Identitätsanbieter und Verbund - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Identitätsanbieter und Verbund

Als bewährte Methode empfehlen wir, dass menschliche Benutzer für den Zugriff auf AWS Ressourcen einen Verbund mit einem Identitätsanbieter verwenden müssen, anstatt einzelne IAM Benutzer in Ihrem System zu erstellen AWS-Konto. Mit einem Identitätsanbieter (IdP) können Sie Ihre Benutzeridentitäten außerhalb von verwalten AWS und diesen externen Benutzeridentitäten Berechtigungen zur Nutzung von AWS Ressourcen in Ihrem Konto erteilen. Dies ist hilfreich, wenn Sie in Ihrer Organisation bereits ein eigenes Identitätssystem wie ein unternehmensweites Benutzerverzeichnis verwenden. Dies ist auch nützlich, wenn Sie eine mobile App oder Webanwendung erstellen, für die Zugriff auf Ressourcen erforderlich ist. AWS

Anmerkung

Sie können menschliche Benutzer in IAMIdentity Center auch mit einem externen SAML Identitätsanbieter verwalten, anstatt SAML Federation in zu verwendenIAM. IAM Der Identity Center-Verbund mit einem Identitätsanbieter bietet Ihnen die Möglichkeit, Personen Zugriff auf mehrere AWS Konten in Ihrer Organisation und auf mehrere AWS Anwendungen zu gewähren. Informationen zu bestimmten Situationen, in denen ein IAM Benutzer erforderlich ist, finden Sie unter Wann sollte ein IAM Benutzer (statt einer Rolle) erstellt werden?

Wenn Sie lieber ein einzelnes AWS Konto verwenden möchten, ohne IAM Identity Center zu aktivieren, können Sie es IAM mit einem externen IdP verwenden, der Identitätsinformationen für die AWS Verwendung von OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) bereitstellt. OIDCverbindet Anwendungen wie GitHub Aktionen, die nicht auf Ressourcen ausgeführt werden. AWS AWS Beispiele für bekannte SAML Identitätsanbieter sind Shibboleth und Active Directory Federation Services.

Wenn Sie einen -Identitätsanbieter verwenden, müssen Sie keinen eigenen Anmeldecode schreiben oder eigene Benutzeridentitäten verwalten. Der Identitätsanbieter erledigt das für Sie. Ihre externen Benutzer melden sich über einen IdP an, und Sie können diesen externen Identitäten Berechtigungen zur Nutzung von AWS Ressourcen in Ihrem Konto erteilen. Identitätsanbieter tragen zu Ihrer AWS-Konto Sicherheit bei, da Sie keine langfristigen Sicherheitsanmeldedaten wie Zugriffsschlüssel verteilen oder in Ihre Anwendung einbetten müssen.

Anhand der folgenden Tabelle können Sie ermitteln, welcher IAM Verbundtyp für Ihren Anwendungsfall am besten geeignet ist: IAM IAM Identity Center oder Amazon Cognito. Die folgenden Zusammenfassungen und Tabellen bieten einen Überblick über die Methoden, mit denen Ihre Benutzer Verbundzugriff auf Ressourcen erhalten können. AWS

IAMVerbundtyp Account type (Art des Kontos) Zugriffsverwaltung von: Unterstützte Identitätsquelle

Föderation mit IAM Identity Center

Mehrere Konten, verwaltet von AWS Organizations

Die menschlichen Benutzer Ihrer Belegschaft

  • SAML 2.0

  • Verwaltetes Active Directory

  • Identity-Center-Verzeichnis

Föderation mit IAM

Einzelnes, eigenständiges Konto

  • Menschliche Benutzer in kurzfristigen, kleinen Bereitstellungen

  • Maschinelle Benutzer

  • SAML 2.0

  • OIDC

Verwenden von Amazon Cognito Sync mit Identitätspools

Any

Die Benutzer von Apps, für die eine IAM Autorisierung für den Zugriff auf Ressourcen erforderlich ist

  • SAML 2.0

  • OIDC

  • Wählen Sie OAuth 2.0-Anbieter für soziale Identität aus

Föderation mit IAM Identity Center

Für die zentrale Zugriffsverwaltung menschlicher Benutzer empfehlen wir, IAMIdentity Center zu verwenden, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Benutzern in IAM Identity Center werden kurzfristig Zugangsdaten für Ihre AWS Ressourcen gewährt. Sie können Active Directory, einen externen Identitätsanbieter (IdP) oder ein IAM Identity Center-Verzeichnis als Identitätsquelle für Benutzer und Gruppen verwenden, um Zugriff auf Ihre AWS Ressourcen zuzuweisen.

IAMIdentity Center unterstützt den Identitätsverbund mit SAML (Security Assertion Markup Language) 2.0, um Benutzern, die berechtigt sind, Anwendungen innerhalb des Zugriffsportals zu verwenden, einen föderierten Single Sign-On-Zugriff zu bieten. AWS Benutzer können sich dann per Single Sign-On bei Diensten anmeldenSAML, die Unterstützung bieten, einschließlich Anwendungen AWS Management Console und Drittanbieteranwendungen wie Microsoft 365, SAP Concur und Salesforce.

Verbund mit IAM

Wir empfehlen zwar dringend, menschliche Benutzer in IAM Identity Center zu verwalten, aber Sie können den Verbundbenutzerzugriff IAM für menschliche Benutzer in kurzfristigen, kleinen Implementierungen aktivieren. IAMermöglicht es Ihnen, separate SAML 2.0 und Open ID Connect (OIDC) zu verwenden IdPs und föderierte Benutzerattribute für die Zugriffskontrolle zu verwenden. Mit IAM können Sie Benutzerattribute wie Kostenstelle, Titel oder Gebietsschema von Ihrem an übergeben und IdPs auf diesen Attributen basierende AWS, detaillierte Zugriffsberechtigungen implementieren.

Eine Workload ist eine Sammlung von Ressourcen und Code, die einen geschäftlichen Nutzen erbringen, z. B. eine Anwendung oder ein Backend-Prozess. Ihr Workload kann eine IAM Identität erfordern, um Anfragen an AWS Dienste, Anwendungen, Betriebstools und Komponenten zu stellen. Zu diesen Identitäten gehören Maschinen, die in Ihren AWS Umgebungen ausgeführt werden, z. B. EC2 Amazon-Instances oder AWS Lambda -Funktionen.

Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Um Zugriff auf Maschinenidentitäten zu gewähren, können Sie Rollen verwendenIAM. IAMRollen verfügen über spezifische Berechtigungen und ermöglichen den Zugriff, AWS indem sie sich bei einer Rollensitzung auf temporäre Sicherheitsanmeldedaten verlassen. Darüber hinaus benötigen möglicherweise Computer außerhalb AWS dieser Systeme Zugriff auf Ihre AWS Umgebungen. Für Maschinen, die außerhalb von AWS Ihnen laufen, können Sie IAMRoles Anywhere verwenden. Weitere Informationen zu Rollen finden Sie unter IAM-Rollen. Einzelheiten dazu, wie Sie Rollen verwenden können, um den Zugriff an andere zu delegieren AWS-Konten, finden Sie unterIAMTutorial: Delegieren Sie den Zugriff über AWS Konten hinweg mithilfe von Rollen IAM.

Um einen IdP direkt zu verknüpfenIAM, erstellen Sie eine Identitätsanbieter-Entität, um eine Vertrauensbeziehung zwischen Ihnen AWS-Konto und dem IdP aufzubauen. IAMunterstützt IdPs , die mit OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) kompatibel sind. Weitere Informationen zur Verwendung einer dieser Optionen IdPs mit AWS finden Sie in den folgenden Abschnitten:

Verwenden von Amazon Cognito Sync mit Identitätspools

Amazon Cognito wurde für Entwickler entwickelt, die Benutzer in ihren Mobil- und Web-Apps authentifizieren und autorisieren möchten. Amazon Cognito Cognito-Benutzerpools fügen Ihrer App Anmelde- und Anmeldefunktionen hinzu, und Identitätspools stellen IAM Anmeldeinformationen bereit, die Ihren Benutzern Zugriff auf geschützte Ressourcen gewähren, in denen Sie verwalten. AWS Identitätspools erwerben während des Vorgangs Anmeldeinformationen für temporäre Sitzungen. AssumeRoleWithWebIdentityAPI

Amazon Cognito arbeitet mit externen Identitätsanbietern zusammen, die OpenID Connect unterstützenSAML, sowie mit Anbietern sozialer Identitäten wie Facebook, Google und Amazon. Ihre App kann einen Benutzer mit einem Benutzerpool oder einem externen IdP anmelden und dann Ressourcen in seinem Namen mit benutzerdefinierten temporären Sitzungen in einer IAM Rolle abrufen.

Weitere Ressourcen