Was ist das IAM Identity Center Bedingungen Funktionsweise von IAM Identity Center Weitere Ressourcen

AWS IAM Identity Center-Konzepte für die AWS CLI

In diesem Thema werden die wichtigsten Konzepte von AWS IAM Identity Center (IAM Identity Center) beschrieben. IAM Identity Center ist ein cloudbasierter IAM-Service, der die Benutzerzugriffsverwaltung für mehrere AWS-Konten, Anwendungen, SDKs und Tools vereinfacht, indem er in bestehende Identitätsanbieter (IdP) integriert wird. Er ermöglicht sicheres Single Sign-On, Berechtigungsverwaltung und Auditing über ein zentrales Benutzerportal und optimiert so die Identitäts- und Zugriffsverwaltung für Unternehmen.

Was ist das IAM Identity Center

IAM Identity Center ist ein cloudbasierter Service für das Identitäts- und Zugriffsmanagement (IAM), mit dem Sie den Zugriff auf mehrere AWS-Konten und Geschäftsanwendungen zentral verwalten können.

Er bietet ein Benutzerportal, über das autorisierte Benutzer mit ihren vorhandenen Unternehmensanmeldeinformationen auf die AWS-Konten und Anwendungen zugreifen können, für die ihnen die entsprechenden Berechtigungen erteilt wurden. Auf diese Weise können Unternehmen konsistente Sicherheitsrichtlinien durchsetzen und die Verwaltung des Benutzerzugriffs optimieren.

Unabhängig davon, welchen IdP Sie verwenden, abstrahiert das IAM Identity Center diese Unterschiede. So können Sie beispielsweise Microsoft Azure AD wie in dem Blogartikel The Next Evolution in IAM Identity Center beschrieben verbinden.

Anmerkung

Informationen zur Verwendung der Bearer-Authentifizierung, bei der keine Konto-ID und Rolle verwendet werden, finden Sie unter Einrichtung für die Verwendung der AWS CLI mit CodeCatalyst im Amazon-CodeCatalyst-Benutzerhandbuch.

Bedingungen

Im Folgenden finden Sie einige allgemeine Begriffe für die Verwendung von IAM Identity Center:

Identitätsanbieter (IdP)

Ein Identitätsverwaltungssystem wie IAM Identity Center, Microsoft Azure AD, Okta oder der eigene Directory Service Ihres Unternehmens.

AWS IAM Identity Center

IAM Identity Center ist der IdP-Service im Besitz von AWS. SDKs und Tools, die früher als AWS Single Sign-On bekannt waren, behalten die sso-API-Namespaces aus Gründen der Abwärtskompatibilität bei. Weitere Informationen finden Sie unter Umbenennung von IAM Identity Center im Benutzerhandbuch zu AWS IAM Identity Center.

AWS-Zugangsportal-URL, SSO-Start-URL, Start-URL

Die eindeutige URL für das IAM Identity Center Ihres Unternehmens für den Zugriff auf Ihre autorisierten AWS-Konten, Services und Ressourcen.

URL des Ausstellers

Die eindeutige Aussteller-URL für das IAM Identity Center Ihres Unternehmens für den programmgesteuerten Zugriff auf Ihre autorisierten AWS-Konten, Services und Ressourcen. Ab Version 2.22.0 der AWS CLI kann die Aussteller-URL synonym mit der Start-URL verwendet werden.

Verbund

Der Prozess der Vertrauensbildung zwischen IAM Identity Center und einem Identitätsanbieter, um Single Sign-On (SSO) zu ermöglichen.

AWS-Konten

Die AWS-Konten, über die Sie Benutzern per AWS IAM Identity Center Zugriff gewähren.

Berechtigungssätze, AWS-Anmeldeinformationen, Anmeldeinformationen, sigv4-Anmeldeinformationen

Vordefinierte Sammlungen von Berechtigungen, die Benutzern oder Gruppen zugewiesen werden können, um ihnen Zugriff auf AWS-Services zu gewähren.

Registrierungsbereiche, Zugriffsbereiche, Bereiche

Bereiche sind ein Mechanismus in OAuth 2.0, um den Zugriff einer Anwendung auf ein Benutzerkonto zu beschränken. Eine Anwendung kann einen oder mehrere Bereiche anfordern und das an die Anwendung ausgegebene Zugriffstoken ist auf die gewährten Bereiche beschränkt. Weitere Informationen zu Bereichen finden Sie unter Zugriffsbereiche im Benutzerhandbuch zu IAM Identity Center.

Token, Aktualisierungstoken, Zugriffstoken

Token sind temporäre Sicherheitsnachweise, die Ihnen bei der Authentifizierung ausgestellt werden. Diese Token enthalten Informationen über Ihre Identität und die Berechtigungen, die Ihnen erteilt wurden.

Wenn Sie über das IAM Identity Center-Portal auf eine AWS-Ressource oder -Anwendung zugreifen, wird Ihr Token AWS zur Authentifizierung und Autorisierung vorgelegt. Damit kann AWS Ihre Identität überprüfen und sicherstellen, dass Sie über die erforderlichen Berechtigungen verfügen, um die angeforderten Aktionen durchzuführen.

Das Authentifizierungstoken wird auf der Festplatte unter dem Verzeichnis ~/.aws/sso/cache mit einem JSON-Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert.

Sitzung

Eine IAM Identity Center-Sitzung bezieht sich auf den Zeitraum, in dem ein Benutzer authentifiziert und autorisiert ist, auf AWS-Ressourcen oder -Anwendungen zuzugreifen. Wenn sich ein Benutzer beim IAM Identity Center-Portal anmeldet, wird eine Sitzung eingerichtet, und das Token des Benutzers ist für eine bestimmte Dauer gültig. Weitere Informationen zum Festlegen der Sitzungsdauer finden Sie unter Festlegen der Sitzungsdauer im Benutzerhandbuch zu AWS IAM Identity Center.

Während der Sitzung können Sie zwischen verschiedenen AWS-Konten und -Anwendungen wechseln, ohne sich erneut authentifizieren zu müssen, solange die jeweilige Sitzung aktiv bleibt. Wenn die Sitzung abläuft, melden Sie sich erneut an, um Ihren Zugriff zu erneuern.

IAM Identity Center-Sitzungen sorgen für eine reibungslose Benutzererfahrung und setzen gleichzeitig bewährte Sicherheitsverfahren durch, indem die Gültigkeit von Anmeldeinformationen für den Benutzerzugriff eingeschränkt wird.

Erteilung eines Autorisierungscodes mit PKCE, PKCE, Proof Key for Code Exchange

Ab Version 2.22.0 ist Proof Key for Code Exchange (PKCE) ein OAuth 2.0-Verfahren für die Erteilung einer Authentifizierung für Geräte mit einem Browser. PKCE ist eine einfache und sichere Methode, um sich zu authentifizieren und die Zustimmung für den Zugriff auf Ihre AWS-Ressourcen von Desktops und Mobilgeräten mit Webbrowsern einzuholen. Dies ist das standardmäßige Autorisierungsverhalten. Weitere Informationen zu PKCE finden Sie unter Erteilung eines Autorisierungscodes mit PKCE im Benutzerhandbuch zu AWS IAM Identity Center.

Erteilung der Geräteautorisierung

Ein OAuth 2.0-Verfahren für die Erteilung einer Authentifizierung für Geräte mit oder ohne Webbrowser. Weitere Informationen zum Festlegen der Sitzungsdauer finden Sie unter Erteilung der Autorisierung für Geräte im Benutzerhandbuch zu AWS IAM Identity Center.

Funktionsweise von IAM Identity Center

IAM Identity Center lässt sich in den Identitätsanbieter Ihres Unternehmens integrieren, z. B. IAM Identity Center, Microsoft Azure AD oder Okta. Benutzer authentifizieren sich bei diesem Identitätsanbieter und IAM Identity Center ordnet diese Identitäten dann den entsprechenden Berechtigungen und Zugriffen in Ihrer AWS-Umgebung zu.

Beim folgenden Workflow in IAM Identity Center wird davon ausgegangen, dass Sie Ihre AWS CLI bereits für die Verwendung von IAM Identity Center konfiguriert haben:

Führen Sie den Befehl aws sso login in Ihrem bevorzugten Terminal aus.
Melden Sie sich bei Ihrem AWS-Zugangsportal an, um eine neue Sitzung zu starten.
- Wenn Sie eine neue Sitzung starten, erhalten Sie ein Aktualisierungstoken und ein Zugriffstoken, die zwischengespeichert werden.
- Wenn Sie bereits eine aktive Sitzung haben, wird die bestehende Sitzung wiederverwendet und läuft ab, wenn die bestehende Sitzung abläuft.
Basierend auf dem Profil, das Sie in Ihrer config-Datei eingerichtet haben, geht IAM Identity Center von den entsprechenden Berechtigungssätzen aus und gewährt Zugriff auf die relevanten AWS-Kontenund Anwendungen.
Die AWS CLI, SDKs und Tools verwenden Ihre angenommene IAM-Rolle, um Aufrufe an AWS-Services durchzuführen, beispielsweise für die Erstellung von Amazon-S3-Buckets, bis diese Sitzung abläuft.
Das Zugriffstoken von IAM Identity Center wird stündlich überprüft und mit dem Aktualisierungstoken automatisch aktualisiert.
- Wenn das Zugriffstoken abgelaufen ist, verwendet das SDK oder das Tool das Aktualisierungstoken, um ein neues Zugriffstoken abzurufen. Die Sitzungsdauer dieser Token wird dann verglichen. Wenn das Aktualisierungstoken nicht abgelaufen ist, stellt IAM Identity Center ein neues Zugriffstoken bereit.
- Wenn das Aktualisierungstoken abgelaufen ist, werden keine neuen Zugriffstoken bereitgestellt und Ihre Sitzung ist beendet.
Sitzungen enden nach Ablauf der Aktualisierungstoken oder wenn Sie sich mithilfe des Befehls aws sso logout manuell abmelden. Die zwischengespeicherten Anmeldeinformationen werden entfernt. Um weiterhin über IAM Identity Center auf Services zugreifen zu können, müssen Sie mit dem Befehl aws sso login eine neue Sitzung starten.

Weitere Ressourcen

Die folgenden zusätzlichen Ressourcen stehen zur Verfügung.

Konfigurieren der Authentifizierung von IAM Identity Center mit der AWS CLI
Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon-S3-Befehlen in der AWS CLI
Installation oder Aktualisierung der neuesten Version von AWS CLI.
Einstellungen der Konfigurations- und Anmeldeinformationsdatei in der AWS CLI
aws configure sso in der Referenz zu AWS CLI Version 2
aws configure sso-session in der Referenz zu AWS CLI Version 2
aws sso login in der Referenz zu AWS CLI Version 2
aws sso logout in der Referenz zu AWS CLI Version 2
Einrichtung für die Verwendung der AWS CLI mit CodeCatalyst im Benutzerhandbuch zu Amazon CodeCatalyst
Umbenennung von IAM Identity Center im Benutzerhandbuch zu AWS IAM Identity Center
OAuth 2.0-Zugriffsbereiche im Benutzerhandbuch zu IAM Identity Center
Festlegen der Sitzungsdauer im Benutzerhandbuch zu AWS IAM Identity Center
Tutorials für die ersten Schritte im Benutzerhandbuch zu IAM Identity Center

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Authentifizierung von IAM Identity Center

Tutorial: AWS IAM Identity Center und Amazon S3