AWS资源控制策略示例：限制仅信任的OIDC身份提供者访问

最新推荐文章于 2025-06-17 20:01:27 发布

原创最新推荐文章于 2025-06-17 20:01:27 发布 · 249 阅读

CC 4.0 BY-SA版权

AWS资源控制策略示例：限制仅信任的OIDC身份提供者访问

resource-control-policy-examples Example AWS Resource control policies to get started or mature your usage of AWS RCPs. 项目地址: https://gitcode.com/gh_mirrors/re/resource-control-policy-examples

什么是OIDC身份提供者

OpenID Connect（OIDC）是一种基于OAuth 2.0协议的身份验证层，允许客户端验证用户的身份并获取基本用户信息。在AWS环境中，OIDC联盟允许通过兼容的身份提供者（IdP）认证的用户获取临时安全凭证，访问AWS资源。

为什么需要限制OIDC身份提供者

随着越来越多的第三方服务通过OIDC与AWS集成，确保只有受信任的身份提供者能够访问您的AWS资源变得至关重要。未经控制的OIDC访问可能导致：

未经授权的第三方服务访问您的AWS资源
多租户OIDC提供商中其他租户的潜在访问风险
安全凭证被滥用的可能性

核心控制策略

1. 强制执行受信任的OIDC提供商

此策略限制sts:AssumeRoleWithWebIdentity操作，仅允许与特定OIDC提供商关联的联合身份执行该操作。这是基础安全控制，确保只有您明确配置的OIDC提供商能够为您的AWS资源颁发凭证。

2. 强制执行受信任的OIDC租户

对于多租户OIDC提供商，此策略确保只有来自您租户的联合身份能够执行sts:AssumeRoleWithWebIdentity操作。这对于使用共享颁发者URL的服务特别重要。

3. 限制GitHub默认颁发者的组织访问

当使用GitHub的默认颁发者URL（tokens.actions.githubusercontent.com）时，此策略确保只有来自您组织的仓库和作业能够通过AssumeRoleWithWebIdentity在您的AWS账户中担任角色。策略使用"sub"（主题）声明值的一部分来识别令牌所属的租户。

4. 拒绝内置Web身份提供商

此策略明确拒绝四种内置Web身份提供商（Google、Facebook、AWS Cognito和Login with Amazon）使用AssumeRoleWithWebIdentity在您的AWS账户中担任角色。

共享颁发者URL的特殊考虑

某些第三方服务在其OIDC集成中使用共享的"颁发者"（iss）URL。这意味着配置为使用这些服务的IAM角色需要在角色信任策略中添加条件键检查，以确保只有您预期的租户能够担任您的IAM角色。

支持的第三方服务示例

以下是一些使用共享颁发者URL的常见服务及其控制策略：

Terraform Cloud
- 颁发者URL: https://app.terraform.io
- 策略示例: 使用条件键确保只有您的Terraform Cloud租户能够担任角色
GitLab
- 颁发者URL: https://gitlab.com
- 策略示例: 限制仅您的GitLab项目能够访问AWS资源
IBM Turbonomic SaaS
- 多个颁发者URL
- 策略示例: 针对不同区域的IBM Turbonomic服务提供细粒度控制
GitHub Actions自托管运行器
- 颁发者URL: https://vstoken.actions.githubusercontent.com
- 策略示例: 确保只有您的自托管运行器能够访问AWS资源
Pulumi
- 颁发者URL: https://api.pulumi.com
- 策略示例: 限制Pulumi仅访问您授权的AWS资源