Zusätzliche Ressourcen für den Verband OIDC

OIDCföderation

Stellen Sie sich vor, Sie erstellen eine Anwendung, die auf AWS Ressourcen zugreift, z. B. GitHub Aktionen, die Workflows für den Zugriff auf Amazon S3 und DynamoDB verwendet.

Wenn Sie diese Workflows verwenden, stellen Sie Anfragen an AWS Dienste, die mit einem AWS Zugriffsschlüssel signiert werden müssen. Wir empfehlen jedoch dringend, AWS Anmeldeinformationen nicht langfristig in externen Anwendungen zu speichern AWS. Konfigurieren Sie Ihre Anwendungen stattdessen mithilfe eines OIDCVerbunds so, dass temporäre AWS Sicherheitsanmeldedaten bei Bedarf dynamisch angefordert werden. Die bereitgestellten temporären Anmeldeinformationen sind einer AWS Rolle zugeordnet, die nur über Berechtigungen verfügt, die zur Ausführung der für die Anwendung erforderlichen Aufgaben erforderlich sind.

Mit dem OIDC Verbund müssen Sie keinen benutzerdefinierten Anmeldecode erstellen oder Ihre eigenen Benutzeridentitäten verwalten. Stattdessen können Sie OIDC in Anwendungen wie GitHub Actions oder jedem anderen OpenID Connect (OIDC) -kompatiblen IdP die Authentifizierung verwenden. AWS Sie erhalten ein Authentifizierungstoken, das als JSON Web-Token (JWT) bezeichnet wird, und tauschen dieses Token dann gegen temporäre Sicherheitsanmeldedaten in AWS dieser Zuordnung zu einer IAM Rolle ein, die berechtigt ist, bestimmte Ressourcen in Ihrem zu verwenden. AWS-Konto Die Verwendung eines IdP hilft Ihnen dabei, Ihre AWS-Konto Sicherheit zu gewährleisten, da Sie keine langfristigen Sicherheitsnachweise in Ihre Anwendung einbetten und verteilen müssen.

Für die meisten Szenarien empfehlen wir die Verwendung von Amazon Cognito, da es als Identity Broker fungiert und einen Großteil der Föderationsarbeit für Sie übernimmt. Weitere Informationen finden Sie im folgenden Abschnitt, Amazon Cognito für mobile Apps.

Anmerkung

JSONVon OpenID Connect (JWTs) -Identitätsanbietern ausgegebene Web-Tokens (OIDC) enthalten im exp Anspruch eine Ablaufzeit, die angibt, wann das Token abläuft. IAMbietet ein Zeitfenster von fünf Minuten nach der in der Option to angegebenen Ablaufzeit, JWT um den Zeitversatz zu berücksichtigen, wie es der OpenID Connect (OIDC) Core 1.0-Standard erlaubt. Das bedeutet, dass der OIDC JWTs Empfang IAM nach Ablauf der Ablaufzeit, aber innerhalb dieses Fünf-Minuten-Zeitfensters zur weiteren Auswertung und Verarbeitung akzeptiert wird.

Themen

Zusätzliche Ressourcen für den Verband OIDC

Die folgenden Ressourcen können Ihnen helfen, mehr über den OIDC Verbund zu erfahren:

Verwenden Sie OpenID Connect in Ihren GitHub Workflows, indem Sie OpenID Connect in Amazon Web Services konfigurieren
Amazon Cognito Identity im Amplify Libraries for Android-Handbuch und Amazon Cognito Identity im Amplify Libraries for Swift-Handbuch.
Der Blog Automatisieren von OpenID Connect-basierten AWS IAM Web Identity-Rollen mit Microsoft Entra ID on theAWS Partner Network (APN) erklärt, wie automatisierte Hintergrundprozesse oder Anwendungen authentifiziert werden können, die außerhalb der Autorisierung ausgeführt werden. AWS machine-to-machine OIDC
Der Artikel Web Identity Federation with Mobile Applications behandelt den OIDC Verbund und zeigt ein Beispiel für die Verwendung von OIDC Federation, um Zugriff auf Inhalte in Amazon S3 zu erhalten.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Gängige Szenarien

Erstellen Sie einen OIDC Identitätsanbieter