Rollen für den SAML 2.0-Verbund erstellen (Konsole) - AWS Identitäts- und Zugriffsverwaltung
Voraussetzungen für das Erstellen einer Rolle für SAMLErstellen einer Rolle für SAML

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Rollen für den SAML 2.0-Verbund erstellen (Konsole)

Sie können SAML-2.0-Verbund verwenden, statt IAM-Benutzer in Ihrem AWS-Konto anzulegen. Mit einem Identitätsanbieter können Sie Ihre Benutzeridentitäten außerhalb von AWS verwalten und diesen externen Benutzeridentitäten die Berechtigung für den Zugriff auf AWS-Ressourcen in Ihrem Konto gewähren. Weitere Informationen zu Verbünde und Identitätsanbietern finden Sie unter Identitätsanbieter und Verbund.

Anmerkung

Um die Verbundstabilität zu verbessern, empfehlen wir, dass Sie Ihren IdP und Ihren AWS-Verbund so konfigurieren, dass mehrere SAML-Anmeldeendpunkte unterstützt werden. Einzelheiten finden Sie im AWS-Sicherheitsblogartikel How to use regional SAML endpoints for failover.

Voraussetzungen für das Erstellen einer Rolle für SAML

Bevor Sie eine Rolle für den SAML-2.0-Verbund erstellen können, müssen Sie zunächst folgende Schritte ausführen.

So erstellen Sie eine Rolle für den SAML 2.0-Verbund

  1. Bevor Sie eine Rolle für den SAML-basierten Verbund erstellen, müssen Sie einen SAML-Anbieter in IAM erstellen. Weitere Informationen finden Sie unter Erstellen Sie einen SAML Identitätsanbieter in IAM.

  2. Bereiten Sie die Richtlinien für die Rolle vor, die von den über SAML 2.0 authentifizierten Benutzern übernommen werden sollen. Wie bei jeder Rolle enthält eine Rolle für den SAML-Verbund zwei Richtlinien. Eine davon ist die Vertrauensrichtlinie, die angibt, wer die Rolle übernehmen kann. Die andere ist die IAM-Berechtigungsrichtlinie, die die AWS-Aktionen und -Ressourcen angibt, auf die der Verbundbenutzer Zugriff hat oder nicht.

    Wenn Sie die Vertrauensrichtlinie für Ihre Rolle erstellen, müssen Sie drei Werte verwenden, um sicherzustellen, dass nur Ihre Anwendung die Rolle übernehmen kann:

    • Verwenden Sie für das Element Action die Aktion sts:AssumeRoleWithSAML.

    • Verwenden Sie für das Element Principal die Zeichenfolge {"Federated":ARNofIdentityProvider}. Ersetzen Sie ARNofIdentityProvider mit dem ARN des SAML-Identitätsanbieters, den Sie in Schritt 1 erstellt haben.

    • Verwenden Sie für das Element Condition eine StringEquals-Bedingung, um zu prüfen, ob das Attribut saml:aud aus der SAML-Antwort mit dem SAML-Verbund-Endpunkt für AWS übereinstimmt.

    Das folgende Beispiel ist auf eine Vertrauensrichtlinie für einen verbundenen SAML-Benutzer ausgelegt:

    {
    "Version": "2012-10-17",
    "Statement": {
      "Effect": "Allow",
      "Action": "sts:AssumeRoleWithSAML",
      "Principal": {"Federated": "arn:aws:iam::account-id:saml-provider/PROVIDER-NAME"},
      "Condition": {"StringEquals": {"SAML:aud": "https://signin.aws.amazon.com/saml"}}
    }
  }

    Ersetzen Sie den Haupt-ARN durch den tatsächlichen ARN für den SAML-Anbieter, den Sie in IAM erstellt haben. Er enthält Ihre eigene Konto-ID und den Namen des Anbieters.

Erstellen einer Rolle für SAML

Nachdem Sie die erforderlichen Schritte durchgeführt haben, können Sie die Rolle für den SAML-basierten Verbund anlegen.

So erstellen Sie eine Rolle für den SAML-basierten Verbund

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich der IAM-Konsole auf Roles (Rollen) und wählen Sie dann Create role (Rolle erstellen).

  3. Wählen Sie den Rollentyp SAML 2.0 Federation.

  4. Wählen Sie für Select a SAML provider (Einen SAML-Anbieter auswählen) den Anbieter für die Rolle.

  5. Wählen Sie die Zugriffsebenen-Methode SAML 2.0.

    • Wählen Sie Allow programmatic access only (Nur programmgesteuerten Zugriff erlauben) aus, um eine Rolle zu erstellen, die programmgesteuert über die AWS-API oder AWS CLI übernommen werden kann.

    • Wählen Sie Programmatischen und AWS Management Console-Zugriff zulassen, um eine Rolle zu erstellen, die programmatisch und von der AWS Management Console übernommen werden kann.

    Die erstellten Rollen ähneln einander, aber die Rolle, die auch über die Konsole übernommen werden kann, enthält eine Vertrauensrichtlinie mit einer bestimmten Bedingung. Diese Bedingung stellt ausdrücklich sicher, dass die SAML-Zielgruppe (SAML:aud-Attribut ) auf den AWS-Anmelde-Endpunkt für SAML (https://signin.aws.amazon.com/saml) verweist.

  6. Wenn Sie eine Rolle für den programmgesteuerten Zugriff erstellen, wählen Sie ein Attribut aus der Liste Attribute. Geben Sie dann im Feld Value (Wert) einen Wert ein, der in die Rolle aufgenommen werden soll. Dadurch wird der Rollenzugriff auf die Benutzer des Identitätsanbieters beschränkt, deren SAML-Authentifizierungsantwort (Zusicherung) das angegebene Attribut enthält. Sie müssen mindestens ein Attribut angeben, um sicherzustellen, dass Ihre Rolle auf eine Benutzeruntergruppe in Ihrer Organisation beschränkt ist.

    Wenn Sie eine Rolle für den programmgesteuerten Zugriff und den Zugriff über die Konsole erstellen, wird das Attribut SAML:aud automatisch hinzugefügt und auf die URL des AWS-SAML-Endpunkts (https://signin.aws.amazon.com/saml) gesetzt.

  7. Um der Vertrauensrichtlinie weitere attributbezogene Bedingungen hinzuzufügen, wählen Sie Condition (optional) (Bedingung (optional)), wählen Sie die zusätzliche Bedingung aus und geben Sie einen Wert an.

    Anmerkung

    In der Liste sind die am häufigsten verwendeten SAML-Attribute aufgeführt. IAM unterstützt weitere Attribute, die Sie zum Erstellen von Bedingungen verwenden können. (Eine Liste der unterstützten Attribute finden Sie unter Available Keys for SAML Federation.) Wenn Sie eine nicht in der Liste enthaltene Bedingung für ein unterstütztes SAML-Attribut benötigen, können Sie diese Bedingung manuell hinzufügen. Bearbeiten Sie dazu die Vertrauensrichtlinie, nachdem Sie die Rolle erstellt haben.

  8. Überprüfen Sie Ihre SAML-2.0-Vertrauensinformationen und wählen Sie dann Next (Weiter).

  9. IAM enthält eine Liste der von AWS verwalteten und vom Kunden verwaltete Richtlinien in Ihrem Konto. Wählen Sie die Richtlinie aus, die für die Berechtigungsrichtlinie verwendet werden soll, oder wählen Sie Create policy (Richtlinie erstellen), um eine neue Registerkarte im Browser zu öffnen und eine neue Richtlinie von Grund auf zu erstellen. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien. Nachdem Sie die Richtlinie erstellt haben, schließen Sie die Registerkarte und kehren zur ursprünglichen Registerkarte zurück. Aktivieren Sie das Kontrollkästchen neben den Berechtigungsrichtlinien, über die OIDC-Verbundbenutzer verfügen sollen. Wenn Sie es vorziehen, zu diesem Zeitpunkt keine Richtlinien auszuwählen, können Sie sie der Rolle später hinzufügen. Standardmäßig hat eine Rolle keine Berechtigungen.

  10. (Optional) Legen Sie eine Berechtigungsgrenze fest. Dies ist ein erweitertes Feature.

    Öffnen Sie den Abschnitt Permissions boundary (Berechtigungsgrenze) und wählen Sie Use a permissions boundary to control the maximum role permissions (Eine Berechtigungsgrenze verwenden, um die maximalen Rollen-Berechtigungen zu steuern). Wählen Sie die Richtlinie aus, die für eine Berechtigungsgrenze verwendet werden soll.

  11. Wählen Sie Weiter.

  12. Wählen Sie Weiter: Prüfen aus.

  13. Geben Sie für Role name (Rollennamen) einen Rollennamen ein. Rollennamen müssen innerhalb Ihres AWS-Konto-Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. z. B. können Sie keine Rollen erstellen, die PRODROLE bzw. prodrole heißen. Da möglicherweise andere AWS-Ressourcen auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht bearbeitet werden.

  14. (Optional) Geben Sie im Feld Description (Beschreibung) eine Beschreibung für die neue Rolle ein.

  15. Wählen Sie in den Abschnitten Step 1: Select trusted entities (Schritt 1: Vertrauenswürdige Entitäten auswählen) oder Step 2: Add permissions (Schritt 2: Berechtigungen hinzufügen) die Option Edit (Bearbeiten) aus, um die Anwendungsfälle und Berechtigungen für die Rolle zu bearbeiten.

  16. (Optional) Fügen Sie der Rolle Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unter Tags für AWS Identity and Access Management-Ressourcen.

  17. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

Nachdem Sie die Rolle erstellt haben, vervollständigen Sie schließlich die SAML-Vertrauensstellung, indem Sie die Software Ihres Identitätsanbieters mit Informationen zu AWS. Diese Informationen umfassen den Rollen, die Ihre Verbundbenutzer verwenden sollen. Dies wird als Konfiguration der Vertrauensstellung zwischen Ihrem Identitätsanbieter und AWS bezeichnet. Weitere Informationen finden Sie unter Konfigurieren Ihres SAML 2.0-IdP mit der Vertrauensstellung der vertrauenden Seite und Hinzufügen von Anträgen.