AWS STS Regionen und AWS Gängige Szenarien für temporäre Anmeldeinformationen

Temporäre IAM Sicherheitsanmeldeinformationen

Sie können die AWS Security Token Service (AWS STS) verwenden, um vertrauenswürdige Benutzer zu erstellen und temporäre Sicherheitsanmeldeinformationen bereitzustellen, die den Zugriff auf Ihre - AWS Ressourcen steuern können. Temporäre Sicherheitsanmeldeinformationen funktionieren fast genauso wie die langfristigen Zugriffsschlüssel-Anmeldeinformationen, mit folgenden Unterschieden:

Temporäre Sicherheitsanmeldeinformationen sind über einen kurzen Zeitraum gültig, wie der Name schon sagt. Sie können mit einer Gültigkeitsdauer von wenigen Minuten bis mehrere Stunden konfiguriert werden. Nach Ablauf der Anmeldeinformationen erkennt sie AWS nicht mehr oder erlaubt keinen Zugriff mehr auf API-Anfragen, die mit ihnen gestellt wurden.
Temporäre Sicherheitsanmeldeinformationen werden nicht mit dem Benutzer gespeichert, sondern auf Anforderung des Benutzers dynamisch generiert und bereitgestellt. Wenn (oder sogar bevor) die temporären Anmeldeinformationen ablaufen, kann der Benutzer neue Anmeldeinformationen anfordern, solange der anfordernde Benutzer weiterhin dazu berechtigt ist.

Daher haben temporäre Anmeldeinformationen die folgenden Vorteile gegenüber langfristigen Anmeldeinformationen:

Sie müssen keine langfristigen AWS Sicherheitsanmeldeinformationen verteilen oder in eine Anwendung einbetten.
Sie können Benutzern Zugriff auf Ihre - AWS Ressourcen gewähren, ohne eine AWS Identität für sie definieren zu müssen. Temporäre Anmeldeinformationen sind die Grundlage für Rollen und Identitätsverbund .
Die temporären Anmeldeinformationen haben eine begrenzte Nutzungsdauer. Somit müssen Sie sie aktualisieren oder explizit widerrufen, wenn Sie sie nicht mehr benötigen. Nachdem die temporären Anmeldeinformationen abgelaufen sind, können sie nicht erneut verwendet werden. Sie können die Gültigkeit der Anmeldeinformationen bis zu einem bestimmten Höchstwert festlegen.

AWS STS Regionen und AWS

Temporäre Sicherheitsanmeldeinformationen werden von AWS STS generiert. Standardmäßig AWS STS ist ein globaler Service mit einem einzelnen Endpunkt unter https://sts.amazonaws.com. Sie können jedoch auch API AWS STS -Aufrufe an Endpunkte in jeder anderen unterstützten Region tätigen. Dies kann die Latenz (Serververzögerung) verringern, indem die Anforderungen an Server in einer Region in Ihrer Nähe gesendet werden. Ihre Anmeldeinformationen sind unabhängig von der Region, in der sie generiert werden, weltweit gültig. Weitere Informationen finden Sie unter Verwalten von AWS STS in einer AWS-Region.

Gängige Szenarien für temporäre Anmeldeinformationen

Temporäre Anmeldeinformationen sind in Szenarien mit Identitätsverbund, Delegierung, kontoübergreifenden Zugriff und IAM-Rollen nützlich.

Identitätsverbund

Sie können Ihre Benutzeridentitäten in einem externen System außerhalb von verwalten AWS und Benutzern, die sich von diesen Systemen aus anmelden, Zugriff gewähren, um AWS Aufgaben auszuführen und auf Ihre AWS -Ressourcen zuzugreifen. IAM unterstützt zwei Arten von Identitätsverbund. In beiden Fällen werden die Identitäten außerhalb von gespeichert AWS. Der Unterschied liegt darin, wo Ihr externes System angesiedelt ist &endash in Ihrem Rechenzentrum oder bei einem Anbieter im Internet. Weitere Informationen zu externen Identitätsanbietern erhalten Sie unter Identitätsanbieter und Verbund.

SAML-Verbund – Sie können Benutzer im Netzwerk Ihrer Organisation authentifizieren und diesen Benutzern dann Zugriff auf gewähren, AWS ohne neue AWS Identitäten für sie zu erstellen und eine Anmeldung mit unterschiedlichen Anmeldeinformationen zu verlangen. Dies wird als Single-Sign-On-Ansatz für den temporären Zugriff bezeichnet. AWS STS unterstützt offene Standards wie Security Assertion Markup Language (SAML) 2.0, mit denen Sie Microsoft AD FS verwenden können, um Ihr Microsoft Active Directory zu nutzen. Sie können mit SAML 2.0 auch Ihre eigene Lösung zum Verbinden von Benutzeridentitäten verwalten. Weitere Informationen finden Sie unter SAML 2.0-Verbund.
- Benutzerdefinierter Verbund-Broker – Sie können das Authentifizierungssystem Ihrer Organisation verwenden, um Zugriff auf - AWS Ressourcen zu gewähren. Ein Beispielszenario finden Sie unter Aktivieren des benutzerdefinierten Identity-Broker-Zugriffs auf die AWS Konsole.
- Verbund mit SAML 2.0 – Verwenden Sie das Authentifizierungssystem Ihrer Organisation und SAML, um Zugriff auf AWS -Ressourcen zu gewähren. Weitere Informationen sowie ein Beispielszenario finden Sie unter SAML 2.0-Verbund.
OpenID Connect (OIDC)-Verbund – Sie können es Benutzern ermöglichen, sich mit einem bekannten externen Identitätsanbieter wie Login with Amazon, Facebook, Google oder einem beliebigen OIDC-2.0-kompatiblen Anbieter für Ihre mobile oder Webanwendung anzumelden. Sie müssen keinen benutzerdefinierten Anmeldecode erstellen oder Ihre eigenen Benutzeridentitäten verwalten. Die Verwendung des OIDC-Verbunds hilft Ihnen, Ihr zu AWS-Konto schützen, da Sie keine langfristigen Sicherheitsanmeldeinformationen wie IAM-Benutzerzugriffsschlüssel mit Ihrer Anwendung verteilen müssen. Weitere Informationen finden Sie unter OIDC-Verbund.

AWS STS Der OIDC-Verbund unterstützt Login with Amazon, Facebook, Google und jeden OpenID Connect (OIDC)-kompatiblen Identitätsanbieter.

Anmerkung
Für mobile Anwendungen empfehlen wir die Verwendung von Amazon Cognito. Sie können diesen Service mit - AWS SDKs für die mobile Entwicklung verwenden, um eindeutige Identitäten für Benutzer zu erstellen und sie für einen sicheren Zugriff auf Ihre - AWS Ressourcen zu authentifizieren. Amazon Cognito unterstützt dieselben Identitätsanbieter wie AWS STS, unterstützt auch nicht authentifizierten (Gast-) Zugriff und ermöglicht Ihnen die Migration von Benutzerdaten, wenn sich ein Benutzer anmeldet. Amazon Cognito stellt auch API-Operationen für die Synchronisierung von Benutzerdaten bereit, sodass diese erhalten bleiben, wenn die Benutzer zwischen Geräten wechseln. Weitere Informationen finden Sie unter Authentifizierung mit Amplify in der Amplify-Dokumentation.

Rollen für den kontoübergreifenden Zugriff

Viele Organisationen verfügen über mehrere AWS-Konto. Mithilfe von Rollen und dem kontoübergreifenden Zugriff können Sie Benutzeridentitäten in einem Konto definieren und diese Identitäten für den Zugriff auf AWS -Ressourcen in anderen Konten Ihrer Organisation verwenden. Dies wird als Delegierung für den temporären Zugriff bezeichnet. Weitere Informationen zum Erstellen kontenübergreifender Rollen finden Sie unter Erstellen einer Rolle zum Delegieren von Berechtigungen an einen IAM-Benutzer. Informationen darüber, ob Auftraggeber in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter Was ist IAM Access Analyzer?.

IAM-Rollen für Amazon EC2

Wenn Sie Anwendungen auf Amazon EC2-Instances ausführen und diese Anwendungen auf AWS -Ressourcen zugreifen müssen, können Sie temporäre Sicherheitsanmeldeinformationen für Ihre Instances bereitstellen, wenn Sie sie starten. Diese temporären Sicherheitsanmeldeinformationen sind für alle Anwendungen verfügbar, die in der Instance ausgeführt werden. Sie müssen daher keine langfristigen Anmeldeinformationen in der Instance speichern. Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden.

Andere - AWS Services

Sie können temporäre Sicherheitsanmeldeinformationen verwenden, um auf die meisten - AWS Services zuzugreifen. Eine Liste der Services, die temporäre Sicherheitsanmeldeinformationen zulassen, finden Sie unter AWS Dienste, die mit IAM funktionieren.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Aktivieren von Zugriff auf die AWS-Konsole für SAML-2.0-Verbundbenutzer

Anfordern temporärer Sicherheitsanmeldeinformationen