Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# OIDC-Verbund
<a name="id_roles_providers_oidc"></a>

Stellen Sie sich vor, Sie erstellen eine Anwendung, die auf AWS Ressourcen zugreift, z. B. GitHub Aktionen, die Workflows für den Zugriff auf Amazon S3 und DynamoDB verwendet. 

Wenn Sie diese Workflows verwenden, stellen Sie Anfragen an AWS Dienste, die mit einem AWS Zugriffsschlüssel signiert werden müssen. Wir empfehlen jedoch **dringend**, AWS Anmeldeinformationen **nicht** langfristig in externen Anwendungen zu speichern AWS. Konfigurieren Sie Ihre Anwendungen stattdessen mithilfe des *OIDC-Verbunds* so, dass temporäre AWS Sicherheitsanmeldedaten bei Bedarf dynamisch angefordert werden. Die bereitgestellten temporären Anmeldeinformationen sind einer AWS Rolle zugeordnet, die nur über Berechtigungen verfügt, die zur Ausführung der für die Anwendung erforderlichen Aufgaben erforderlich sind.

Beim OIDC-Verbund müssen Sie keinen benutzerdefinierten Anmelde-Code erstellen oder Ihre eigenen Benutzeridentitäten verwalten. Stattdessen können Sie OIDC in Anwendungen wie GitHub Actions oder jedem anderen [OpenID Connect (OIDC)](http://openid.net/connect/) -kompatiblen IdP zur Authentifizierung verwenden. AWS Sie erhalten ein Authentifizierungstoken, das als JSON Web Token (JWT) bezeichnet wird, und tauschen dieses Token dann gegen temporäre Sicherheitsanmeldedaten aus, die einer IAM-Rolle mit Berechtigungen zur Nutzung bestimmter Ressourcen in AWS Ihrem zugeordnet sind. AWS-Konto Die Verwendung eines IdP hilft Ihnen dabei, Ihre AWS-Konto Sicherheit zu gewährleisten, da Sie keine langfristigen Sicherheitsnachweise in Ihre Anwendung einbetten und verteilen müssen.

Der OIDC-Verbund unterstützt sowohl die machine-to-machine Authentifizierung (wie CI/CD Pipelines, automatisierte Skripts und serverlose Anwendungen) als auch die Authentifizierung durch menschliche Benutzer. Für Szenarien mit Benutzerauthentifizierung, in denen Sie Benutzerregistrierung, Anmeldung und Benutzerprofile verwalten müssen, sollten Sie [Amazon Cognito](https://aws.amazon.com/cognito/) als Identitätsbroker verwenden. Weitere Informationen über die Verwendung von Amazon Cognito mit OIDC finden Sie unter [Amazon Cognito für mobile Apps](id_federation_common_scenarios.md#id_roles_providers_oidc_cognito).

**Anmerkung**  
Von OpenID Connect (OIDCJWTs) -Identitätsanbietern ausgegebene JSON-Web-Tokens () enthalten im `exp` Anspruch eine Ablaufzeit, die angibt, wann das Token abläuft. IAM bietet ein Zeitfenster von fünf Minuten nach der im JWT angegebenen Ablaufzeit, um Zeitabweichungen zu berücksichtigen, wie es der [OpenID Connect (OIDC](https://openid.net/specs/openid-connect-core-1_0.html)) Core 1.0-Standard zulässt. Das bedeutet, dass OIDC, die von IAM nach Ablauf der Ablaufzeit, aber innerhalb dieses Fünf-Minuten-Zeitfensters JWTs empfangen werden, zur weiteren Auswertung und Verarbeitung akzeptiert werden.

**Topics**
+ [Weitere Ressourcen für den OIDC-Verbund](#id_roles_providers_oidc_resources)
+ [OpenID Connect (OIDC)-Identitätsanbieter in IAM erstellen](id_roles_providers_create_oidc.md)
+ [Abrufen des Fingerabdrucks eines OpenID-Connect-Identitätsanbieters](id_roles_providers_create_oidc_verify-thumbprint.md)
+ [Identitätsanbieter-Kontrollen für gemeinsame OIDC-Anbieter](id_roles_providers_oidc_secure-by-default.md)

## Weitere Ressourcen für den OIDC-Verbund
<a name="id_roles_providers_oidc_resources"></a>

Die folgenden Ressourcen können Ihnen dabei helfen, mehr über den OIDC-Verbund zu erfahren:
+ Verwenden Sie OpenID Connect in Ihren GitHub Workflows, indem Sie [OpenID Connect in Amazon Web Services konfigurieren](https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services)
+ [Amazon Cognito Identity](https://docs.amplify.aws/lib/auth/advanced/q/platform/android/) im *Amplify Libraries for Android-Handbuch* und [Amazon Cognito Identity](https://docs.amplify.aws/lib/auth/advanced/q/platform/ios/) im *Amplify Libraries for Swift-Handbuch*.
+ [So verwenden Sie eine externe ID bei der Gewährung des Zugriffs auf Ihre AWS Ressourcen](https://aws.amazon.com/blogs/security/how-to-use-external-id-when-granting-access-to-your-aws-resources/) Im *AWS Sicherheitsblog* finden Sie Anleitungen zur sicheren Konfiguration des kontoübergreifenden Zugriffs und des externen Identitätsverbunds.