Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Identitätsanbieter-Kontrollen für gemeinsame OIDC-Anbieter
Für anerkannte Shared OpenID Connect (OIDC) -Identitätsanbieter (IdPs) erfordert IAM eine ausdrückliche Bewertung bestimmter Ansprüche in den Richtlinien zur Rollenvertrauensstellung. Diese erforderlichen Ansprüche, die als Identitätsanbieter-Kontrollen bezeichnet werden, werden von IAM während der Rollenerstellung und der Aktualisierung von Vertrauensrichtlinien bewertet. Wenn die Rollenvertrauensrichtlinie die vom gemeinsam genutzten OIDC-IDP geforderten Kontrollen nicht bewertet, schlägt die Erstellung oder Aktualisierung der Rolle fehl. Dadurch wird sichergestellt, dass nur autorisierte Identitäten aus der vorgesehenen Organisation Rollen übernehmen und auf AWS -Ressourcen zugreifen können. Diese Sicherheitskontrolle ist entscheidend, wenn OIDC-Anbieter von mehreren AWS -Kunden gemeinsam genutzt werden.
Identitätsanbieter-Kontrollen werden von IAM nicht für bestehende OIDC-Rollenvertrauensrichtlinien bewertet. Bei Änderungen an der Rollenvertrauensrichtlinie für bestehende OIDC-Rollen verlangt IAM, dass Identitätsanbieter-Kontrollen in die Rollenvertrauensrichtlinie aufgenommen werden.
OIDC-Anbietertypen
IAM unterteilt OIDC-Identitätsanbieter in zwei verschiedene Typen: private und gemeinsam genutzte. Ein privater OIDC-IDP kann sich im Besitz einer einzelnen Organisation befinden und von dieser verwaltet werden oder ein Mandant eines SaaS-Anbieters sein, wobei seine OIDC-Aussteller-URL als eindeutiger Bezeichner für diese Organisation dient. Im Gegensatz dazu wird ein gemeinsam genutzter OIDC-IDP von mehreren Organisationen genutzt, wobei die OIDC-Aussteller-URL für alle Organisationen, die diesen Identitätsanbieter nutzen, identisch sein kann.
Die folgende Tabelle zeigt die wichtigsten Unterschiede zwischen privaten und gemeinsam genutzten OIDC-Anbietern auf:
| Merkmal | Privater OIDC-Anbieter | Gemeinsam genutzter OIDC-Anbieter |
|---|---|---|
|
Aussteller |
Einzigartig für die Organisation |
Von mehreren Organisationen gemeinsam genutzt |
|
Tenancy-Informationen |
Übermittelt durch einen einzigartigen Aussteller |
Übermittelt durch Ansprüche in JWT |
|
Vertrauensrichtlinienanforderungen |
Keine spezifische Anspruchsbewertung erforderlich |
Bewertung spezifischer Ansprüche erforderlich |
Gemeinsam genutzte OIDC-Identitätsanbieter mit Identitätsanbieter-Kontrollen
Wenn Sie einen OIDC-Anbieter in IAM erstellen oder ändern, identifiziert und bewertet das System automatisch die erforderlichen Ansprüche für anerkannte gemeinsame OIDC-Anbieter. Wenn die Kontrollen für Identitätsanbieter in der Rollenvertrauensrichtlinie nicht konfiguriert sind, schlägt die Erstellung oder Aktualisierung der Rolle mit einem Fehler fehl. MalformedPolicyDocument
Die folgende Tabelle enthält eine Liste der gemeinsam genutzten OIDC-Anbieter, die Identitätsanbieter-Kontrollen in Rollenzuständigkeitsrichtlinien erfordern, sowie zusätzliche Informationen, die Ihnen bei der Konfiguration von Identitätsanbieter-Kontrollen helfen.
| OIDC-IdP | OIDC-URL | Tenancy-Anspruch | Erforderliche Ansprüche |
|---|---|---|---|
| Amazon Cognito |
|
aud |
|
| Azure Sentinel |
https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
|
sts:RoleSessionName
|
sts:RoleSessionName
|
| Buildkite |
https://agent.buildkite.com
|
sub |
agent.buildkite.com:sub
|
| Codefresh SaaS |
https://oidc.codefresh.io |
sub |
oidc.codefresh.io:sub
|
| DVC Studio |
https://studio.datachain.ai/api |
sub |
studio.datachain.ai/api:sub
|
| GitHub Aktionen |
https://token.actions.githubusercontent.com |
sub |
token.actions.githubusercontent.com:sub
|
| GitHub Streaming von Auditprotokollen |
https://oidc-configuration.audit-log.githubusercontent.com |
sub |
oidc-configuration.audit-log.githubusercontent.com:sub
|
| GitHub vstoken |
https://vstoken.actions.githubusercontent.com |
sub |
vstoken.actions.githubusercontent.com:sub
|
| GitLab |
https://gitlab.com |
sub |
gitlab.com:sub
|
| IBM Turbonomic SaaS* |
|
sub |
|
| Pulumi Cloud |
https://api.pulumi.com/oidc |
aud |
api.pulumi.com/oidc:aud
|
| sandboxes.cloud |
https://sandboxes.cloud |
aud |
sandboxes.cloud:aud
|
| Scalr |
https://scalr.io |
sub |
scalr.io:sub
|
| Shisho Cloud |
https://tokens.cloud.shisho.dev |
sub |
tokens.cloud.shisho.dev:sub
|
| Terraform Cloud |
https://app.terraform.io |
sub |
app.terraform.io:sub
|
| Upbound |
https://proidc.upbound.io |
sub |
proidc.upbound.io:sub
|
| Globaler Vercel-Endpunkt |
https://oidc.vercel.com |
aud |
oidc.vercel.com:aud
|
* IBM Turbonomic aktualisiert regelmäßig seine OIDC-Aussteller-URL mit neuen Versionen der Plattform. Wir werden bei Bedarf weitere Turbonomic-OIDC-Aussteller als gemeinsame Anbieter hinzufügen.
Für jedes neue OIDC IdPs , das IAM als gemeinsam genutzt identifiziert, werden die erforderlichen Kontrollen des Identitätsanbieters für Richtlinien zur Rollenvertrauensstellung dokumentiert und auf ähnliche Weise durchgesetzt.
Weitere Ressourcen
Weitere Ressourcen:
-
Weitere Informationen zum Erstellen einer IAM-Rolle für OIDC-Verbund finden Sie unter Rollen für OpenID-Connect-Verbund erstellen (Konsole).
-
Eine Liste der IAM-Bedingungsschlüssel, die für Anträge verwendet werden können, finden Sie unter Verfügbare Schlüssel für den AWS OIDC-Verbund.
