共用 OIDC 提供者的身分提供者控制 - AWS Identity and Access Management
OIDC 提供者類型具有身分提供者控制的共用 OIDC 身分提供者其他資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

共用 OIDC 提供者的身分提供者控制

對於已辨識的共用 OpenID Connect (OIDC) 身分提供者 (IdPs),IAM 需要明確評估角色信任政策中的特定宣告。這些必要宣告稱為身分提供者控制,會在角色建立和信任政策更新期間由 IAM 評估。如果角色信任政策未評估共用 OIDC IdP 所需的控制項,則角色建立或更新將會失敗。這可確保只有來自預期組織的授權身分可以擔任角色和存取 AWS 資源。當多個 AWS 客戶共用 OIDC 供應商時,此安全控制至關重要。

IAM 不會評估現有 OIDC 角色信任政策的身分提供者控制項。對於現有 OIDC 角色的角色信任政策的任何修改,IAM 將要求角色信任政策中包含身分提供者控制項。

OIDC 提供者類型

IAM 將 OIDC 身分提供者分類為兩種不同的類型:私有共用。私有 OIDC IdP 可由單一組織擁有和管理,也可以是 SaaS 供應商的租戶,其 OIDC 發行者 URL 可作為該組織特有的唯一識別符。相反地,共用的 OIDC IdP 用於多個組織,其中使用該共用身分提供者的所有組織的 OIDC 發行者 URL 可能相同。

下表概述私有和共用 OIDC 供應商之間的主要差異:

特性 私有 OIDC 供應商 共用 OIDC 供應商

發行者

組織獨有

跨多個組織共用

租用資訊

透過唯一的發行者進行通訊

透過 JWT 中的宣告進行通訊

信任政策要求

不需要特定的宣告評估

評估所需的特定宣告

具有身分提供者控制的共用 OIDC 身分提供者

當您在 IAM 中建立或修改 OIDC 供應商時,系統會自動識別和評估已辨識的共用 OIDC 供應商所需的宣告。如果未在角色信任政策中設定 Identity-provider 控制項,則角色建立或更新會失敗,並顯示 MalformedPolicyDocument 錯誤。

下表列出在角色信任政策中需要身分提供者控制的共用 OIDC 供應商:

OIDC IdP OIDC URL 租用宣告 必要的宣告
Buildkite https://agent.buildkite.com

sub

 agent.buildkite.com:sub
Codefresh SaaS https://oidc.codefresh.io sub oidc.codefresh.io:sub
DVC Studio https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
GitHub 動作 https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
GitHub 稽核日誌串流 https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
GitHub vstoken https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
IBM Turbonomic SaaS*

  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

 sub

  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub
沙盒雲端 https://sandboxes.cloud aud sandboxes.cloud:aud
純量 https://scalr.io sub scalr.io:sub
Shisho 雲端 https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Terraform 雲端 https://app.terraform.io sub app.terraform.io:sub
上行 https://proidc.upbound.io sub proidc.upbound.io:sub

* IBM Turbonomic 會使用新版本的平台定期更新其 OIDC 發行者 URL。我們會視需要將範圍內的其他 Turbonomic OIDC 發行者新增為共用提供者。

對於 IAM 識別為共用的任何新 OIDC IdPs,角色信任政策所需的身分提供者控制項將以類似方式記錄和強制執行。

其他資源

其他資源: