Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS IAM Identity Center Konzepte für die AWS CLI
In diesem Thema werden die wichtigsten Konzepte von AWS IAM Identity Center(IAM Identity Center) beschrieben. IAM Identity Center ist ein cloudbasierter IAM-Dienst, der die Benutzerzugriffsverwaltung für mehrere Anwendungen AWS-Konten, SDKs und Tools vereinfacht, indem er in bestehende Identitätsanbieter (IdP) integriert wird. Er ermöglicht sicheres Single Sign-On, Berechtigungsverwaltung und Auditing über ein zentrales Benutzerportal und optimiert so die Identitäts- und Zugriffsverwaltung für Unternehmen.
Topics
Was ist IAM Identity Center
IAM Identity Center ist ein cloudbasierter Dienst für Identitäts- und Zugriffsmanagement (IAM), mit dem Sie den Zugriff auf mehrere AWS-Konten Geschäftsanwendungen zentral verwalten können.
Es bietet ein Benutzerportal, über das autorisierte Benutzer mit ihren vorhandenen AWS-Konten Unternehmensanmeldedaten auf die Anwendungen zugreifen können, für die ihnen die entsprechenden Berechtigungen erteilt wurden. Auf diese Weise können Unternehmen konsistente Sicherheitsrichtlinien durchsetzen und die Verwaltung des Benutzerzugriffs optimieren.
Unabhängig davon, welchen IdP Sie verwenden, abstrahiert das IAM Identity Center diese Unterschiede. So können Sie beispielsweise Microsoft Azure AD wie in dem Blogartikel The Next Evolution in IAM Identity Center
Anmerkung
Informationen zur Verwendung der Bearer-Authentifizierung, die keine Konto-ID und Rolle verwendet, finden Sie unter Einrichtung zur Verwendung von AWS CLI with CodeCatalyst im CodeCatalyst Amazon-Benutzerhandbuch.
Bedingungen
Im Folgenden finden Sie einige allgemeine Begriffe für die Verwendung von IAM Identity Center:
- Identitätsanbieter (IdP)
-
Ein Identitätsverwaltungssystem wie IAM Identity Center, Microsoft Azure AD, Okta oder der eigene Directory Service Ihres Unternehmens.
- AWS IAM Identity Center
-
IAM Identity Center ist der AWS eigene IdP-Dienst. SDKs und Tools, die früher als AWS Single bekannt waren Sign-On, behalten die
ssoAPI-Namespaces aus Gründen der Abwärtskompatibilität bei. Weitere Informationen finden Sie unter Umbenennung von IAM Identity Center im Benutzerhandbuch zu AWS IAM Identity Center. - AWS-Zugangsportal URL, SSO-Start-URL, Start-URL
-
Die eindeutige URL für das IAM Identity Center Ihres Unternehmens für den Zugriff auf Ihre autorisierten AWS-Konten, Services und Ressourcen. Dies kann eine AWS eigene URL sein (z. B.
https://). Alternativ können Sie eine kundeneigene Vanity-URL (z. B.instance-id.portal.region.app.awshttps://aws.mycompany.com) verwenden, die zum Endpunkt weiterleitet, der dem AWS Kunden gehört. Wenn Sie eine Vanity-URL verwenden,AWS CLI folgt diese der Weiterleitung und leitet automatisch die SSO-Region ab. Informationen zur Konfiguration einer Vanity-Domain finden Sie unter Regionales Routing für AWS Zugriffsportale: Implementierung benutzerdefinierter Vanity-Domains für IAM Identity Center imSecurity Blog.AWS - URL des Ausstellers
-
Die eindeutige IAM Identity Center-Aussteller-URL Ihres Unternehmens für den programmatischen Zugriff auf Ihre autorisierten Dienste AWS-Konten und Ressourcen. Ab Version 2.22.0 von kann die Aussteller-URL AWS CLI synonym mit der Start-URL verwendet werden.
- Verbund
-
Der Prozess der Vertrauensbildung zwischen IAM Identity Center und einem Identitätsanbieter, um Single Sign-On (SSO) zu ermöglichen.
- AWS-Konten
-
Die AWS-Konten, über die Sie Benutzern Zugriff gewähren.AWS IAM Identity Center
- Berechtigungssätze,AWS Anmeldeinformationen, Anmeldeinformationen, Sigv4-Anmeldeinformationen
-
Vordefinierte Sammlungen von Berechtigungen, die Benutzern oder Gruppen zugewiesen werden können, um ihnen Zugriff auf AWS-Services zu gewähren.
- Registrierungsbereiche, Zugriffsbereiche, Bereiche
-
Bereiche sind ein Mechanismus in OAuth 2.0, um den Zugriff einer Anwendung auf ein Benutzerkonto zu beschränken. Eine Anwendung kann einen oder mehrere Bereiche anfordern und das an die Anwendung ausgegebene Zugriffstoken ist auf die gewährten Bereiche beschränkt. Weitere Informationen zu Bereichen finden Sie unter Zugriffsbereiche im Benutzerhandbuch zu IAM Identity Center.
- Token, Aktualisierungstoken, Zugriffstoken
-
Token sind temporäre Sicherheitsnachweise, die Ihnen bei der Authentifizierung ausgestellt werden. Diese Token enthalten Informationen über Ihre Identität und die Berechtigungen, die Ihnen erteilt wurden.
Wenn Sie über das IAM Identity Center-Portal auf eine AWS Ressource oder Anwendung zugreifen, wird Ihr Token AWS zur Authentifizierung und Autorisierung vorgelegt. Auf diese Weise können AWS Sie Ihre Identität überprüfen und sicherstellen, dass Sie über die erforderlichen Berechtigungen verfügen, um die angeforderten Aktionen auszuführen.
Das Authentifizierungstoken wird auf der Festplatte unter dem Verzeichnis
~/.aws/sso/cachemit einem JSON-Dateinamen zwischengespeichert, der auf dem Sitzungsnamen basiert. - Sitzung
-
Eine IAM Identity Center-Sitzung bezieht sich auf den Zeitraum, in dem ein Benutzer authentifiziert und autorisiert ist, auf AWS Ressourcen oder Anwendungen zuzugreifen. Wenn sich ein Benutzer beim IAM Identity Center-Portal anmeldet, wird eine Sitzung eingerichtet, und das Token des Benutzers ist für eine bestimmte Dauer gültig. Weitere Informationen zum Festlegen der Sitzungsdauer finden Sie unter Festlegen der Sitzungsdauer im Benutzerhandbuch zu AWS IAM Identity Center.
Während der Sitzung können Sie zwischen verschiedenen AWS Konten und Anwendungen wechseln, ohne sich erneut authentifizieren zu müssen, solange die Sitzung aktiv bleibt. Wenn die Sitzung abläuft, melden Sie sich erneut an, um Ihren Zugriff zu erneuern.
IAM Identity Center-Sitzungen sorgen für eine reibungslose Benutzererfahrung und setzen gleichzeitig bewährte Sicherheitsverfahren durch, indem die Gültigkeit von Anmeldeinformationen für den Benutzerzugriff eingeschränkt wird.
- Erteilung eines Autorisierungscodes mit PKCE, PKCE, Proof Key for Code Exchange
-
Ab Version 2.22.0 ist Proof Key for Code Exchange (PKCE) ein OAuth 2.0-Verfahren für die Erteilung einer Authentifizierung für Geräte mit einem Browser. PKCE ist eine einfache und sichere Methode, um sich zu authentifizieren und die Zustimmung für den Zugriff auf Ihre AWS-Ressourcen von Desktops und Mobilgeräten mit Webbrowsern einzuholen. Dies ist das standardmäßige Autorisierungsverhalten. Weitere Informationen zu PKCE finden Sie unter Erteilung eines Autorisierungscodes mit PKCE im Benutzerhandbuch zu AWS IAM Identity Center.
- Erteilung der Geräteautorisierung
-
Ein OAuth 2.0-Verfahren für die Erteilung einer Authentifizierung für Geräte mit oder ohne Webbrowser. Weitere Informationen zum Festlegen der Sitzungsdauer finden Sie unter Erteilung der Autorisierung für Geräte im Benutzerhandbuch zu AWS IAM Identity Center.
Funktionsweise von IAM Identity Center
IAM Identity Center lässt sich in den Identitätsanbieter Ihres Unternehmens integrieren, z. B. IAM Identity Center, Microsoft Azure AD oder Okta. Benutzer authentifizieren sich bei diesem Identitätsanbieter und IAM Identity Center ordnet diese Identitäten dann den entsprechenden Berechtigungen und Zugriffen in Ihrer AWS-Umgebung zu.
Der folgende IAM Identity Center-Workflow geht davon aus, dass Sie Ihr AWS CLI System bereits für die Verwendung von IAM Identity Center konfiguriert haben:
-
Führen Sie den Befehl
aws sso loginin Ihrem bevorzugten Terminal aus. -
Melden Sie sich bei Ihrem an,AWS-Zugangsportal um eine neue Sitzung zu starten.
-
Wenn Sie eine neue Sitzung starten, erhalten Sie ein Aktualisierungstoken und ein Zugriffstoken, die zwischengespeichert werden.
-
Wenn Sie bereits eine aktive Sitzung haben, wird die bestehende Sitzung wiederverwendet und läuft ab, wenn die bestehende Sitzung abläuft.
-
-
Basierend auf dem Profil, das Sie in Ihrer
config-Datei eingerichtet haben, geht IAM Identity Center von den entsprechenden Berechtigungssätzen aus und gewährt Zugriff auf die relevanten AWS-Konten und Anwendungen. -
Die AWS CLI SDKs und Tools verwenden Ihre angenommene IAM-Rolle, um AWS-Services beispielsweise Amazon S3 S3-Buckets zu erstellen, bis diese Sitzung abläuft.
-
Das Zugriffstoken von IAM Identity Center wird stündlich überprüft und mit dem Aktualisierungstoken automatisch aktualisiert.
-
Wenn das Zugriffstoken abgelaufen ist, verwendet das SDK oder das Tool das Aktualisierungstoken, um ein neues Zugriffstoken abzurufen. Die Sitzungsdauer dieser Token wird dann verglichen. Wenn das Aktualisierungstoken nicht abgelaufen ist, stellt IAM Identity Center ein neues Zugriffstoken bereit.
-
Wenn das Aktualisierungstoken abgelaufen ist, werden keine neuen Zugriffstoken bereitgestellt und Ihre Sitzung ist beendet.
-
-
Sitzungen enden nach Ablauf der Aktualisierungstoken oder wenn Sie sich mithilfe des Befehls
aws sso logoutmanuell abmelden. Die zwischengespeicherten Anmeldeinformationen werden entfernt. Um weiterhin über IAM Identity Center auf Services zugreifen zu können, müssen Sie mit dem Befehlaws sso logineine neue Sitzung starten.
Weitere Ressourcen
Die folgenden zusätzlichen Ressourcen stehen zur Verfügung.
-
Konfiguration der IAM Identity Center-Authentifizierung mit dem AWS CLI
-
Tutorial: Verwenden von IAM Identity Center zur Ausführung von Amazon S3 S3-Befehlen in der AWS CLI
-
Installation oder Aktualisierung auf die neueste Version von AWS CLI
-
Einstellungen für die Konfiguration und die Anmeldeinformationsdatei in der AWS CLI
-
aws configure ssoin der Referenz zu AWS CLI Version 2 -
aws configure sso-sessionin der Referenz zu AWS CLI Version 2 -
aws sso loginin der Referenz zu AWS CLI Version 2 -
aws sso logoutin der Referenz zu AWS CLI Version 2 -
Einrichtung für die Verwendung von AWS CLI with CodeCatalyst im CodeCatalyst Amazon-Benutzerhandbuch
-
Umbenennung von IAM Identity Center im Benutzerhandbuch zu AWS IAM Identity Center
-
OAuth 2.0-Zugriffsbereiche im Benutzerhandbuch zu IAM Identity Center
-
Festlegen der Sitzungsdauer im Benutzerhandbuch zu AWS IAM Identity Center
-
Tutorials für die ersten Schritte im Benutzerhandbuch zu IAM Identity Center