Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitätsanbieter und Verbund
Wenn Sie bereits Benutzeridentitäten außerhalb von verwalten AWS, können Sie Identitätsanbieter verwenden, anstatt IAM-Benutzer in Ihrem zu erstellen AWS-Konto. Mit einem Identitätsanbieter (IdP) können Sie Ihre Benutzeridentitäten außerhalb von verwalten AWS und diesen externen Benutzeridentitäten Berechtigungen zur Verwendung von AWS Ressourcen in Ihrem Konto erteilen. Dies ist hilfreich, wenn Sie in Ihrer Organisation bereits ein eigenes Identitätssystem wie ein unternehmensweites Benutzerverzeichnis verwenden. Außerdem kann es beim Erstellen einer mobilen App oder Webanwendung nützlich sein, die Zugriff auf AWS -Ressourcen benötigt.
Ein externer IdP stellt Identitätsinformationen entweder für AWS mithilfe von OpenID Connect (OIDC)
Anmerkung
Als bewährte Sicherheitsmethode empfehlen wir, menschliche Benutzer in IAM Identity Center mit einem externen SAML-Identitätsanbieter zu verwalten, anstatt einen SAML-Verbund in IAM zu erstellen. Informationen zu bestimmten Situationen, in denen ein IAM-Benutzer erforderlich ist, finden Sie unter Wann sollte ein IAM-Benutzer (anstelle einer Rolle) erstellt werden?.
Wenn Sie einen -Identitätsanbieter verwenden, müssen Sie keinen eigenen Anmeldecode schreiben oder eigene Benutzeridentitäten verwalten. Der Identitätsanbieter erledigt das für Sie. Ihre externen Benutzer melden sich über einen IdP an, und Sie können diesen externen Identitäten Berechtigungen zur Verwendung von AWS Ressourcen in Ihrem Konto erteilen. Identitätsanbieter tragen zur AWS-Konto Sicherheit Ihres bei, da Sie keine langfristigen Sicherheitsanmeldeinformationen wie Zugriffsschlüssel in Ihre Anwendung verteilen oder einbetten müssen.
In diesem Handbuch wird der IAM-Verbund behandelt. Ihr Anwendungsfall wird möglicherweise besser von IAM Identity Center oder Amazon Cognito unterstützt. Die folgenden Zusammenfassungen und Tabellen bieten einen Überblick über die Methoden, mit denen sich Ihre Benutzer einen Verbundzugriff auf - AWS Ressourcen verschaffen können.
| Account type (Art des Kontos) | Zugriffsverwaltung von: | Unterstützte Identitätsquelle | |
|---|---|---|---|
|
Verbund mit IAM Identity Center |
Mehrere von verwaltete Konten AWS Organizations |
Die menschlichen Benutzer Ihrer Belegschaft |
|
|
Verbund mit IAM |
Einzelnes, eigenständiges Konto |
|
|
|
Verwenden von Amazon Cognito Sync mit Identitätspools |
Any |
Die Benutzer von Apps, die für den Zugriff auf Ressourcen eine IAM-Autorisierung benötigen |
|
Verbund mit IAM Identity Center
Für eine zentralisierte Zugriffsverwaltung von menschlichen Benutzern empfehlen wir Ihnen die Verwendung von IAM Identity Center, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Benutzern im IAM Identity Center werden kurzfristige Anmeldeinformationen für Ihre - AWS Ressourcen gewährt. Sie können Active Directory, einen externen Identitätsanbieter (IdP) oder ein IAM-Identity-Center-Verzeichnis als Identitätsquelle für Benutzer und Gruppen verwenden, um Zugriff auf Ihre - AWS Ressourcen zuzuweisen.
IAM Identity Center unterstützt den Identitätsverbund mit SAML (Security Assertion Markup Language) 2.0, um Benutzern, die zur Verwendung von Anwendungen im - AWS Zugriffsportal berechtigt sind, einen verbundenen Single-Sign-On-Zugriff zu gewähren. Benutzer können sich dann Single Sign-On bei Services anmelden, die SAML unterstützen, einschließlich der AWS Management Console und Anwendungen von Drittanbietern wie Microsoft 365, SAP Concur und Salesforce.
Verbund mit IAM
Wir empfehlen zwar dringend, menschliche Benutzer in IAM Identity Center zu verwalten, aber Sie können den Verbundbenutzerzugriff mit IAM für menschliche Benutzer in kurzfristigen, kleinen Bereitstellungen aktivieren. Mit IAM können Sie separate SAML 2.0 und Open ID Connect (OIDC) sowie Verbundbenutzerattribute für die Zugriffskontrolle IdPs verwenden. Mit IAM können Sie Benutzerattribute wie Kostenstelle, Titel oder Gebietsschema von Ihrem IdPs an übergeben AWS und basierend auf diesen Attributen detaillierte Zugriffsberechtigungen implementieren.
Eine Workload ist eine Sammlung von Ressourcen und Code, die einen geschäftlichen Nutzen erbringen, z. B. eine Anwendung oder ein Backend-Prozess. Ihr Workload kann eine IAM-Identität erfordern, um Anforderungen an - AWS Services, Anwendungen, Betriebstools und -Komponenten zu stellen. Zu diesen Identitäten gehören Maschinen, die in Ihren - AWS Umgebungen ausgeführt werden, wie Amazon EC2 oder - AWS Lambda Funktionen.
Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Um Zugriff auf Maschinenidentitäten zu gewähren, können Sie IAM-Rollen verwenden. IAM-Rollen verfügen über bestimmte Berechtigungen und bieten eine Möglichkeit, auf zuzugreifen, AWS indem sie sich auf temporäre Sicherheitsanmeldeinformationen mit einer Rollensitzung verlassen. Darüber hinaus verfügen Sie möglicherweise über Maschinen außerhalb von AWS , die Zugriff auf Ihre AWS -Umgebungen benötigen. Für Maschinen, die außerhalb von ausgeführt werden, können AWS Sie IAM Roles Anywhere verwenden. Weitere Informationen zu Rollen finden Sie unter IAM-Rollen. Weitere Informationen zur Verwendung von Rollen zum Delegieren des Zugriffs in finden AWS-Konten Sie unter Tutorial: Delegieren des Zugriffs in allen AWS-Konten mithilfe von IAM-Rollen.
Um einen IdP direkt mit IAM zu verknüpfen, erstellen Sie eine Identitätsanbieter-Entität, um eine Vertrauensstellung zwischen Ihrem AWS-Konto und dem IdP herzustellen. IAM unterstützt IdPs , die mit OpenID Connect (OIDC)
Verwenden von Amazon Cognito Sync mit Identitätspools
Amazon Cognito wurde für Entwickler entwickelt, die Benutzer in ihren Mobil- und Web-Apps authentifizieren und autorisieren möchten. Amazon-Cognito-Benutzerpools fügen Ihrer App Anmelde- und Registrierungsfunktionen hinzu, und Identitätspools stellen IAM-Anmeldeinformationen bereit, die Ihren Benutzern Zugriff auf geschützte Ressourcen gewähren, die Sie in AWS verwalten. Identitätspools erwerben über den API-Vorgang AssumeRoleWithWebIdentity Anmeldeinformationen für temporäre Sitzungen.
Amazon Cognito arbeitet mit externen Identitätsanbietern zusammen, die SAML und OpenID Connect unterstützen, sowie mit Anbietern sozialer Identitäten wie Facebook, Google und Amazon. Ihre App kann einen Benutzer mit einem Benutzerpool oder einem externen IdP anmelden und dann Ressourcen in seinem Namen mit benutzerdefinierten temporären Sitzungen in einer IAM-Rolle abrufen.
