AWS STS und AWS-Regionen Gängige Szenarien für temporäre Anmeldeinformationen Beispielanwendungen, für die temporäre Anmeldeinformationen verwendet werden Zusätzliche Ressourcen für temporäre Anmeldeinformationen

Temporäre IAM Sicherheitsanmeldeinformationen

Sie können mit AWS Security Token Service (AWS STS) die temporären Sicherheitsanmeldeinformationen erstellen und für vertrauenswürdige Benutzer bereitstellen. Darüber kann der Zugriff auf Ihre AWS-Ressourcen kontrolliert werden. Temporäre Sicherheitsanmeldeinformationen funktionieren fast genauso wie die langfristigen Zugriffsschlüssel-Anmeldeinformationen, mit folgenden Unterschieden:

Temporäre Sicherheitsanmeldeinformationen sind über einen kurzen Zeitraum gültig, wie der Name schon sagt. Sie können mit einer Gültigkeitsdauer von wenigen Minuten bis mehrere Stunden konfiguriert werden. Nachdem die Anmeldeinformationen abgelaufen sind, erkennt AWS sie nicht mehr an und verweigert den Zugriff von API-Anforderungen, die mit diesen Anmeldeinformationen gestellt werden.
Temporäre Sicherheitsanmeldeinformationen werden nicht mit dem Benutzer gespeichert, sondern auf Anforderung des Benutzers dynamisch generiert und bereitgestellt. Wenn (oder sogar bevor) die temporären Anmeldeinformationen ablaufen, kann der Benutzer neue Anmeldeinformationen anfordern, solange der anfordernde Benutzer weiterhin dazu berechtigt ist.

Daher haben temporäre Anmeldeinformationen die folgenden Vorteile gegenüber langfristigen Anmeldeinformationen:

Sie müssen keine langfristigen AWS-Sicherheitsanmeldeinformationen mit einer Anwendung verteilen oder einbetten.
Sie können Benutzern den Zugriff auf Ihre AWS-Ressourcen erteilen, ohne eine AWS-Identität für sie definieren zu müssen. Temporäre Anmeldeinformationen sind die Grundlage für Rollen und den Identitätsverbund.
Die temporären Anmeldeinformationen haben eine begrenzte Nutzungsdauer. Somit müssen Sie sie aktualisieren oder explizit widerrufen, wenn Sie sie nicht mehr benötigen. Nachdem die temporären Anmeldeinformationen abgelaufen sind, können sie nicht erneut verwendet werden. Sie können die Gültigkeit der Anmeldeinformationen bis zu einem bestimmten Höchstwert festlegen.

AWS STS und AWS-Regionen

Temporäre Sicherheitsanmeldeinformationen werden von AWS STS generiert. Standardmäßig ist AWS STS ein globaler Service mit einem einzelnen Endpunkt bei https://sts.amazonaws.com. Sie können sich aber auch entscheiden, AWS STS-API-Aufrufe an Endpunkte in jeder der unterstützten Regionen auszuführen. Dies kann die Latenz (Serververzögerung) verringern, indem die Anforderungen an Server in einer Region in Ihrer Nähe gesendet werden. Ihre Anmeldeinformationen sind unabhängig von der Region, in der sie generiert werden, weltweit gültig. Weitere Informationen finden Sie unter AWS STS in einer AWS-Region verwalten.

Gängige Szenarien für temporäre Anmeldeinformationen

Temporäre Anmeldeinformationen sind in Szenarien mit Identitätsverbund, Delegierung, kontoübergreifenden Zugriff und IAM-Rollen nützlich.

Identitätsverbund

Sie können Ihre Benutzeridentitäten in einem externen System außerhalb von AWS verwalten und Benutzern, die sich aus diesen Systemen anmelden, um AWS-Aufgaben auszuführen und auf Ihre AWS-Ressourcen zuzugreifen, Zugriffsberechtigungen erteilen. IAM unterstützt zwei Arten von Identitätsverbund. In beiden Fällen werden die Identitäten außerhalb von AWS gespeichert. Der Unterschied liegt darin, wo Ihr externes System angesiedelt ist &endash in Ihrem Rechenzentrum oder bei einem Anbieter im Internet. Einen Vergleich der Features temporärer Sicherheitsanmeldedaten für den Identitätsverbund finden Sie unter AWS STS-Anmeldeinformationen vergleichen.

Weitere Informationen zu externen Identitätsanbietern erhalten Sie unter Identitätsanbieter und Verbund.

OpenID Connect (OIDC)-Identitätsverbund – Sie können Benutzern die Anmeldung über einen bekannten Identitätsanbieter eines Drittanbieters wie Login mit Amazon, Facebook, Google oder einem beliebigen OIDC 2.0-kompatiblen Anbieter für Ihre Mobil- oder Web-Anwendung ermöglichen. Sie müssen keinen benutzerdefinierten Anmelde-Code erstellen oder Ihre eigenen Benutzeridentitäten verwalten. Durch die Verwendung des OIDC-Verbunds können Sie Ihr AWS-Konto schützen, da Sie keine langfristigen Sicherheitsanmeldeinformationen, wie etwa IAM-Benutzer-Zugriffsschlüssel, mit Ihrer Anwendung verteilen müssen. Weitere Informationen finden Sie unter OIDC-Verbund.

Der AWS STS-OIDC-Verbund unterstützt Login mit Amazon, Facebook, Google oder einem anderen, mit OpenID Connect (OIDC) kompatiblen Identitätsanbieter.

Anmerkung
Für mobile Anwendungen empfehlen wir die Verwendung von Amazon Cognito. Sie können diesen Service mit den AWS-SDK für mobile Entwicklung verwenden, um eindeutige Identitäten für Benutzer zu erstellen und sie für den sicheren Zugriff auf Ihre AWS-Ressourcen zu authentifizieren. Amazon Cognito unterstützt die gleichen Identitätsanbieter wie AWS STS sowie den nicht authentifizierten (Gast-) Zugriff. Außerdem ermöglicht er Ihnen die Migration von Benutzerdaten, wenn sich ein Benutzer anmeldet. Amazon Cognito stellt auch API-Operationen für die Synchronisierung von Benutzerdaten bereit, sodass diese erhalten bleiben, wenn die Benutzer zwischen Geräten wechseln. Weitere Informationen finden Sie unter Authentifizierung mit Amplify in der Amplify-Dokumentation.
SAML-Verbund – Sie können Benutzer in Ihrem Organisationsnetzwerk authentifizieren und dann diesen Benutzern Zugriffsberechtigungen für AWS gewähren, ohne neue AWS-Identitäten für sie erstellen zu müssen und ohne dass sie sich mit einem eigenen Anmeldeinformationen anmelden müssen. Dies ist bekannt als der single sign-on-Ansatz für den temporären Zugriff. AWS STS unterstützt offene Standards wie Security Assertion Markup Language (SAML) 2.0, mit denen Sie Microsoft AD FS verwenden können, um Ihr Microsoft Active Directory zu nutzen. Sie können mit SAML 2.0 auch Ihre eigene Lösung zum Verbinden von Benutzeridentitäten verwalten. Weitere Informationen finden Sie unter SAML 2.0-Verbund.
- Benutzerdefinierter Verbund-Broker – Verwenden Sie das Authentifizierungssystem Ihrer Organisation, um Zugriff auf AWS-Ressourcen zu gewähren. Ein Beispielszenario finden Sie unter Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren.
- Verbund mit SAML 2.0 – Verwenden Sie das Authentifizierungssystem Ihrer Organisation und SAML, um Zugriff auf AWS-Ressourcen zu gewähren. Weitere Informationen sowie ein Beispielszenario finden Sie unter SAML 2.0-Verbund.

Rollen für den kontoübergreifenden Zugriff

Viele Organisationen verfügen über mehrere AWS-Konto. Mithilfe von Rollen und dem kontoübergreifenden Zugriff können Sie Benutzeridentitäten in einem Konto definieren und diese Identitäten für den Zugriff auf AWS-Ressourcen in anderen Konten Ihrer Organisation verwenden. Dies wird als Delegierung für den temporären Zugriff bezeichnet. Weitere Informationen zum Erstellen kontenübergreifender Rollen finden Sie unter Erstellen Sie eine Rolle, um einem IAM-Benutzer Berechtigungen zu erteilen. Informationen darüber, ob Auftraggeber in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter Was ist IAM Access Analyzer?.

IAM-Rollen für Amazon EC2

Wenn Sie Anwendungen auf Amazon EC2-Instances ausführen und diese Anwendungen auf AWS-Ressourcen zugreifen müssen, können Sie temporäre Sicherheitsanmeldeinformationen für Ihre Instances bereitstellen, wenn Sie sie starten. Diese temporären Sicherheitsanmeldeinformationen sind für alle Anwendungen verfügbar, die in der Instance ausgeführt werden. Sie müssen daher keine langfristigen Anmeldeinformationen in der Instance speichern. Weitere Informationen finden Sie unter Verwendung einer IAM-Rolle zur Gewährung von Berechtigungen für Anwendungen, die in Amazon-EC2-Instances ausgeführt werden.

Weitere Informationen zu den IAM-Amazon-EC2-Rollen-Anmeldeinformationen finden Sie unter IAM-Rollen für Amazon EC2 im Benutzerhandbuch zur Amazon Elastic Compute Cloud.

Sonstige AWS-Services

Sie können mit temporären Sicherheitsanmeldeinformationen auf die meisten AWS-Ressourcen zugreifen. Eine Liste der Services, die temporäre Sicherheitsanmeldeinformationen zulassen, finden Sie unter AWS Dienste, die mit IAM funktionieren.

Beispielanwendungen, für die temporäre Anmeldeinformationen verwendet werden

Sie können mit AWS Security Token Service (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen und für vertrauenswürdige Benutzer bereitstellen. Darüber kann der Zugriff auf Ihre AWS-Ressourcen kontrolliert werden. Mehr über AWS STS erfahren Sie unter Temporäre IAM Sicherheitsanmeldeinformationen. Um zu erfahren, wie Sie temporäre Sicherheitsanmeldeinformationen mit AWS STS verwalten können, laden Sie sich die folgenden Beispielanwendungen herunter, in denen vollständige Beispielszenarios implementiert wurden:

Enabling Federation to AWS Using Windows Active Directory, ADFS, and SAML 2.0: Zeigt, wie der Zugriff mithilfe eines Unternehmensverbunds unter Verwendung von Windows Active Directory (AD), Active Directory Federation Services (ADFS) 2.0 und SAML (Security Assertion Markup Language) 2.0 an AWS delegiert wird.
Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren: Zeigt, wie Sie einen benutzerdefinierten Verbund-Proxy erstellen, um Single Sign-On (SSO) zu aktivieren und es vorhandenen Active Directory-Benutzern zu ermöglichen, sich bei der AWS Management Console anzumelden.
How to Use Shibboleth for Single Sign-On to the AWS Management Console.. Zeigt, wie Sie mithilfe von Shibboleth und SAML Benutzern SSO-Zugriff (Single Sign-On) auf die AWS Management Console gewähren.

Beispiele für den OIDC-Verbund

Die folgenden Beispielanwendungen veranschaulichen, wie Sie den OIDC-Identitätsverbund mit Anbietern wie Login mit Amazon, Amazon Cognito, Facebook oder Google verwenden. Sie können anhand der Benutzerauthentifizierung über diese Anbieter temporäre AWS-Sicherheitsanmeldeinformationen auszustellen, um auf AWS-Services zuzugreifen.

Lernprogramme für Amazon Cognito – Wir empfehlen die Verwendung von Amazon Cognito mit der AWS-SDKs für die mobile Entwicklung. Amazon Cognito ist die einfachste Methode zur Identitätsverwaltung für mobile Apps. Außerdem werden hier zusätzliche Funktionen wie die Synchronisierung und geräteübergreifende Identitäten unterstützt. Weitere Informationen zu Amazon Cognito finden Sie unter Authentifizierung mit Amplify in der Amplify-Dokumentation.

Zusätzliche Ressourcen für temporäre Sicherheitsanmeldeinformationen

Folgende Szenarien und Anwendungen führen Sie durch die Verwendungsmöglichkeiten von temporären Sicherheitsanmeldeinformationen:

So integrieren Sie AWS STS SourceIdentity in Ihren Identitätsanbieter. In diesem Beitrag erfahren Sie, wie Sie das Attribut AWS STS SourceIdentity einrichten, wenn Sie Okta, Ping oder OneLogin als Ihren IdP verwenden.
OIDC-Verbund. In diesem Abschnitt wird erläutert, wie Sie IAM-Rollen konfigurieren, wenn Sie den OIDC-Verbund und die AssumeRoleWithWebIdentity-API verwenden.
Sicherer API Zugriff mit MFA. In diesem Thema wird erläutert, wie Sie mithilfe von Rollen die Multi-Factor Authentication (MFA) verlangen können, um die sensiblen API-Aktionen in Ihrem Konto zu schützen.

Weitere Informationen zu Richtlinien und Berechtigungen in AWS finden Sie in folgenden Themen:

Identity and Access Management für AWS-Ressourcen
Auswertungslogik für Richtlinien.
Verwalten von Zugriffsberechtigungen für Ihre Amazon-S3-Ressourcen im Benutzerhandbuch für Amazon Simple Storage Service.
Informationen darüber, ob Auftraggeber in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter Was ist IAM Access Analyzer?.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Anzeigen einer SAML-Antwort im Browser

AWS STS-Anmeldeinformationen vergleichen