Controles del proveedor de identidad para proveedores compartidos de OIDC - AWS Identity and Access Management
Tipos de proveedores OIDCProveedores de identidades OIDC compartidos con controles del proveedor de identidadesRecursos adicionales

Controles del proveedor de identidad para proveedores compartidos de OIDC

Para los proveedores de identidades OpenID Connect (OIDC) compartidos y reconocidos, IAM requiere evaluar de forma explícita ciertas reclamaciones en las políticas de confianza de rol. Estas reclamaciones requeridas, conocidas como controles del proveedor de identidades, son evaluadas por IAM durante la creación del rol y las actualizaciones de la política de confianza. Si la política de confianza del rol no evalúa los controles requeridos por el proveedor de identidades OIDC compartido, se producirá un error en la creación o actualización del rol. Esto garantiza que solo las identidades autorizadas de la organización prevista puedan asumir roles y acceder a los recursos de AWS. Este control de seguridad es fundamental cuando los proveedores OIDC se comparten entre varios clientes de AWS.

IAM no evaluará los controles del proveedor de identidades en las políticas de confianza de rol OIDC ya existentes. Para cualquier modificación de la política de confianza de rol en roles OIDC existentes, IAM requerirá que se incluyan los controles del proveedor de identidades en dicha política.

Tipos de proveedores OIDC

IAM clasifica los proveedores de identidades OIDC en dos categorías: privados y compartidos. Un proveedor de identidades OIDC privado puede ser propiedad de una única organización y estar gestionado por esta, o bien corresponder a un inquilino de un proveedor SaaS, donde la URL del emisor OIDC actúa como identificador único específico de esa organización. Por el contrario, un proveedor de identidades OIDC compartido se utiliza en múltiples organizaciones, y la URL del emisor OIDC puede ser la misma para todas ellas.

La siguiente tabla presenta las principales diferencias entre los proveedores OIDC privados y compartidos:

Característica Proveedor OIDC privado Proveedor OIDC compartido

Emisor

Exclusivo de la organización

Compartido entre varias organizaciones

Información de tenencia

Comunicado a través de un emisor único

Comunicado a través de reclamaciones en JWT

Requisitos de la política de confianza

No se requiere evaluación de reclamaciones específica

Se requiere evaluación de reclamaciones específica

Proveedores de identidades OIDC compartidos con controles del proveedor de identidades

Al crear o modificar un proveedor OIDC en IAM, el sistema identifica y evalúa automáticamente las reclamaciones requeridas para los proveedores OIDC compartidos reconocidos. Si los controles del proveedor de identidades no están configurados en la política de confianza del rol, la creación o actualización del rol fallará con un error MalformedPolicyDocument.

La siguiente tabla muestra los proveedores OIDC compartidos que requieren controles del proveedor de identidades en las políticas de confianza de rol:

Proveedor de identidad OIDC URL de OIDC Reclamación de tenencia Reclamaciones requeridas
Buildkite https://agent.buildkite.com

sub

 agent.buildkite.com:sub
Codefresh SaaS https://oidc.codefresh.io sub oidc.codefresh.io:sub
DVC Studio https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
Acciones de GitHub https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
Flujo de registro de auditoría de GitHub https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
GitHub vstoken https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
IBM Turbonomic SaaS*

  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

 sub

  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub
sandboxes.cloud https://sandboxes.cloud aud sandboxes.cloud:aud
Scalr https://scalr.io sub scalr.io:sub
Shisho Cloud https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Terraform Cloud https://app.terraform.io sub app.terraform.io:sub
Upbound https://proidc.upbound.io sub proidc.upbound.io:sub

* IBM Turbonomic actualiza periódicamente la URL del emisor OIDC con cada nueva versión de la plataforma. Agregaremos emisores OIDC de Turbonomic adicionales al ámbito como proveedores compartidos, según sea necesario.

Para cualquier nuevo proveedor de identidades OIDC que IAM identifique como compartido, los controles del proveedor de identidades requeridos para las políticas de confianza de roles se documentarán y se aplicarán de manera similar.

Recursos adicionales

Recursos adicionales: