Extern IDs für den Zugriff durch Dritte Wann sollte ich die externe ID verwenden?Beispielszenario mit einer externen ID Wichtige Punkte für externe IDs Weitere Ressourcen

Zugriff auf AWS-Konten Eigentum Dritter

Wenn Dritte Zugriff auf die AWS Ressourcen Ihrer Organisation benötigen, können Sie Rollen verwenden, um den Zugriff auf diese Ressourcen zu delegieren. Zum Beispiel könnte ein externer Benutzer einen Service zur Verwaltung Ihrer AWS -Ressourcen anbieten. Mit IAM Rollen können Sie diesen Dritten Zugriff auf Ihre AWS Ressourcen gewähren, ohne Ihre AWS Sicherheitsanmeldedaten weitergeben zu müssen. Stattdessen kann der Drittanbieter auf Ihre AWS Ressourcen zugreifen, indem er eine Rolle übernimmt, die Sie in Ihrem erstellen AWS-Konto. Informationen darüber, ob Prinzipale in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff darauf haben, Ihre Rollen zu übernehmen, finden Sie unter Was ist IAM Access Analyzer? .

Externe Benutzer müssen Ihnen die folgenden Informationen bereitstellen, damit Sie eine von ihnen übernehmbare Rolle erstellen können:

Die AWS-Konto ID der dritten Partei. Sie legen diese AWS-Konto -ID als Prinzipal fest, wenn Sie die Vertrauensrichtlinie für die Rolle definieren.
Eine externe ID, die der Rolle eindeutig zugeordnet werden kann. Die externe ID kann eine beliebige geheime Kennung sein, die Ihnen und dem Drittanbieter bekannt ist. Sie können beispielsweise eine Rechnungs-ID zwischen Ihnen und dem externen Benutzer verwenden. Benutzen Sie aber keine leicht zu erratenden Zeichenfolgen wie den Namen oder die Telefonnummer des externen Benutzers. Sie müssen diese ID festlegen, wenn Sie die Vertrauensrichtlinie für die Rolle definieren. Der externe Benutzer muss diese ID angeben, wenn er die Rolle übernimmt.
Die Berechtigungen, die der Drittanbieter benötigt, um mit Ihren AWS Ressourcen zu arbeiten. Sie müssen diese Berechtigungen festlegen, wenn Sie die Berechtigungsrichtlinie für die Rolle definieren. Diese Richtlinie bestimmt, welche Aktionen der externe Benutzer ausführen darf und auf welche Ressourcen er Zugriff hat.

Nachdem Sie die Rolle erstellt haben, müssen Sie dem Drittanbieter den Amazon-Ressourcennamen (ARN) der Rolle zur Verfügung stellen. Sie benötigen Ihre Rollen, ARN um die Rolle übernehmen zu können.

Wichtig

Wenn Sie Dritten Zugriff auf Ihre AWS Ressourcen gewähren, können diese auf jede Ressource zugreifen, die Sie in der Richtlinie angeben. Die vom externen Benutzer genutzten Ressourcen werden Ihnen in Rechnung gestellt. Stellen Sie sicher, dass Sie die Nutzung Ihrer Ressourcen sinnvoll einschränken.

Extern IDs für den Zugriff durch Dritte

Eine externe ID ermöglicht es dem Benutzer, der die Rolle übernimmt, die Umstände, unter denen er tätig ist, zu bestätigen. Außerdem kann der Kontoinhaber die Umstände festlegen, unter denen die Rolle angenommen werden kann. Die primäre Funktion des externen Ausweises besteht darin, Das Confused-Deputy-Problem zu lösen und zu verhindern.

Wichtig

AWS behandelt die externe ID nicht als geheim. Nachdem Sie ein Geheimnis wie ein Zugriffsschlüsselpaar oder ein Passwort erstellt haben AWS, können Sie es nicht erneut anzeigen. Die externe ID für eine Rolle kann von jedem Benutzer mit der Berechtigung zum Anzeigen der Rolle angezeigt werden.

Wann sollte ich die externe ID verwenden?

Verwenden Sie in folgenden Situationen eine externe ID:

Sie sind AWS-Konto Eigentümer und haben eine Rolle für einen Drittanbieter konfiguriert, der zusätzlich zu Ihrer Rolle AWS-Konten auf andere zugreift. Sie sollten den Dritten um eine externe ID bitten, die er mit angeben muss, wenn er Ihre Rolle annimmt. Dann führen Sie eine Prüfung durch, um zu testen, ob diese externe ID in der Vertrauensrichtlinie Ihrer Rolle vorhanden ist. Auf diese Weise wird sichergestellt, dass die externe Partei Ihre Rolle nur annehmen kann, wenn sie in Ihrem Namen handelt.
Sie sind wie Beispielunternehmen in unserem vorherigen Szenario in einer Position, in der Sie Rollen für verschiedene Kunden annehmen, Sie sollten jedem Kunden eine eindeutige externe ID zuweisen und Ihre Kunden anweisen, die externe ID in die Vertrauensrichtlinie ihrer Rolle aufzunehmen. Anschließend müssen Sie in allen Anforderungen, in der Sie Rollen annehmen möchten, die korrekte externe ID angeben.

Sie verfügen wahrscheinlich bereits über eine eindeutige ID für jeden Kunden, die Sie als externe ID verwenden können. Bei der externen ID handelt es sich nicht um einen Wert, den Sie explizit erstellen oder separat nur für diesen Zweck nachverfolgen müssen.

Sie sollten in Ihren AssumeRole API Anrufen immer die externe ID angeben. Wenn Ihnen ein Kunde eine Rolle zuweistARN, testen Sie außerdem, ob Sie die Rolle sowohl mit als auch ohne die richtige externe ID übernehmen können. Wenn Sie die Rolle ohne die richtige externe ID übernehmen können, speichern Sie die Rolle des Kunden nicht ARN in Ihrem System. Warten Sie, bis der Kunde die Vertrauensrichtlinie der Rolle aktualisiert hat und eine Überprüfung der externen ID vornimmt. So helfen Sie Ihren Kunden, sich korrekt zu verhalten und sich selbst und Ihr Unternehmen vor dem Problem des verwirrten Stellvertreters zu schützen.

Beispielszenario mit einer externen ID

Nehmen wir zum Beispiel an, Sie beschließen, ein Drittanbieter namens Example Corp mit der Überwachung Ihrer Kosten AWS-Konto und der Kostenoptimierung zu beauftragen. Um Ihre täglichen Ausgaben verfolgen zu können, muss Example Corp auf Ihre AWS Ressourcen zugreifen. Example Corp überwacht zudem viele weitere AWS -Konten anderer Kunden.

Geben Sie Example Corp keinen Zugriff auf einen IAM Benutzer und seine langfristigen Anmeldeinformationen in Ihrem AWS Konto. Verwenden Sie stattdessen eine IAM Rolle und ihre temporären Sicherheitsanmeldedaten. Eine IAM Rolle bietet einen Mechanismus, mit dem Dritte auf Ihre AWS Ressourcen zugreifen können, ohne langfristige Anmeldeinformationen (z. B. einen IAM Benutzerzugriffsschlüssel) weitergeben zu müssen.

Sie können eine IAM Rolle verwenden, um eine vertrauenswürdige Beziehung zwischen Ihrem Konto AWS-Konto und dem Konto von Example Corp aufzubauen. Nachdem diese Beziehung hergestellt wurde, kann ein Mitglied des Example Corp-Kontos das anrufen, AWS Security Token Service AssumeRoleAPIum temporäre Sicherheitsanmeldeinformationen zu erhalten. Die Mitglieder von Example Corp können die Anmeldeinformationen dann verwenden, um auf AWS Ressourcen in Ihrem Konto zuzugreifen.

Anmerkung

Weitere Informationen zu diesen AssumeRole und anderen AWS API Vorgängen, die Sie aufrufen können, um temporäre Sicherheitsanmeldedaten zu erhalten, finden Sie unterAWS STS Referenzen vergleichen.

Nachfolgend ist dieses Szenario detaillierter aufgeschlüsselt:

Sie beauftragen Beispielunternehmen und diese erstellen eine eindeutige Kunden-ID für Sie. Sie erhalten diese eindeutige Kundennummer und ihre AWS-Konto Kundennummer. Sie benötigen diese Informationen, um im nächsten Schritt eine IAM Rolle zu erstellen.

Anmerkung
Example Corp kann einen beliebigen Zeichenkettenwert für die verwenden ExternalId, sofern dieser für jeden Kunden eindeutig ist. Es kann sich dabei um eine Kundenkontonummer oder eine zufällige Zeichenfolge handeln, solange nicht für zwei Kunden derselbe Wert verwendet wird. Diese Nummer muss nicht geheim gehalten werden. Example Corp muss den ExternalId Wert jedem Kunden zur Verfügung stellen. Wichtig dabei ist, dass diese ID von Unternehmen XY und nicht von den Kunden generiert wird, um sicherzustellen, dass jede externe ID einzigartig ist.
Sie melden sich an AWS und erstellen eine IAM Rolle, die Example Corp Zugriff auf Ihre Ressourcen gewährt. Wie jede IAM Rolle hat auch die Rolle zwei Richtlinien, eine Berechtigungsrichtlinie und eine Vertrauensrichtlinie. Über die Vertrauensrichtlinie der Rolle wird festgelegt, wer die Rolle annehmen kann. In unserem Beispielszenario gibt die Richtlinie die AWS-Konto Anzahl von Example Corp als anPrincipal. Dies ermöglicht Identitäten dieses Kontos, die Rolle anzunehmen. Außerdem fügen Sie der Vertrauensrichtlinie ein Condition-Element hinzu. Mit diesem Condition wird der Kontextschlüssel ExternalId getestet, um sicherzustellen, dass er mit der eindeutigen Kunden-ID von Beispielunternehmen übereinstimmt.
```
    "Principal": {"AWS": "Example Corp's AWS-Konto ID"},
    "Condition": {"StringEquals": {"sts:ExternalId": "Unique ID Assigned by Example Corp"}}
```
In der Berechtigungsrichtlinie der Rolle ist festgelegt, welche Berechtigungen mit der Rolle verliehen werden. Sie könnten beispielsweise angeben, dass die Rolle es jemandem ermöglicht, nur Ihre Amazon EC2 - und RDS Amazon-Ressourcen zu verwalten, nicht jedoch Ihre IAM Benutzer oder Gruppen. In unserem Beispielszenario können Sie Beispielunternehmen über die Berechtigungsrichtlinie schreibgeschützten Zugriff auf sämtliche Ressourcen in Ihrem Konto gewähren.
Nachdem Sie die Rolle erstellt haben, geben Sie den Amazon-Ressourcennamen (ARN) der Rolle an Example Corp. weiter.
Wenn Example Corp auf Ihre AWS Ressourcen zugreifen muss, ruft jemand aus dem Unternehmen den an. AWS sts:AssumeRole API Der Anruf beinhaltet die Angabe ARN der Rolle, die übernommen werden soll, und den ExternalId Parameter, der der Kunden-ID entspricht.

Wenn die Anfrage von jemandem kommt, der Example Corps verwendet AWS-Konto, und wenn die Rolle ARN und die externe ID korrekt sind, ist die Anfrage erfolgreich. Anschließend werden temporäre Sicherheitsanmeldedaten bereitgestellt, mit denen Example Corp auf die AWS Ressourcen zugreifen kann, die Ihre Rolle zulässt.

Anders ausgedrückt, wenn eine Rollenrichtlinie eine externe ID enthält, muss jemand, der die Rolle annehmen möchte, als Auftraggeber in der Rolle angegeben sein und muss die korrekte externe ID angeben.

Wichtige Punkte für externe IDs

In einer Umgebung mit mehreren Mandanten, in der Sie mehrere Kunden mit unterschiedlichen AWS Konten unterstützen, empfehlen wir, jeweils eine externe ID zu verwenden. AWS-Konto Diese ID sollte eine zufällige Zeichenfolge sein, die von der Drittpartei generiert wird.
Um zu verlangen, dass der Drittanbieter beim Übernehmen einer Rolle eine externe ID bereitstellt, aktualisieren Sie die Vertrauensrichtlinie der Rolle mit der externen ID Ihrer Wahl.
Wenn Sie bei der Übernahme einer Rolle eine externe ID angeben möchten, verwenden Sie das AWS CLI oder, AWS API um diese Rolle anzunehmen. Weitere Informationen finden Sie unter Operation oder STS AssumeRoleAPIOperation „STSAssume-RoleCLI“.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen helfen, mehr darüber zu erfahren, wie Sie Zugriff auf Dateien gewähren, die AWS-Konten Eigentum Dritter sind.

Informationen darüber, wie Sie anderen die Ausführung von Aktionen in Ihrem ermöglichen können AWS-Konto, finden Sie unterEine Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien erstellen .
Informationen dazu, wie Sie die Erlaubnis erteilen, zu einer Rolle zu wechseln, finden Sie unter Erteilen Sie einem Benutzer die Erlaubnis, die Rollen zu wechseln
Informationen zum Erstellen und Bereitstellen temporärer Sicherheitsanmeldedaten für vertrauenswürdige Benutzer finden Sie unterBerechtigungen für temporäre Sicherheitsanmeldedaten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zugriff für Nicht-Workloads AWS

Zugang zu AWS Diensten