Identitätsanbieter und Verbund - AWS Identity and Access Management
Verbund mit IAM Identity CenterVerbund mit IAMVerwenden von Amazon Cognito Sync mit IdentitätspoolsWeitere Ressourcen

Identitätsanbieter und Verbund

Als bewährte Methode empfehlen wir, dass Sie menschliche Benutzer dazu verpflichten, für den Zugriff auf AWS-Ressourcen den Verbund mit einem Identitätsanbieter zu verwenden, anstatt einzelne IAM-Benutzer in Ihrem AWS-Konto zu erstellen. Mit einem Identitätsanbieter können Sie Ihre Benutzeridentitäten außerhalb von AWS verwalten und diesen externen Benutzeridentitäten die Berechtigung zum Verwenden von AWS-Ressourcen in Ihrem Konto gewähren. Dies ist hilfreich, wenn Sie in Ihrer Organisation bereits ein eigenes Identitätssystem wie ein unternehmensweites Benutzerverzeichnis verwenden. Außerdem kann es beim Erstellen einer mobilen App oder Webanwendung nützlich sein, die Zugriff auf AWS-Ressourcen benötigt.

Anmerkung

Sie können menschliche Benutzer im IAM Identity Center auch mit einem externen SAML-Identitätsanbieter verwalten, anstatt den SAML-Verbund in IAM zu verwenden. Der IAM-Identity-Center-Verbund mit einem Identitätsanbieter bietet Ihnen die Möglichkeit, Personen Zugriff auf mehrere AWS-Konten in Ihrer Organisation und auf mehrere AWS-Anwendungen zu gewähren. Informationen zu bestimmten Situationen, in denen ein IAM-Benutzer erforderlich ist, finden Sie unter Wann sollte ein IAM-Benutzer (anstelle einer Rolle) erstellt werden?.

Wenn Sie lieber ein einzelnes AWS-Konto verwenden möchten, ohne IAM Identity Center zu aktivieren, können Sie IAM mit einem externen IdP verwenden, der AWS entweder über OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) Identitätsinformationen bereitstellt. OIDC verbindet Anwendungen wie GitHub-Aktionen, die nicht in AWS ausgeführt werden, mit AWS-Ressourcen. Beispiele für bekannte SAML-Identitätsanbieter sind Shibboleth und Active Directory Federation Services.

Wenn Sie einen -Identitätsanbieter verwenden, müssen Sie keinen eigenen Anmeldecode schreiben oder eigene Benutzeridentitäten verwalten. Der Identitätsanbieter erledigt das für Sie. Externe Benutzer melden sich über einen Identitätsanbieter an. Diesen externen Identitäten können Sie die Berechtigung zum Verwenden von AWS-Ressourcen in ihrem Konto gewähren. Identitätsanbieter tragen zur AWS-Konto-Sicherheit bei, da Sie keine langfristigen Sicherheitsanmeldeinformationen wie Zugriffsschlüssel herausgeben oder in Ihre Anwendung einbetten müssen.

Sehen Sie sich die folgende Tabelle an, um herauszufinden, welcher IAM-Verbundtyp für Ihren Anwendungsfall am besten geeignet ist: IAM, IAM Identity Center oder Amazon Cognito. Die folgenden Zusammenfassungen und die Tabelle bieten einen Überblick über die Methoden, mit denen Ihre Benutzer Verbundzugriff auf AWS-Ressourcen erhalten können.

IAM-Verbund-Typ Account type (Art des Kontos) Zugriffsverwaltung von: Unterstützte Identitätsquelle

Verbund mit IAM Identity Center

Mehrere Konten, verwaltet von AWS Organizations

Die menschlichen Benutzer Ihrer Belegschaft

  • SAML 2.0

  • Verwaltetes Active Directory

  • Identity-Center-Verzeichnis

Verbund mit IAM

Einzelnes, eigenständiges Konto

  • Menschliche Benutzer in kurzfristigen, kleinen Bereitstellungen

  • Maschinelle Benutzer

  • SAML 2.0

  • OIDC

Verwenden von Amazon Cognito Sync mit Identitätspools

Any

Die Benutzer von Apps, die für den Zugriff auf Ressourcen eine IAM-Autorisierung benötigen

  • SAML 2.0

  • OIDC

  • Bestimmte OAuth-2.0-Social-Identity-Anbieter

Verbund mit IAM Identity Center

Für eine zentralisierte Zugriffsverwaltung von menschlichen Benutzern empfehlen wir Ihnen die Verwendung von IAM Identity Center, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. IAM-Identity-Center-Benutzern werden kurzfristige Anmeldeinformationen für Ihre AWS-Ressourcen gewährt. Sie können Active Directory, einen externen Identitätsanbieter (IDP) oder ein IAM-Identity-Center-Verzeichnis als Identitätsquelle für Benutzer und Gruppen verwenden, um Zugriff auf Ihre AWS-Ressourcen zuzuweisen.

IAM Identity Center unterstützt den Identitätsverbund mit SAML (Security Assertion Markup Language) 2.0, um Benutzern, die berechtigt sind, Anwendungen innerhalb des AWS-Zugriffsportals zu verwenden, einen SSO-Verbundzugriff zu bieten. Benutzer können dann Single Sign-On (SSO) für Services nutzen, die SAML unterstützen, einschließlich der AWS-Managementkonsole und Drittanbieteranwendungen wie Microsoft 365, Concur und Salesforce.

Verbund mit IAM

Wir empfehlen zwar dringend, menschliche Benutzer in IAM Identity Center zu verwalten, aber Sie können den Verbundprinzipalzugriff mit IAM für menschliche Benutzer in kurzfristigen, kleinen Bereitstellungen aktivieren. IAM ermöglicht es Ihnen, separate SAML 2.0- und OpenID Connect (OIDC)-IDPs zu verwenden und Verbundprinzipalattribute für die Zugriffskontrolle zu verwenden. Mit IAM können Sie Benutzerattribute wie Kostenstelle, Titel oder Gebietsschema von Ihren Identitätsanbietern an AWS weitergeben und basierend auf diesen Attributen detaillierte Zugriffsberechtigungen implementieren.

Eine Workload ist eine Sammlung von Ressourcen und Code, die einen geschäftlichen Nutzen erbringen, z. B. eine Anwendung oder ein Backend-Prozess. Ihre Workload erfordert möglicherweise eine IAM-Identität, um Anforderungen an AWS-Services, -Anwendungen, -Betriebstools und -Komponenten zu stellen. Zu diesen Identitäten gehören Maschinen, die in Ihren AWS-Umgebungen ausgeführt werden, wie z. B. Amazon-EC2-Instances oder AWS Lambda-Funktionen.

Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Um Zugriff auf Maschinenidentitäten zu gewähren, können Sie IAM-Rollen verwenden. IAM-Rollen haben spezifische Berechtigungen und bieten eine Möglichkeit, auf AWS zuzugreifen, indem sie sich auf temporäre Sicherheitsanmeldeinformationen mit einer Rollensitzung verlassen. Darüber hinaus könnten Sie Maschinen außerhalb von AWS haben, die Zugang zu Ihren AWS-Umgebungen benötigen. Für Maschinen, die außerhalb von AWS ausgeführt werden, können Sie IAM Roles Anywhere verwenden. Weitere Informationen zu Rollen finden Sie unter IAM-Rollen. Weitere Informationen über die Verwendung von Rollen zum Delegieren des Zugriffs über AWS-Konten finden Sie unter Tutorial: Delegieren des Zugriffs in allen AWS-Konten mithilfe von IAM-Rollen.

Um auf einen Identitätsanbieter zurückgreifen zu können, erstellen Sie eine IAM-Identitätsanbietereinheit, um eine Vertrauensbeziehung zwischen Ihrem AWS-Konto und dem Identitätsanbieter herzustellen. IAM unterstützt mit OpenID Connect (OIDC) und SAML 2.0 (Security Assertion Markup Language 2.0) kompatible Identitätsanbieter. Weitere Informationen zur Verwendung dieser Identitätsanbieter in AWS finden Sie in den folgenden Abschnitten:

Verwenden von Amazon Cognito Sync mit Identitätspools

Amazon Cognito wurde für Entwickler entwickelt, die Benutzer in ihren Mobil- und Web-Apps authentifizieren und autorisieren möchten. Amazon-Cognito-Benutzerpools fügen Ihrer App Anmelde- und Registrierungsfunktionen hinzu, und Identitätspools stellen IAM-Anmeldeinformationen bereit, die Ihren Benutzern Zugriff auf geschützte Ressourcen gewähren, die Sie in AWS verwalten. Identitätspools erwerben über den API-Vorgang AssumeRoleWithWebIdentity Anmeldeinformationen für temporäre Sitzungen.

Amazon Cognito arbeitet mit externen Identitätsanbietern zusammen, die SAML und OpenID Connect unterstützen, sowie mit Anbietern sozialer Identitäten wie Facebook, Google und Amazon. Ihre App kann einen Benutzer mit einem Benutzerpool oder einem externen IdP anmelden und dann Ressourcen in seinem Namen mit benutzerdefinierten temporären Sitzungen in einer IAM-Rolle abrufen.

Weitere Ressourcen