde, mit dem Tag-Paar, das Sie in der Richtlinie angeben.
-
Verwenden Sie den TagKeys Bedingungsschlüssel aws:, um die Tag-Schlüssel in einer Anfrage mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben.
Weitere Informationen zu den in IAM-Richtlinien verfügbaren AWS STS Bedingungsschlüsseln finden Sie unter IAM und Bedingungsschlüssel.
In dieser Beispiel-Identitätsrichtlinie werden mehrere Bedingungsschlüssel kombiniert:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowTokenGenerationWithRestrictions", "Effect": "Allow", "Action": "sts:GetWebIdentityToken", "Resource": "*", "Condition": { "ForAnyValue:StringEquals": { "sts:IdentityTokenAudience": [ "https://api1.example.com", "https://api2.example.com" ] }, "NumericLessThanEquals": { "sts:DurationSeconds": 300 }, "StringEquals": { "sts:SigningAlgorithm": "ES384" } } } ] }
Best Practices
Folgen Sie diesen Empfehlungen, um Ihre AWS Identitäten sicher mit externen Diensten zu verbinden.
-
Verwenden Sie kurze Token-Lebenszeiten: Fordern Sie Token mit der kürzesten Lebensdauer an, die Ihren betrieblichen Anforderungen entsprechen.
-
Implementieren Sie den Zugriff mit geringsten Rechten und schränken Sie die Token-Eigenschaften mit IAM-Richtlinien ein: Erteilen Sie die
sts:GetWebIdentityTokenErlaubnis nur IAM-Prinzipalen, die sie benötigen. Verwenden Sie Bedingungsschlüssel, um Signaturalgorithmen, zulässige Token-Zielgruppen und maximale Token-Gültigkeitsdauer nach Bedarf festzulegen. -
Bestätigen Sie Ansprüche in externen Diensten: Überprüfen Sie aus Sicherheitsgründen immer relevante Angaben wie Betreff („Sub“), Zielgruppe („aud“) usw., um sicherzustellen, dass sie Ihren erwarteten Werten entsprechen. Validieren Sie nach Möglichkeit benutzerdefinierte Ansprüche, um detaillierte Autorisierungsentscheidungen in externen Diensten zu ermöglichen.
