本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 IAM 中建立 OpenID Connect (OIDC) 身分提供者
<a name="id_roles_providers_create_oidc"></a>

*IAM OIDC 身分提供者*是 IAM 中的實體，負責描述可支援 [OpenID Connect](http://openid.net/connect/) (OIDC) 標準的外部身分提供者 (IdP) 服務，例如，Google 或 Salesforce。如果想要在 OIDC 相容的 IdP 和您的 AWS 帳戶之間建立信任，請使用 IAM OIDC 身分提供者。這在建立需要存取 AWS 資源的行動應用程式或 Web 應用程式時非常有用，但您不想建立自訂登入碼或管理自己的使用者身分。如需有關此案例的詳細資訊，請參閱 [OIDC 聯合身分](id_roles_providers_oidc.md)。

您可以使用 AWS 管理主控台、 AWS Command Line Interface、Tools for Windows PowerShell 或 IAM API 來建立和管理 IAM OIDC 身分提供者。

在您建立 IAM OIDC 身分提供者之後，您必須建立一個或多個 IAM 角色。角色是 中的身分 AWS ，沒有自己的登入資料 （與使用者相同）。但在此情況中，角色會動態指派給 OIDC 聯合身分主體，而該主體由組織的 IdP 進行驗證。角色可允許您組織的 IdP 請求暫時性安全憑證以存取 AWS。指派給角色的政策會決定允許使用者在其中執行的操作 AWS。若要為第三方身分提供者建立角色，請參閱 [為第三方身分提供者建立角色](id_roles_create_for-idp.md)。

**重要**  
當您針對支援 `oidc-provider` 資源的動作設定以身分識別型原則時，IAM 會評估完整的 OIDC 身分識別提供者 URL，包含任何指定的路徑。如果您的 OIDC 身分識別提供者 URL 具有路徑，請務必在 `oidc-provider` ARN 中包含該路徑作為 `Resource` 要素值。您也可以選擇在 URL 路徑中的任何位置附加正斜線和萬用字元 (`/*`) 至 URL 網域，或使用萬用字元 (`*` 和 `?`)。如果要求中的 OIDC 身分識別提供者 URL 與政策的 `Resource` 要素中設定的值不相符，則請求會失敗。

若要疑難排解 IAM OIDC 聯合的常見問題，請參閱[解決 re：Post 上的 OIDC 相關錯誤](https://repost.aws/knowledge-center/iam-oidc-idp-federation)。 AWS 

**Topics**
+ [先決條件：驗證身分提供者的組態](#manage-oidc-provider-prerequisites)
+ [建立及管理 OIDC 提供者 (主控台)](#manage-oidc-provider-console)
+ [建立及管理 IAM OIDC 身分提供者 (AWS CLI)](#manage-oidc-provider-cli)
+ [建立和管理 OIDC Identity Provider (AWS API)](#manage-oidc-provider-api)

## 先決條件：驗證身分提供者的組態
<a name="manage-oidc-provider-prerequisites"></a>

您必須從 IdP 取得下列資訊，然後才能建立 IAM OIDC 身分提供者。如需有關取得 OIDC 提供者組態資訊的詳細資訊，請參閱 IdP 的文件。

1. 判斷 OIDC 身分提供者的公開可用的 URL。URL 必須以 https:// 開頭。根據 OIDC 標準，允許路徑元件，但不允許查詢參數。通常，URL 僅包含主機名稱，例如 https://server.example.org 或 https://example.com。URL 不應包含連接埠號碼。

1. 將 **/.well-known/openid-configuration** 新增至 OIDC 身分提供者 URL 的結尾，以查看提供者的公開可用的組態文件和中繼資料。您必須具有 JSON 格式的探索文件，其中包含提供者的組態文件和中繼資料，這些文件可從 [OpenID Connect 提供者探索端點 URL](https://openid.net/specs/openid-connect-discovery-1_0.html#ProviderConfig) 擷取。

1. 確認下列值包含在提供者的組態資訊中。如果 openid-configuration 遺失其中任何欄位，您必須更新探索文件。此程序可能會因您的身分提供者而有所不同，因此請遵循 IdP 的文件來完成此任務。
   + 發行者：網域的 URL。
   + jwks\_uri：IAM 取得公有金鑰的 JSON Web 金鑰集 (JWKS) 端點。您的身分提供者必須在 openid-configuration 中包含 JSON Web 金鑰集 (JWKS) 端點。此 URI 會定義從何處取得您的公有金鑰，這些金鑰用於驗證身分提供者簽署的權杖。
**注意**  
JSON Web 金鑰集 (JWKS) 必須包含至少一個金鑰，且最多可以有 100 個 RSA 金鑰和 100 個 EC 金鑰。如果 OIDC 身分提供者的 JWKS 包含超過 100 個 RSA 金鑰或 100 個 EC 金鑰，則在將 [AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html) API 操作與由超過 100 個金鑰限制的金鑰類型簽署的 JWT 搭配使用時，將傳回 `InvalidIdentityToken` 例外狀況。例如，如果使用 RSA 演算法簽署 JWT，且提供者的 JWKS 中有超過 100 個 RSA 金鑰，則將傳回 `InvalidIdentityToken` 例外狀況。
   + claims\_supported：使用者的相關資訊，可協助您確保來自 IdP 的 OIDC 身分驗證回應包含 IAM 政策中 AWS 用於檢查 OIDC 聯合主體許可的必要屬性。如需可用於宣告的 IAM 條件索引鍵清單，請參閱[AWS OIDC 聯合的可用金鑰](reference_policies_iam-condition-keys.md#condition-keys-wif)。
     + aud：您必須確定 IdP 在 JSON Web 權杖 (JWT) 中發出的對象宣告值。對象 (aud) 宣告是應用程式特定的，並識別權杖的預期收件人。當您向 OpenID Connect 提供者註冊行動或 Web 應用程式時，其會建立一個用於識別該應用程式的用戶端 ID。用戶端 ID 是應用程式的唯一識別碼，會在 aud 宣告中傳遞以進行身分驗證。建立 IAM OIDC 身分提供者時，aud 宣告必須與對象值相符。
     + iat：宣告必須包含 `iat` 的值，表示發出 ID 權杖的時間。
     + iss：身分提供者的 URL。URL 必須以 https:// 開頭，且應對應至提供給 IAM 的提供者 URL。根據 OIDC 標準，允許路徑元件，但不允許查詢參數。通常，URL 僅包含主機名稱，例如 https://server.example.org 或 https://example.com。URL 不應包含連接埠號碼。
   + response\_types\_supported：id\_token
   + subject\_types\_supported：公有
   + id\_token\_signing\_alg\_values\_supported：RS256、RS384、RS512、ES256、ES384、ES512
**注意**  
您可以在以下範例中包含其他宣告，如 `my_custom_claim` ；不過， AWS STS 會忽略宣告。  

   ```
   {
     "issuer": "https://example-domain.com",
     "jwks_uri": "https://example-domain.com/jwks/keys",
     "claims_supported": [
       "aud",
       "iat",
       "iss",
       "name",
       "sub",
       "my_custom_claim"
     ],
     "response_types_supported": [
       "id_token"
     ],
     "id_token_signing_alg_values_supported": [
       "RS256",
       "RS384",
       "RS512",
       "ES256",
       "ES384",
       "ES512"
     ],
     "subject_types_supported": [
       "public"
     ]
   }
   ```

## 建立及管理 OIDC 提供者 (主控台)
<a name="manage-oidc-provider-console"></a>

按照這些指示，在 AWS 管理主控台中建立和管理 IAM OIDC 身分提供者。

**重要**  
如果您正在使用來自 Google、Facebook 或 Amazon Cognito 的 OIDC 身分提供者，請勿使用此程序建立個別的 IAM 身分提供者。這些 OIDC 身分提供者已內建於 AWS ，可供您使用。請依照下列步驟為您的身分提供者建立新角色，請參閱 [為 OpenID Connect 聯合身分建立角色 (主控台)](id_roles_create_for-idp_oidc.md)。

**建立 IAM OIDC 身分提供者 (主控台)**

1. <a name="idpoidcstep1"></a>在建立 IAM OIDC 身分提供者之前，您必須使用 IdP 來註冊您的應用程式，才能接收*用戶端 ID*。用戶端 ID (也稱為*觀眾*) 是您在向 IdP 註冊應用程式時向您發佈的應用程式的唯一識別符。如需有關取得用戶端 ID 的詳細資訊，請參閱文件以取得您的 IdP。
**注意**  
AWS 使用我們的信任根憑證授權機構 (CAsIdPs) 的通訊，以驗證 JSON Web Key Set (JWKS) 端點的 TLS 憑證。如果您的 OIDC IdP 依賴的憑證不是由這些信任CAs 之一簽署，則我們只會使用 IdP 組態中設定的指紋進行安全通訊。如果我們無法擷取 TLS 憑證或如果需要 TLS v1.3， AWS 將返回指紋驗證。

1. 在以下網址開啟 IAM 主控台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在導覽窗格中，請選擇 **Identity providers** (身分提供者)，然後選擇 **Add provider** (新增提供者)。

1. 對於 **Configure provider** (設定提供者)，選擇 **OpenID Connect** (OpenID 連線)。

1. 針對 **Provider URL (提供者 URL)**，輸入 IdP 的 URL。URL 必須符合這些限制：
   + URL 區分大小寫。
   + URL 必須以 **https://** 開頭。
   + URL 不應包含連接埠號碼。
   + 在您的 中 AWS 帳戶，每個 IAM OIDC 身分提供者都必須使用唯一的 URL。如果您嘗試提交已在 中用於 OpenID Connect 提供者的 URL AWS 帳戶，您會收到錯誤。

1. 針對**對象**，輸入您向 IdP 註冊並在 中接收之應用程式的用戶端 ID[Step 1](#idpoidcstep1)，以及提出請求的用戶端 ID AWS。如果此 IdP 有其他用戶端 ID (也稱*觀眾*)，則稍後可以在提供者詳細資訊頁面上新增它們。
**注意**  
如果您的 IdP JWT 權杖包含 `azp` 宣告，請輸入此值作為對象值。  
如果您的 OIDC 身分提供者在權杖中同時設定 `aud`和 `azp` 宣告， AWS STS 將使用`azp`宣告中的 值作為`aud`宣告。

1. (選用) 對於 **Add tags** (新增標籤)，您可以新增鍵值組，以協助您識別和整理 IdP。您也可以使用標籤來控制對 AWS 資源的存取。若要進一步了解如何標記 IAM OIDC 身分提供者，請參閱 [標記 OpenID Connect (OIDC) 身分提供者](id_tags_oidc.md)。選擇 **Add tag (新增標籤)**。輸入每個標籤鍵值組的值。

1. 請確認您提供的資訊。完成後，請選擇 **Add provider** (新增提供者)。IAM 會嘗試擷取並使用 OIDC IdP 伺服器憑證的頂層中繼 CA 指紋，來建立 IAM OIDC 身分提供者。
**注意**  
OIDC 身分提供者的憑證鏈必須以網域或發行者 URL 開頭，然後是中繼憑證，最後以根憑證結尾。如果憑證鏈順序不同或包含重複或其他憑證，則您會收到簽章不相符錯誤，且 STS 無法驗證 JSON Web 權杖 (JWT)。更正從伺服器傳回的鏈結中的憑證順序，以解決錯誤。如需有關憑證鏈標準的詳細資訊，請參閱 RFC 系列網站上的 [RFC 5246 中的 certificate\_list](https://www.rfc-editor.org/rfc/rfc5246#section-7.4.2)。

1. 將 IAM 角色指派給您的身分提供者，以提供身分提供者管理的外部使用者身分許可，以存取您帳戶中 AWS 的資源。若要深入了解如何建立聯合身分角色，請參閱 [為第三方身分提供者建立角色](id_roles_create_for-idp.md)。
**注意**  
角色信任政策中使用的 OIDC IdP 必須與信任它的角色位於相同帳戶中。

**新增或移除 IAM OIDC 身分提供者的指紋 (主控台)**
**注意**  
AWS 使用我們的信任根憑證授權機構 (CAsIdPs) 的通訊，以驗證 JSON Web Key Set (JWKS) 端點的 TLS 憑證。如果您的 OIDC IdP 依賴的憑證不是由這些信任CAs 之一簽署，則我們只會使用 IdP 組態中設定的指紋進行安全通訊。如果我們無法擷取 TLS 憑證或如果需要 TLS v1.3， AWS 將返回指紋驗證。

1. 在以下網址開啟 IAM 主控台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在導覽窗格中，請選擇 **Identity providers** (身分提供者)。然後選擇您要更新的 IAM 身分提供者名稱。

1. 選擇**端點驗證**索引標籤，然後在**指紋**區段中，選擇**管理**。若要輸入新的指紋值，請選擇 **Add thumbprint** 新增指紋。若要移除指紋，請選擇要移除的指紋旁的 **Remove** (移除)。
**注意**  
IAM OIDC 身分提供者必須至少有 1 個和最多可有 5 個指紋。

    完成後，請選擇 **Save changes** (儲存變更)。

**新增 IAM OIDC 身分提供者的對象 (主控台)**

1. 在導覽窗格中，選擇 **Identity providers** (身分提供者)，然後選擇您所要更新 IAM 身分提供者的名稱。

1. 在 **Audiences** (對象) 區段中，選擇 **Actions** (動作) 並選取 **Add audience** (新增對象)。

1. 輸入您向 IdP 註冊並在 中接收的應用程式的用戶端 ID[Step 1](#idpoidcstep1)，該應用程式將向其發出請求 AWS。然後選擇 **Add audiences** (新增對象)。
**注意**  
IAM OIDC 身分提供者必須至少有 1 個和最多可有 100 個對象。

**移除 IAM OIDC 身分提供者的對象 (主控台)**

1. 在導覽窗格中，選擇 **Identity providers** (身分提供者)，然後選擇您所要更新 IAM 身分提供者的名稱。

1. 在 **Audiences** (對象) 區段中，選取您要移除之對象旁邊的選項按鈕，然後選取 **Actions** (動作)。

1.  選擇 **Remove audience** (移除對象)。新的視窗將開啟。

1. 如果您移除對象，與對象聯合的身分無法擔任與對象相關聯的角色。在視窗中，閱讀警告，並在欄位中輸入單字 `remove`，確認您要移除對象。

1. 選擇 **Remove** (移除) 以移除對象。

**刪除 IAM OIDC 身分提供者 (主控台)**

1. 在以下網址開啟 IAM 主控台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在導覽窗格中，請選擇 **Identity providers** (身分提供者)。

1. 在您要刪除的 IAM 身分提供者旁邊，勾選核取方塊。新的視窗將開啟。

1. 在欄位中輸入單字 `delete`，確認您要刪除提供者。再選擇 **Delete** (刪除)。

## 建立及管理 IAM OIDC 身分提供者 (AWS CLI)
<a name="manage-oidc-provider-cli"></a>

您可以使用下列 AWS CLI 命令來建立和管理 IAM OIDC 身分提供者。

**建立 IAM OIDC 身分提供者 (AWS CLI)**

1. (選用) 若要取得 AWS 帳戶中所有 IAM OIDC 身分提供者的清單，請執行下列命令：
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/list-open-id-connect-providers.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-open-id-connect-providers.html)

1. 若要建立新的 IAM OIDC 身分提供者，請執行下列命令：
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/create-open-id-connect-provider.html](https://docs.aws.amazon.com/cli/latest/reference/iam/create-open-id-connect-provider.html)

**更新現有 IAM OIDC 身分提供者的伺服器憑證指紋清單 (AWS CLI)**
+ 若要更新現有 IAM OIDC 身分提供者的伺服器憑證指紋清單，請執行下列命令：
  + [https://docs.aws.amazon.com/cli/latest/reference/iam/update-open-id-connect-provider-thumbprint.html](https://docs.aws.amazon.com/cli/latest/reference/iam/update-open-id-connect-provider-thumbprint.html)

**標記現有的 IAM OIDC 身分提供者 (AWS CLI)**
+ 若要標記現有 IAM OIDC 身分提供者，請執行下列命令：
  + [https://docs.aws.amazon.com/cli/latest/reference/iam/tag-open-id-connect-provider.html](https://docs.aws.amazon.com/cli/latest/reference/iam/tag-open-id-connect-provider.html)

**列出現有 IAM OIDC 身分提供者 (AWS CLI) 的標籤**
+ 若要列出現有 IAM OIDC 身分提供者的標籤，請執行下列命令：
  + [https://docs.aws.amazon.com/cli/latest/reference/iam/list-open-id-connect-provider-tags.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-open-id-connect-provider-tags.html)

**移除 IAM OIDC 身分提供者 (AWS CLI) 的標籤**
+ 若要移除 IAM OIDC 身分提供者的標籤，請執行下列命令：
  + [https://docs.aws.amazon.com/cli/latest/reference/iam/untag-open-id-connect-provider.html](https://docs.aws.amazon.com/cli/latest/reference/iam/untag-open-id-connect-provider.html)

**從現有 IAM OIDC 身分提供者新增或移除用戶端 ID (AWS CLI API)**

1. (選用) 若要取得 AWS 帳戶中所有 IAM OIDC 身分提供者的清單，請執行下列命令：
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/list-open-id-connect-providers.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-open-id-connect-providers.html)

1. (選用) 若要取得有關 IAM OIDC 身分提供者的詳細資訊，請執行下列命令：
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/get-open-id-connect-provider.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-open-id-connect-provider.html)

1. 若要將新的用戶端 ID 新增到現有 IAM OIDC 身分提供者，請執行下列命令：
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/add-client-id-to-open-id-connect-provider.html](https://docs.aws.amazon.com/cli/latest/reference/iam/add-client-id-to-open-id-connect-provider.html)

1. 若要從現有 IAM OIDC 身分提供者中移除用戶端，請執行下列命令：
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/remove-client-id-from-open-id-connect-provider.html](https://docs.aws.amazon.com/cli/latest/reference/iam/remove-client-id-from-open-id-connect-provider.html)

**若要刪除 IAM OIDC 身分提供者 (AWS CLI)**

1. (選用) 若要取得 AWS 帳戶中所有 IAM OIDC 身分提供者的清單，請執行下列命令：
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/list-open-id-connect-providers.html](https://docs.aws.amazon.com/cli/latest/reference/iam/list-open-id-connect-providers.html)

1. (選用) 若要取得有關 IAM OIDC 身分提供者的詳細資訊，請執行下列命令：
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/get-open-id-connect-provider.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-open-id-connect-provider.html)

1. 若要刪除 IAM OIDC 身分提供者，請執行下列命令：
   + [https://docs.aws.amazon.com/cli/latest/reference/iam/delete-open-id-connect-provider.html](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-open-id-connect-provider.html)

## 建立和管理 OIDC Identity Provider (AWS API)
<a name="manage-oidc-provider-api"></a>

您可以使用以下 IAM API 命令來建立及管理 OIDC 提供者。

**建立 IAM OIDC 身分提供者 (AWS API)**

1. (選用) 若要取得 AWS 帳戶中所有 IAM OIDC 身分提供者的清單，請呼叫下列操作：
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListOpenIDConnectProviders.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListOpenIDConnectProviders.html)

1. 若要建立新的 IAM OIDC 身分提供者，請呼叫下列操作：
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateOpenIDConnectProvider.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateOpenIDConnectProvider.html)

**更新現有 IAM OIDC 身分提供者 (AWS API) 的伺服器憑證指紋清單**
+ 若要更新現有 IAM OIDC 身分提供者的伺服器憑證指紋清單，請呼叫下列操作：
  + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateOpenIDConnectProviderThumbprint.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateOpenIDConnectProviderThumbprint.html)

**標記現有的 IAM OIDC 身分提供者 (AWS API)**
+ 若要標記現有 IAM OIDC 身分提供者，請叫用下列操作：
  + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagOpenIDConnectProvider.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_TagOpenIDConnectProvider.html)

**列出現有 IAM OIDC 身分提供者 (AWS API) 的標籤**
+ 若要列出現有 IAM OIDC 身分提供者的標籤，請叫用下列操作：
  + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListOpenIDConnectProviderTags.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListOpenIDConnectProviderTags.html)

**移除現有 IAM OIDC 身分提供者 (AWS API) 上的標籤**
+ 若要移除現有 IAM OIDC 身分提供者的標籤，請叫用下列操作：
  + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagOpenIDConnectProvider.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UntagOpenIDConnectProvider.html)

**從現有的 IAM OIDC 身分提供者 (AWS API) 新增或移除用戶端 ID**

1. (選用) 若要取得 AWS 帳戶中所有 IAM OIDC 身分提供者的清單，請呼叫下列操作：
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListOpenIDConnectProviders.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListOpenIDConnectProviders.html)

1. (選用) 若要取得有關 IAM OIDC 身分提供者的詳細資訊，請呼叫下列操作：
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOpenIDConnectProvider.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOpenIDConnectProvider.html)

1. 若要將新的用戶端 ID 新增到現有 IAM OIDC 身分提供者，請呼叫下列操作：
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_AddClientIDToOpenIDConnectProvider.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_AddClientIDToOpenIDConnectProvider.html)

1. 若要從現有 IAM OIDC 身分提供者中移除用戶端 ID，請呼叫下列操作：
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveClientIDFromOpenIDConnectProvider.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_RemoveClientIDFromOpenIDConnectProvider.html)

**刪除 IAM OIDC 身分提供者 (AWS API)**

1. (選用) 若要取得 AWS 帳戶中所有 IAM OIDC 身分提供者的清單，請呼叫下列操作：
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListOpenIDConnectProviders.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListOpenIDConnectProviders.html)

1. (選用) 若要取得有關 IAM OIDC 身分提供者的詳細資訊，請呼叫下列操作：
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOpenIDConnectProvider.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetOpenIDConnectProvider.html)

1. 若要刪除 IAM OIDC 身分提供者，請呼叫下列操作：
   + [https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteOpenIDConnectProvider.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteOpenIDConnectProvider.html)