Recursos adicionales para federaciones de OIDC

Federación OIDC

Imagine que está creando una aplicación que accede a los recursos de AWS, como, por ejemplo, GitHub Actions, que utiliza flujos de trabajo para acceder a Amazon S3 y DynamoDB.

Cuando utiliza estos flujos de trabajo, realizará solicitudes a los servicios de AWS que deben estar firmadas con una clave de acceso de AWS. Sin embargo, te recomendamos encarecidamente que no guardes las AWS credenciales a largo plazo en aplicaciones externas AWS. En cambio, cree su aplicación de forma que solicite credenciales de seguridad de AWS cuando las necesite utilizando la federación de OIDC. Las credenciales temporales suministradas se asignan a un rol de AWS que solo tiene los permisos necesarios para realizar las tareas requeridas por la aplicación.

Con la federación de OIDC no necesita crear código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. En su lugar, puedes usar el OIDC en aplicaciones, como GitHub Actions o cualquier otro IdP compatible con OpenID Connect (OIDC), para autenticarte con AWS. Pueden recibir un token de autenticación, conocido como JSON Web Token (JWT) y luego intercambiarlo por credenciales de seguridad temporales en AWS que tienen asignado un rol de IAM con permisos para utilizar los recursos de la Cuenta de AWS. El uso de un IdP le permite tener una Cuenta de AWS más segura, ya que no tiene que integrar ni distribuir credenciales de seguridad a largo plazo con su aplicación.

La federación OIDC admite tanto la autenticación de máquina a máquina (p. ej., canalizaciones de CI/CD, scripts automatizados y aplicaciones sin servidor) como la autenticación de usuarios humanos. Para escenarios de autenticación con usuarios humanos en los que necesite gestionar el registro, el inicio de sesión y los perfiles de usuario, considere usar Amazon Cognito como agente de identidades. Para obtener más información sobre el uso de Amazon Cognito con OIDC, consulte Amazon Cognito para aplicaciones móviles.

nota

Los JSON Web Tokens (JWT) emitidos por los proveedores de identidad de OpenID Connect (OIDC) tienen un tiempo de vencimiento especificado en el campo exp que indica cuándo expira el token. IAM proporciona un período de cinco minutos más allá del tiempo de caducidad especificado en el JWT para tener en cuenta la desviación del reloj, según lo permitido por el estándar OpenID Connect (OIDC) Core 1.0. Esto significa que los documentos JWT del OIDC recibidos por IAM después de la fecha de caducidad, pero dentro de este plazo de cinco minutos, se aceptan para su posterior evaluación y procesamiento.

Temas

Recursos adicionales para federaciones de OIDC

Los siguientes recursos pueden ayudarle a obtener más información sobre la federaciones de OIDC:

Usa OpenID Connect en tus flujos de trabajo de GitHub mediante la configuración de OpenID Connect en Amazon Web Services
Amazon Cognito Identity en la Guía de bibliotecas de Amplify para Android y Amazon Cognito Identity en la Guía de bibliotecas de Amplify para Swift.
Cómo utilizar un identificador externo al conceder acceso a sus AWS recursos en el blog de seguridad de AWS, se proporcionan instrucciones sobre cómo configurar de forma segura el acceso entre cuentas y la federación de identidades externas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Escenarios habituales

Crear un proveedor de identidad OIDC