Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen
Übernahme einer Rolle bei Web Identity oder OpenID Connect zur Authentifizierung und Tools AWS SDKs - AWS SDKs und Tools
Verbunden mit Web-Identität oder OpenID Connect

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Übernahme einer Rolle bei Web Identity oder OpenID Connect zur Authentifizierung und Tools AWS SDKs

PDFRSS

Die Übernahme einer Rolle beinhaltet die Verwendung einer Reihe temporärer Sicherheitsanmeldedaten für den Zugriff auf AWS Ressourcen, auf die Sie sonst möglicherweise keinen Zugriff hätten. Diese temporären Anmeldeinformationen bestehen aus einer Zugriffsschlüssel-ID, einem geheimen Zugriffsschlüssel und einem Sicherheits-Token. Weitere Informationen zu AWS Security Token Service (AWS STS) API-Anfragen finden Sie in der AWS Security Token Service API-Referenz unter Aktionen.

Um Ihr SDK oder Tool so einzurichten, dass es eine Rolle übernimmt, müssen Sie zunächst eine bestimmte Rolle erstellen oder identifizieren, die Sie übernehmen möchten. IAM-Rollen werden durch eine Rolle mit dem Amazon Resource Name (ARN) eindeutig identifiziert. Rollen bauen Vertrauensbeziehungen zu einer anderen Entität auf. Bei der vertrauenswürdigen Entität, die die Rolle verwendet, kann es sich um einen Web-Identitätsanbieter, OpenID Connect (OIDC) oder einen SAML-Verbund handeln. Weitere Informationen zu IAM-Rollen finden Sie unter Methoden zur Übernahme einer Rolle im IAM-Benutzerhandbuch.

Nachdem die IAM-Rolle in Ihrem SDK konfiguriert wurde und diese Rolle so konfiguriert ist, dass sie Ihrem Identitätsanbieter vertraut, können Sie Ihr SDK weiter so konfigurieren, dass es diese Rolle übernimmt, um temporäre Anmeldeinformationen zu erhalten. AWS

Anmerkung

Es hat sich AWS bewährt, wann immer möglich regionale Endpunkte zu verwenden und Ihre zu konfigurieren. AWS-Region

Verbunden mit Web-Identität oder OpenID Connect

Sie können die JSON-Web-Tokens (JWTs) von öffentlichen Identitätsanbietern wie Login With Amazon, Facebook, Google verwenden, um temporäre AWS Anmeldeinformationen mithilfe vonAssumeRoleWithWebIdentity. Je nachdem, wie sie verwendet werden, JWTs können diese als ID-Token oder Zugriffstoken bezeichnet werden. Sie können auch von Identitätsanbietern (IdPs) JWTs ausgegebene Daten verwenden, die mit dem Discovery-Protokoll von OIDC kompatibel sind, z. B. EntraId oder. PingFederate

Wenn Sie Amazon Elastic Kubernetes Service verwenden, bietet diese Funktion die Möglichkeit, unterschiedliche IAM-Rollen für jedes Ihrer Dienstkonten in einem Amazon EKS-Cluster anzugeben. Diese Kubernetes-Funktion verteilt sie an Ihre Pods JWTs , die dann von diesem Anmeldeinformationsanbieter verwendet werden, um temporäre Anmeldeinformationen abzurufen. AWS Weitere Informationen zu dieser Amazon EKS-Konfiguration finden Sie unter IAM-Rollen für Dienstkonten im Amazon EKS-Benutzerhandbuch. Für eine einfachere Option empfehlen wir jedoch, stattdessen Amazon EKS Pod Identities zu verwenden, sofern Ihr SDK dies unterstützt.

Schritt 1: Richten Sie einen Identitätsanbieter und eine IAM-Rolle ein

Um den Verbund mit einem externen IdP zu konfigurieren, verwenden Sie einen IAM-Identitätsanbieter, um AWS Informationen über den externen IdP und seine Konfiguration zu erhalten. Dadurch wird Vertrauen zwischen Ihrem AWS-Konto und dem externen IdP hergestellt. Bevor Sie das SDK für die Verwendung des JSON Web Tokens (JWT) für die Authentifizierung konfigurieren, müssen Sie zunächst den Identitätsanbieter (IdP) und die IAM-Rolle einrichten, die für den Zugriff verwendet wird. Informationen zur Einrichtung finden Sie unter Erstellen einer Rolle für Web-Identität oder OpenID Connect Federation (Konsole) im IAM-Benutzerhandbuch.

Schritt 2: Konfigurieren Sie das SDK oder das Tool

Konfigurieren Sie das SDK oder das Tool so, dass es ein JSON Web Token (JWT) von AWS STS für die Authentifizierung verwendet.

Wenn Sie dies in einem Profil angeben, führt das SDK oder Tool automatisch den entsprechenden AWS STS AssumeRoleWithWebIdentityAPI-Aufruf für Sie durch. Um temporäre Anmeldeinformationen mithilfe des Web Identity Federation abzurufen und zu verwenden, geben Sie die folgenden Konfigurationswerte in der gemeinsam genutzten AWS config Datei an. Weitere Informationen zu den einzelnen Einstellungen finden Sie im Nehmen Sie die Einstellungen des Anbieters für Anmeldeinformationen an Abschnitt.

  • role_arn— Aus der IAM-Rolle, die Sie in Schritt 1 erstellt haben

  • web_identity_token_file- Vom externen IdP

  • (Optional) duration_seconds

  • (Optional) role_session_name

Im Folgenden finden Sie ein Beispiel für eine Konfiguration einer gemeinsam genutzten config Datei, bei der eine Rolle mit Web-Identität übernommen wird:

[profile web-identity]
role_arn=arn:aws:iam::123456789012:role/my-role-name
web_identity_token_file=/path/to/a/token
Anmerkung

Erwägen Sie für mobile Anwendungen die Verwendung von Amazon Cognito. Amazon Cognito fungiert als Identitätsbroker und erledigt einen Großteil der Verbundarbeit für Sie. Der Amazon Cognito Cognito-Identitätsanbieter ist jedoch nicht wie andere Identitätsanbieter in den Kernbibliotheken SDKs und Tools enthalten. Um auf die Amazon Cognito-API zuzugreifen, schließen Sie den Amazon Cognito-Serviceclient in den Build oder die Bibliotheken für Ihr SDK oder Tool ein. Informationen zur Verwendung mit AWS SDKs finden Sie unter Codebeispiele im Amazon Cognito Developer Guide.

Einzelheiten zu allen Einstellungen des Anbieters von Anmeldedaten für die Übernahme einer Rolle finden Sie Übernehmen Sie die Rolle Credential Provider in diesem Handbuch.

Nächstes Thema:

AWS Zugriffstasten

Vorheriges Thema:

Übernehmen einer Rolle

Brauchen Sie Hilfe?

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.