Externe IDs für den Zugriff durch Drittanbieter Wann sollte ich die externe ID verwenden?Beispielszenario mit Verwendung einer externen ID Wichtige Punkte für externe IDs Weitere Ressourcen

Zugriffs auf im Besitz von Drittanbietern befindlichen AWS-Konten

Wenn externe Benutzer Zugriff auf die AWS-Ressourcen Ihrer Organisation benötigen, können Sie Rollen verwenden, um den Zugriff an diese Benutzer zu delegieren. Zum Beispiel könnte ein externer Benutzer einen Service zur Verwaltung Ihrer AWS-Ressourcen anbieten. Mithilfe von IAM-Rollen können Sie diesen externen Benutzern Zugriff auf Ihre AWS-Ressourcen gewähren, ohne Ihre AWS-Sicherheits-Anmeldeinformationen bekanntgeben zu müssen. Stattdessen können Drittanbieter auf Ihre AWS-Ressourcen zugreifen, indem Sie eine von Ihnen in Ihrem AWS-Konto erstellte Rolle übernehmen. Informationen darüber, ob Auftraggeber in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter Was ist IAM Access Analyzer?.

Externe Benutzer müssen Ihnen die folgenden Informationen bereitstellen, damit Sie eine von ihnen übernehmbare Rolle erstellen können:

Die AWS-Konto-ID des Drittanbieters. Sie legen diese AWS-Konto-ID als Prinzipal fest, wenn Sie die Vertrauensrichtlinie für die Rolle definieren.
Eine externe ID zur eindeutigen Zuordnung der Rolle. Die externe ID kann eine beliebige geheime Kennung sein, die Ihnen und dem Drittanbieter bekannt ist. Sie können beispielsweise eine Rechnungs-ID zwischen Ihnen und dem externen Benutzer verwenden. Benutzen Sie aber keine leicht zu erratenden Zeichenfolgen wie den Namen oder die Telefonnummer des externen Benutzers. Sie müssen diese ID festlegen, wenn Sie die Vertrauensrichtlinie für die Rolle definieren. Der externe Benutzer muss diese ID angeben, wenn er die Rolle übernimmt.
Die Berechtigungen, die der externe Benutzer benötigt, um mit Ihren AWS-Ressourcen arbeiten zu können. Sie müssen diese Berechtigungen festlegen, wenn Sie die Berechtigungsrichtlinie für die Rolle definieren. Diese Richtlinie bestimmt, welche Aktionen der externe Benutzer ausführen darf und auf welche Ressourcen er Zugriff hat.

Nachdem Sie die Rolle erstellt haben, müssen Sie dem externen Benutzer den Amazon Resource Name (ARN) der Rolle mitteilen. Dieser benötigt den ARN der Rolle, um sie übernehmen zu können.

Wichtig

Wenn Sie einem externen Benutzer Zugriff auf Ihre AWS-Ressourcen erteilen, kann dieser auf alle in der Richtlinie angegebenen Ressourcen zugreifen. Die vom externen Benutzer genutzten Ressourcen werden Ihnen in Rechnung gestellt. Stellen Sie sicher, dass Sie die Nutzung Ihrer Ressourcen sinnvoll einschränken.

Externe IDs für den Zugriff durch Drittanbieter

Eine externe ID ermöglicht dem Benutzer, der die Rolle übernimmt, die Umstände anzugeben, unter denen er agiert. Außerdem kann der Kontoinhaber die Umstände festlegen, unter denen die Rolle angenommen werden kann. Die primäre Funktion des externen Ausweises besteht darin, Das Confused-Deputy-Problem zu lösen und zu verhindern.

Wichtig

AWS hält die externe ID nicht geheim. Nach dem Erstellen eines geheimen Schlüssels, wie z. B. eines Zugriffsschlüsselpaars oder eines Passwortes in AWS, können diese nicht erneut angezeigt werden. Die externe ID für eine Rolle kann von jedem Benutzer mit der Berechtigung zum Anzeigen der Rolle angezeigt werden.

Wann sollte ich die externe ID verwenden?

Verwenden Sie in folgenden Situationen eine externe ID:

Sie sind ein AWS-Konto-Inhaber und haben eine Rolle für einen Dritten konfiguriert, der zusätzlich zu Ihrem Konto auf weitere AWS-Konten zugreift. Sie sollten den Dritten um eine externe ID bitten, die er mit angeben muss, wenn er Ihre Rolle annimmt. Dann führen Sie eine Prüfung durch, um zu testen, ob diese externe ID in der Vertrauensrichtlinie Ihrer Rolle vorhanden ist. Auf diese Weise wird sichergestellt, dass die externe Partei Ihre Rolle nur annehmen kann, wenn sie in Ihrem Namen handelt.
Sie sind wie Beispielunternehmen in unserem vorherigen Szenario in einer Position, in der Sie Rollen für verschiedene Kunden annehmen, Sie sollten jedem Kunden eine eindeutige externe ID zuweisen und Ihre Kunden anweisen, die externe ID in die Vertrauensrichtlinie ihrer Rolle aufzunehmen. Anschließend müssen Sie in allen Anforderungen, in der Sie Rollen annehmen möchten, die korrekte externe ID angeben.

Sie verfügen wahrscheinlich bereits über eine eindeutige ID für jeden Kunden, die Sie als externe ID verwenden können. Bei der externen ID handelt es sich nicht um einen Wert, den Sie explizit erstellen oder separat nur für diesen Zweck nachverfolgen müssen.

Geben Sie die externe ID in allen AssumeRole-API-Aufrufen an. Wenn Sie von einem Kunden einen Rollen-ARN erhalten, testen Sie darüber hinaus mit und ohne die korrekte externe ID, ob Sie die Rolle annehmen können. Wenn Sie die Rolle ohne die korrekte externe ID annehmen können, speichern Sie den Rollen-ARN des Kunden nicht in Ihrem System. Warten Sie, bis der Kunde die Vertrauensrichtlinie der Rolle aktualisiert hat und eine Überprüfung der externen ID vornimmt. So helfen Sie Ihren Kunden, sich korrekt zu verhalten und sich selbst und Ihr Unternehmen vor dem Problem des verwirrten Stellvertreters zu schützen.

Beispielszenario mit Verwendung einer externen ID

Angenommen, Sie beauftragen das externe Unternehmen Example Corp damit, Ihr AWS-Konto zu überwachen und zur Kostenoptimierung beizutragen. Um Ihre täglichen Ausgaben zu überwachen, benötigt Example Corp Zugriff auf Ihre AWS-Ressourcen. Example Corp überwacht zudem viele weitere AWS-Konten anderer Kunden.

Gewähren Sie Example Corp keinen Zugriff auf einen IAM-Benutzer und dessen langfristige Anmeldeinformationen in Ihrem AWS-Konto. Verwenden Sie stattdessen eine IAM-Rolle und deren temporäre Sicherheitsanmeldeinformationen. Mit einer IAM-Rolle können Sie Dritten Zugriff auf Ihre AWS-Ressourcen gewähren, ohne diesen langfristige Anmeldeinformationen (z. B. den Zugriffsschlüssel eines IAM-Benutzers) bereitstellen zu müssen.

Sie können eine IAM-Rolle verwenden, um eine Vertrauensbeziehung zwischen Ihrem AWS-Konto und dem Konto von Example Corp herzustellen. Sobald diese Beziehung hergestellt wurde, kann ein Mitglied des Kontos von Example Corp die AWS Security Token Service-API AssumeRole aufrufen, um temporäre Sicherheitsanmeldeinformationen zu erhalten. Die Mitglieder von Beispielunternehmen können dann mit den Anmeldeinformationen auf die AWS-Ressourcen in Ihrem Konto zuzugreifen.

Anmerkung

Weitere Informationen zu AssumeRole und anderen AWS-API-Operationen, über die temporäre Sicherheitsanmeldeinformationen abgerufen werden können, finden Sie unter AWS STS-Anmeldeinformationen vergleichen.

Nachfolgend ist dieses Szenario detaillierter aufgeschlüsselt:

Sie beauftragen Beispielunternehmen und diese erstellen eine eindeutige Kunden-ID für Sie. Das Unternehmen stellt Ihnen diese eindeutige Kunden-ID und seine AWS-Konto-Nummer zur Verfügung. Sie benötigen diese Informationen, um im nächsten Schritt eine IAM-Rolle zu erstellen.

Anmerkung
Beispielunternehmen kann für die externe ID eine beliebige Zeichenfolge verwenden, solange diese pro Kunde eindeutig ist. Es kann sich dabei um eine Kundenkontonummer oder eine zufällige Zeichenfolge handeln, solange nicht für zwei Kunden derselbe Wert verwendet wird. Diese Nummer muss nicht geheim gehalten werden. Beispielunternehmen stellt diese externe ID seinen Kunden bereit. Wichtig dabei ist, dass diese ID von Unternehmen XY und nicht von den Kunden generiert wird, um sicherzustellen, dass jede externe ID einzigartig ist.
Sie melden Sie sich bei AWS an und erstellen eine IAM-Rolle, mit der Example Corp Zugriff auf Ihre Ressourcen gewährt wird. Wie bei allen IAM-Rollen verfügt die Rolle über zwei Richtlinien, eine Berechtigungsrichtlinie und eine Vertrauensrichtlinie. Über die Vertrauensrichtlinie der Rolle wird festgelegt, wer die Rolle annehmen kann. In unserem Beispielszenario ist als Principal die AWS-Konto-Nummer von Example Corp angegeben. Dies ermöglicht Identitäten dieses Kontos, die Rolle anzunehmen. Außerdem fügen Sie der Vertrauensrichtlinie ein Condition-Element hinzu. Mit diesem Condition wird der Kontextschlüssel ExternalId getestet, um sicherzustellen, dass er mit der eindeutigen Kunden-ID von Beispielunternehmen übereinstimmt.
```
    "Principal": {"AWS": "Example Corp's AWS-Konto ID"},
    "Condition": {"StringEquals": {"sts:ExternalId": "Unique ID Assigned by Example Corp"}}
```
In der Berechtigungsrichtlinie der Rolle ist festgelegt, welche Berechtigungen mit der Rolle verliehen werden. Sie können zum Beispiel festlegen, dass die Rolle nur die Verwaltung Ihrer Amazon EC2- und Amazon RDS-Ressourcen erlaubt, nicht aber die Verwaltung Ihrer IAM-Benutzer oder -Gruppen. In unserem Beispielszenario können Sie Beispielunternehmen über die Berechtigungsrichtlinie schreibgeschützten Zugriff auf sämtliche Ressourcen in Ihrem Konto gewähren.
Nachdem Sie die Rolle erstellt haben, stellen Sie Beispielunternehmen den Amazon-Ressourcennamen (ARN) der Rolle bereit.
Wenn Beispielunternehmen Zugriff auf Ihre AWS-Ressourcen benötigt, ruft ein Mitarbeiter des Unternehmens die AWS sts:AssumeRole-API auf. Der Aufruf enthält den ARN der anzunehmenden Rolle sowie den Parameter "ExternalId", der der Kunden-ID entspricht.

Wenn die Anforderung von jemandem stammt, der das AWS-Konto von Example Corp derzeit verwendet, und wenn der Rollen-ARN und die externe ID korrekt sind, ist die Anforderung erfolgreich. Sie stellt dann temporäre Sicherheitsanmeldeinformationen bereit, mit denen Beispielunternehmen auf die AWS-Ressourcen zugreifen kann, die durch die Rolle freigegeben wurden.

Anders ausgedrückt, wenn eine Rollenrichtlinie eine externe ID enthält, muss jemand, der die Rolle annehmen möchte, als Auftraggeber in der Rolle angegeben sein und muss die korrekte externe ID angeben.

Wichtige Punkte für externe IDs

In einer mandantenübergreifenden Umgebung, in der Sie mehrere Kunden mit unterschiedlichen AWS-Konten unterstützen, empfehlen wir die Verwendung einer externen ID pro AWS-Konto. Diese ID sollte eine zufällige Zeichenfolge sein, die von der Drittpartei generiert wird.
Um zu verlangen, dass der Drittanbieter beim Übernehmen einer Rolle eine externe ID bereitstellt, aktualisieren Sie die Vertrauensrichtlinie der Rolle mit der externen ID Ihrer Wahl.
Wenn Sie eine externe ID angeben möchten, wenn Sie eine Rolle übernehmen, verwenden Sie die AWS CLI- oder AWS-API , um diese Rolle zu übernehmen. Weitere Informationen finden Sie unter der STS-API-Operation AssumeRole oder der STS-CLI-Operation assume-role.

Weitere Ressourcen

Die folgenden Ressourcen können Ihnen dabei helfen, mehr über die Bereitstellung des Zugriffs auf AWS-Konten im Besitz von Drittanbieter zu erfahren.

Informationen dazu, wie Sie anderen das Ausführen von Aktionen in Ihrem AWS-Konto ermöglichen, finden Sie unter Rolle mithilfe benutzerdefinierter Vertrauensrichtlinien erstellen .
Informationen dazu, wie Sie die Berechtigung zum Wechseln zu einer Rolle gewähren, finden Sie unter Gewähren von Berechtigungen an einen Benutzer zum Rollenwechsel
Informationen dazu, wie Sie temporäre Sicherheitsanmeldedaten erstellen und vertrauenswürdigen Benutzern zur Verfügung stellen, Berechtigungen für temporäre Sicherheits-Anmeldeinformationen.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Zugriff für Workloads die nicht von AWS stammen

Zugriff auf AWS-Services