Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Steuern des Zugriffs mit IAM-Richtlinien
<a name="id_roles_providers_outbound_policies"></a>

IAM bietet mehrere Richtlinientypen zur Steuerung des Zugriffs auf die Funktion „Outbound Identity Federation“. Mithilfe [identitätsbasierter Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html) können Sie steuern, welche IAM-Prinzipale Token anfordern können, und bestimmte Token-Eigenschaften wie Zielgruppe, Gültigkeitsdauer und Signaturalgorithmen durchsetzen. Mithilfe von [Service Control-Richtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCPs) können Sie unternehmensweite Einschränkungen bei der Token-Generierung für alle Konten in Ihren AWS Organizations durchsetzen. [Richtlinien zur Ressourcenkontrolle](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) (RCPs) steuern den Zugriff auf Ressourcenebene. Sie können auch [VPC-Endpunktrichtlinien](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html) verwenden, um einzuschränken, welche Principals über Ihre VPC-Endpunkte auf die AWS STS `GetWebIdentityToken` API zugreifen können, und so Ihren Sicherheitsstatus um Kontrollen auf Netzwerkebene erweitern. In diesem Abschnitt wird erklärt, wie Sie mithilfe dieser Richtlinientypen und Bedingungsschlüssel detaillierte Zugriffskontrollen implementieren.

Um Identitätstoken anzufordern, muss ein IAM-Prinzipal über die entsprechende Genehmigung verfügen. `sts:GetWebIdentityToken` Erteilen Sie diese Berechtigung über Identitätsrichtlinien, die IAM-Benutzern oder -Rollen zugewiesen sind. Damit Tags (Schlüssel- und Wertepaare) an den GetWebIdentityToken Anruf übergeben werden können, muss der IAM-Prinzipal über die `sts:TagGetWebIdentityToken` entsprechende Berechtigung verfügen.
+ Verwenden Sie den IdentityTokenAudience Bedingungsschlüssel [sts:](reference_policies_iam-condition-keys.md#ck_identitytokenaudience), um einzuschränken, welche externen Dienste Token empfangen können.
+ Verwenden Sie den DurationSeconds Bedingungsschlüssel [sts:](reference_policies_iam-condition-keys.md#ck_durationseconds), um die maximale Lebensdauer von Token durchzusetzen.
+ Verwenden Sie den SigningAlgorithm Bedingungsschlüssel [sts:](reference_policies_iam-condition-keys.md#ck_signingalgorithm), um bestimmte kryptografische Algorithmen vorzuschreiben.
+ Verwenden Sie den RequestTag Bedingungsschlüssel [aws:](reference_policies_condition-keys.md#condition-keys-requesttag) und vergleichen Sie das Tag-Schlüssel-Wert-Paar, das in der Anfrage übergeben wurde, mit dem Tag-Paar, das Sie in der Richtlinie angeben.
+ Verwenden Sie den TagKeys Bedingungsschlüssel [aws:](reference_policies_condition-keys.md#condition-keys-tagkeys), um die Tag-Schlüssel in einer Anfrage mit den Schlüsseln zu vergleichen, die Sie in der Richtlinie angeben.

Weitere Informationen zu den in [IAM-Richtlinien verfügbaren AWS STS Bedingungsschlüsseln finden Sie unter IAM und](reference_policies_iam-condition-keys.md) Bedingungsschlüssel.

In dieser Beispiel-Identitätsrichtlinie werden mehrere Bedingungsschlüssel kombiniert:

```
{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "AllowTokenGenerationWithRestrictions",
            "Effect": "Allow",
            "Action": "sts:GetWebIdentityToken",
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "sts:IdentityTokenAudience": [
                        "https://api1.example.com",
                        "https://api2.example.com"
                    ]
                },
                "NumericLessThanEquals": {
                    "sts:DurationSeconds": 300
                },
                "StringEquals": {
                    "sts:SigningAlgorithm": "ES384"
                }
            }
        }
    ]
}
```

## Best Practices
<a name="outbound-best-practices"></a>

Folgen Sie diesen Empfehlungen, um Ihre AWS Identitäten sicher mit externen Diensten zu verbinden.
+ **Verwenden Sie kurze Token-Lebenszeiten:** Fordern Sie Token mit der kürzesten Lebensdauer an, die Ihren betrieblichen Anforderungen entsprechen.
+ **Implementieren Sie den Zugriff mit geringsten Rechten und schränken Sie die Token-Eigenschaften mit IAM-Richtlinien ein:** Erteilen Sie die `sts:GetWebIdentityToken` Erlaubnis nur IAM-Prinzipalen, die sie benötigen. Verwenden Sie Bedingungsschlüssel, um Signaturalgorithmen, zulässige Token-Zielgruppen und maximale Token-Gültigkeitsdauer nach Bedarf festzulegen.
+ **Bestätigen Sie Ansprüche in externen Diensten:** Überprüfen Sie aus Sicherheitsgründen immer relevante Angaben wie Betreff („Sub“), Zielgruppe („aud“) usw., um sicherzustellen, dass sie Ihren erwarteten Werten entsprechen. Validieren Sie nach Möglichkeit benutzerdefinierte Ansprüche, um detaillierte Autorisierungsentscheidungen in externen Diensten zu ermöglichen.