创建用于 OpenID Connect 联合身份验证(控制台)的角色 - AWS Identity and Access Management

创建用于 OpenID Connect 联合身份验证(控制台)的角色

您可以使用 OpenID Connect (OIDC) 联合身份验证身份提供者,而不必在 AWS 账户 中创建 AWS Identity and Access Management 用户。利用身份提供程序 (IdP),您可以管理 AWS 外部的用户身份,并向这些外部用户身份授予访问您账户中的 AWS 资源的权限。有关联合身份验证和 IdP 的更多信息,请参阅 身份提供程序和联合身份验证

创建用于 OIDC 的角色的先决条件

您必须先完成以下先决条件步骤,然后才能创建用于 OIDC 联合身份验证的角色。

准备创建用于 OIDC 联合身份验证的角色
  1. 注册一项或多项提供 OIDC 联合身份的服务。如果创建需要访问 AWS 资源的应用程序,则还需要使用提供商信息来配置应用程序。当您执行此操作时,提供程序会为您提供一个应用程序 ID 或受众 ID,该 ID 在您的应用程序中具有唯一性。(不同的提供程序使用不同的术语表示此过程。此指南使用配置一词表示通过提供程序标识应用程序的过程。) 可以对每个提供商配置多个应用程序,也可以对单个应用程序配置多个提供商。查看有关使用身份提供程序的信息,如下所示:

  2. 从 IdP 接收必要信息后,在 IAM 中创建 IdP。有关更多信息,请参阅 在 IAM 中创建 OpenID Connect(OIDC)身份提供者

    重要

    如果您使用的是 Google、Facebook 或 Amazon Cognito 的 OIDC IdP,请勿在 AWS Management Console 中创建单独的 IAM IdP。这些 OIDC 身份提供程序已内置到 AWS,并可供您使用。跳过此步骤并在以下步骤中使用 IdP 创建新角色。

  3. 为已进行 IdP 身份验证的用户要担任的角色准备策略。正如任何角色一样,移动应用程序的角色包含两个策略。一个是指定谁可以担任角色的信任策略。另一个是指定允许或拒绝移动应用程序访问的 AWS 操作和资源的权限策略。

    对于 web IdP,我们建议您使用 Amazon Cognito 来管理身份。在这种情况下,请使用类似于以下示例的信任策略。

    { "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Principal": {"Federated": "cognito-identity.amazonaws.com"}, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east-2:12345678-abcd-abcd-abcd-123456"}, "ForAnyValue:StringLike": {"cognito-identity.amazonaws.com:amr": "unauthenticated"} } } }

    us-east-2:12345678-abcd-abcd-abcd-123456 替换为由 Amazon Cognito 分配给您的身份池 ID。

    如果您手动配置 OIDC IdP,则在创建信任策略时,必须使用三个值来确保只有您的应用程序可以担任此角色:

    • 对于 Action 元素,使用 sts:AssumeRoleWithWebIdentity 操作。

    • 对于 Principal 元素,使用字符串 {"Federated":providerUrl/providerArn}

      • 对于一些常见的 OIDC IdP,providerUrl 是 URL。以下示例包括为一些常见 IdP 指定主体的方法:

        "Principal":{"Federated":"cognito-identity.amazonaws.com"}

        "Principal":{"Federated":"www.amazon.com"}

        "Principal":{"Federated":"graph.facebook.com"}

        "Principal":{"Federated":"accounts.google.com"}

      • 对于其他的 OIDC 提供程序,请使用您在 步骤 2 中创建的 OIDC IdP 的 Amazon 资源名称(ARN),如下例所示:

        "Principal":{"Federated":"arn:aws:iam::123456789012:oidc-provider/server.example.com"}

    • 对于 Condition 元素,使用 StringEquals 条件来限制权限。测试身份池 ID(对于 Amazon Cognito)或应用程序 ID(对于其他提供商)。身份池 ID 应与您通过 IdP 配置应用程序时获得的应用程序 ID 一致。ID 一致可确保请求来自您的应用程序。

      注意

      Amazon Cognito 身份池的 IAM 角色信任服务主体 cognito-identity.amazonaws.com 担任该角色。此类角色必须包含至少一个条件键来限制可以担任该角色的主体。

      其他注意事项适用于承担跨账户 IAM 角色的 Amazon Cognito 身份池。这些角色的信任策略必须接受 cognito-identity.amazonaws.com 服务主体,并且必须包含 aud 条件键,以限制预期身份池中的用户担任角色。如果不满足此条件,则信任 Amazon Cognito 身份池的策略会带来风险,即来自非预期身份池的用户可能担任该角色。有关更多信息,请参阅《Amazon Cognito 开发人员指南》中的基本(经典)身份验证中的 IAM 角色的信任策略

      根据您所使用的 IdP 创建类似于以下示例之一的条件元素:

      "Condition": {"StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east:12345678-ffff-ffff-ffff-123456"}}

      "Condition": {"StringEquals": {"www.amazon.com:app_id": "amzn1.application-oa2-123456"}}

      "Condition": {"StringEquals": {"graph.facebook.com:app_id": "111222333444555"}}

      "Condition": {"StringEquals": {"accounts.google.com:aud": "66677788899900pro0"}}

      对于 OIDC 提供商,请将 OIDC IdP 的完全限定 URL 与 aud 上下文密钥一起使用,如以下示例所示:

      "Condition": {"StringEquals": {"server.example.com:aud": "appid_from_oidc_idp"}}

    注意

    角色的信任策略中的主体的值将因 IdP 而异。用于 OIDC 的角色只能指定一个主体。因此,如果移动应用程序允许用户从多个 IdP 登录,请为您想要支持的每个 IdP 创建单独角色。为每个 IdP 创建单独的信任策略。

    如果用户使用移动应用程序从 Login with Amazon 登录,则将应用以下示例信任策略。在示例中,amzn1.application-oa2-123456 表示使用 Login with Amazon 配置应用程序时由 Amazon 分配的应用程序 ID。

    { "Version": "2012-10-17", "Statement": [{ "Sid": "RoleForLoginWithAmazon", "Effect": "Allow", "Principal": {"Federated": "www.amazon.com"}, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": {"StringEquals": {"www.amazon.com:app_id": "amzn1.application-oa2-123456"}} }] }

    如果用户使用移动应用程序从 Facebook 登录,则将应用以下示例信任策略。在此示例中,111222333444555 表示由 Facebook 分配的应用程序 ID。

    { "Version": "2012-10-17", "Statement": [{ "Sid": "RoleForFacebook", "Effect": "Allow", "Principal": {"Federated": "graph.facebook.com"}, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": {"StringEquals": {"graph.facebook.com:app_id": "111222333444555"}} }] }

    如果用户使用移动应用程序从 Google 登录,则将应用以下示例信任策略。在此示例中,666777888999000 表示由 Google 分配的应用程序 ID。

    { "Version": "2012-10-17", "Statement": [{ "Sid": "RoleForGoogle", "Effect": "Allow", "Principal": {"Federated": "accounts.google.com"}, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": {"StringEquals": {"accounts.google.com:aud": "666777888999000"}} }] }

    如果用户使用移动应用程序从 Amazon Cognito 登录,则将应用以下示例信任策略。在此示例中,us-east:12345678-ffff-ffff-ffff-123456 表示由 Amazon Cognito 分配的身份池 ID。

    { "Version": "2012-10-17", "Statement": [{ "Sid": "RoleForCognito", "Effect": "Allow", "Principal": {"Federated": "cognito-identity.amazonaws.com"}, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": {"StringEquals": {"cognito-identity.amazonaws.com:aud": "us-east:12345678-ffff-ffff-ffff-123456"}} }] }

创建用于 OIDC 的角色

完成先决条件后,您可在 IAM 中创建角色。以下过程介绍了如何在 AWS Management Console 中创建用于 OIDC 联合身份验证的角色。要从 AWS CLI 或 AWS API 创建角色,请参阅针对第三方身份提供商创建角色(联合身份验证)中的过程。

重要

如果您使用的是 Amazon Cognito,则使用 Amazon Cognito 控制台来设置角色。否则,请使用 IAM 控制台来创建用于 OIDC 联合身份验证的角色。

创建用于 OIDC 联合身份验证的 IAM 角色
  1. 登录 AWS Management Console,然后打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在导航窗格中,选择角色,然后选择创建角色

  3. 选择 Web 身份作为可信实体类型,然后选择下一步

  4. 对于 Identity provider(身份提供程序),请为您的角色选择 IdP:

    • 如果要为单个 web IdP 创建角色,请选择 Login with AmazonFacebookGoogle

      注意

      您必须为想要支持的每个 IdP 创建单独的角色。

    • 如果要为 Amazon Cognito 创建高级方案角色,请选择 Amazon Cognito

      注意

      您仅在处理高级方案时需要手动创建与 Amazon Cognito 一起使用的角色。否则,Amazon Cognito 可以为您创建角色。有关 Amazon Cognito 的更多信息,请参阅《Amazon Cognito 开发人员指南》中的身份池(联合身份)外部身份提供商

    • 要为 GitHub 操作创建角色,您需要首先将 GitHub OIDC 提供者添加到 IAM。将 GitHub OIDC 提供商添加到 IAM 后,选择 token.actions.githubusercont.com

      注意

      有关如何将 AWS 配置为联合身份以信任 GitHub 的 OIDC 提供商的信息,请参阅 GitHub 文档 – 在 Amazon Web Services 中配置 OpenID Connect。有关限制与 GitHub IAM IdP 相关的角色访问权限的最佳做法的信息,请参阅此页面上的为 GitHub OIDC 身份提供程序配置角色

    • 要为 HashiCorp Cloud Platform(HCP)Terraform 创建角色,您首先必须将 Terraform OIDC 提供商添加到 IAM。将 Terraform OIDC 提供商添加到 IAM 后,选择 app.terraform.io

      重要

      HashiCorp Cloud Platform(HCP)Terraform OIDC 提供商的 IAM 角色必须评估角色信任策略中的 IAM 条件键 app.terraform.io:sub。此条件键对哪些 HCP Terraform 组织、项目、工作区或运行阶段能够担任该角色作出限制。如果没有此条件键,则您的信任策略将根据组织外部的身份授予对您的角色和 AWS 资源的访问权限,这不符合最低权限原则。

      如果您为 AWS 账户中与 HCP Terraform OIDC 提供商关联的角色设置或修改角色信任策略,但未评估 IAM 条件键 app.terraform.io:sub,则会收到错误。此外,如果您的角色信任策略未评估此条件键,则 AWS STS 会拒绝授权请求。

  5. 输入您的应用程序标识符。标识符的标签会根据所选提供程序发生变化:

    • 如果要为 Login with Amazon 创建角色,请在 Application ID(应用程序 ID)框中输入应用程序 ID。

    • 如果要为 Facebook 创建角色,请在 Application ID(应用程序 ID)框中输入应用程序 ID。

    • 如果要为 Google 创建角色,请在 Audience(受众)框中输入受众名称。

    • 如果要为 Amazon Cognito 创建角色,请在 Identity Pool ID(身份池 ID)框中输入您为 Amazon Cognito 应用程序创建的身份池的 ID。

    • 如果您想为 GitHub Actions 创建角色,请输入以下详细信息:

      • 对于 Audience (受众),请选择 sts.amazonaws.com

      • 对于 GitHub 组织,输入 GitHub 组织名称。GitHub 组织名称为必填项,必须为包含短划线(-)的字母数字。您不能在 GitHub 组织名称中使用通配符(* 和?)。

      • (可选)对于 GitHub 存储库,输入 GitHub 存储库名称。如果不指定值,则默认为通配符(*)。

      • (可选)对于 GitHub 分支,输入 GitHub 分支名称。如果不指定值,则默认为通配符(*)。

    • 如果您想为 HashiCorp Cloud Platform(HCP)Terraform 创建角色,则请输入以下详细信息:

      • 对于 Audience (受众),请选择 aws.workload.identity

      • 对于组织,输入组织名称。您可以为所有组织指定通配符(*)。

      • 对于项目,输入项目名称。您可以为所有项目指定通配符(*)。

      • 对于工作区,输入工作区名称。您可以为所有工作区指定通配符(*)。

      • 对于运行阶段,输入运行阶段名称。您可以为所有运行阶段指定通配符(*)。

  6. (可选)对于条件(可选),选择添加条件以创建在应用程序的用户可以使用角色授予的权限之前必须满足的其他条件。例如,您可以添加一个条件,仅授权特定 IAM 用户 ID 访问 AWS 资源。创建角色后,您还可以在信任策略中添加条件。有关更多信息,请参阅 更新角色信任策略

  7. 查看您的 OIDC 信息,然后选择下一步

  8. IAM 包括您的账户中的 AWS 托管策略和客户托管策略的列表。选择要用于权限策略的策略,或者选择 Create policy(创建策略)以打开新的浏览器选项卡并从头开始创建新策略。有关更多信息,请参阅 创建 IAM 策略。在您创建策略后,关闭该选项卡并返回到您的原始选项卡。选中您希望 OIDC 用户具有的权限策略旁边的复选框。如果您愿意,此时可以不选择任何策略,稍后将策略附加到角色。默认情况下,角色没有权限。

  9. (可选)设置权限边界。这是一项高级功能。

    打开 Permissions boundary(权限边界)部分,然后选择 Use a permissions boundary to control the maximum role permissions(使用权限边界控制最大角色权限)。选择要用于权限边界的策略。

  10. 选择下一步

  11. 对于 Role name(角色名称),输入一个角色名称。角色名称在您的 AWS 账户内必须是唯一的。不区分大小写。例如,您无法同时创建名为 PRODROLEprodrole 的角色。由于其他 AWS 资源可能会引用此角色,因此您无法在创建角色后编辑角色名称。

  12. (可选)对于 Description(描述),输入新角色的描述。

  13. 要编辑角色的使用案例和权限,在 Step 1: Select trusted entities(步骤 1:选择可信实体)或 Step 2: Add permissions(步骤 2:添加权限)部分中选择 Edit(编辑)。

  14. (可选)要向角色添加元数据,请以键值对的形式附加标签。有关在 IAM 中使用标签的更多信息,请参阅 AWS Identity and Access Management 资源的标签

  15. 检查角色,然后选择创建角色

为 GitHub OIDC 身份提供程序配置角色

如果将 GitHub 用作 OpenID Connect(OIDC)身份提供者(IdP),则最佳实践是限制可以代入与该 IAM IdP 关联的角色的实体。如果信任策略中包含条件语句,则可将角色限制为特定的 GitHub 组织、存储库或分支。可以使用条件键 token.actions.githubusercontent.com:sub 和字符串条件运算符来限制访问权限。我们建议将条件限制为您 GitHub 组织中的一组特定存储库或分支。有关如何将 AWS 配置为联合身份以信任 GitHub 的 OIDC 的信息,请参阅 GitHub 文档 – 在 Amazon Web Services 中配置 OpenID Connect

如果您在操作工作流或 OIDC 策略中使用 GitHub 环境,我们强烈建议您在环境中添加保护规则以提高安全性。使用部署分支和标签来限制可以部署到环境中的具体分支和标签。有关使用保护规则配置环境的更多信息,请参阅 GitHub 文章“使用环境进行部署”中的 部署分支和标签

如果 GitHub 的 OIDC IdP 是角色的可信主体,IAM 会检查角色信任策略条件,以验证条件键 token.actions.githubusercontent.com:sub 是否存在并且其值并非单纯的通配符(* 和 ?)或者为空。创建或更新信任策略时,IAM 会执行此检查。如果条件键 token.actions.githubusercontent.com:sub 不存在,或者键值不符合上述值标准,则请求将会失败并返回错误。

重要

如果未将条件键 token.actions.githubusercontent.com:sub 限制为特定的组织或存储库,则来自您控制范围之外的组织或存储库的 GitHub 操作可代入与您 AWS 账户中的 GitHub IAM IdP 关联的角色。

以下示例信任策略限制对定义的 GitHub 组织、存储库和分支的访问。以下示例中的条件键 token.actions.githubusercontent.com:sub 的值是 GitHub 记录的默认主题值格式。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Federated": "arn:aws:iam::012345678910:oidc-provider/token.actions.githubusercontent.com" }, "Action": "sts:AssumeRoleWithWebIdentity", "Condition": { "StringEquals": { "token.actions.githubusercontent.com:aud": "sts.amazonaws.com", "token.actions.githubusercontent.com:sub": "repo:GitHubOrg/GitHubRepo:ref:refs/heads/GitHubBranch" } } } ] }

以下示例条件限制对定义的 GitHub 组织和存储库的访问,但授予对存储库内任何分支的访问权限。

"Condition": { "StringEquals": { "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" }, "StringLike": { "token.actions.githubusercontent.com:sub": "repo:GitHubOrg/GitHubRepo:*" } }

以下示例条件限制对定义的 GitHub 组织内任何存储库或分支的访问。我们建议将条件键 token.actions.githubusercontent.com:sub 限制为一个特定的值,从而确保只能从 GitHub 组织内访问 GitHub 操作。

"Condition": { "StringEquals": { "token.actions.githubusercontent.com:aud": "sts.amazonaws.com" }, "StringLike": { "token.actions.githubusercontent.com:sub": "repo:GitHubOrg/*" } }

有关可用于策略中的条件检查的 OIDC 联合身份验证密钥的更多信息,请参阅 AWS OIDC 联合身份验证的可用键