Uso del complemento TIP para acceder Servicios de AWS - AWS SDKs y herramientas
Requisitos previos para utilizar el complemento de TIPPara usar el complemento de TIP en su códigoEjemplos de código que utilizan TIP

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso del complemento TIP para acceder Servicios de AWS

La propagación fiable de identidades (TIP) es una función AWS IAM Identity Center que permite Servicios de AWS a los administradores conceder permisos en función de los atributos de los usuarios, como las asociaciones de grupos. Con la propagación de identidades fiable, el contexto de identidad se añade a una función de IAM para identificar al usuario que solicita acceso a AWS los recursos. Este contexto se propaga a otros Servicios de AWS.

El contexto de identidad comprende la información que se Servicios de AWS utiliza para tomar decisiones de autorización cuando reciben solicitudes de acceso. Esta información incluye los metadatos que identifican al solicitante (por ejemplo, un usuario del Centro de Identidad de IAM), el lugar Servicio de AWS al que se solicita el acceso (por ejemplo, Amazon Redshift) y el ámbito del acceso (por ejemplo, el acceso de solo lectura). El destinatario Servicio de AWS utiliza este contexto y cualquier permiso asignado al usuario para autorizar el acceso a sus recursos. Para obtener más información, consulte la descripción general de la propagación de identidades confiables de la Guía del AWS IAM Identity Center usuario.

El complemento TIP se puede utilizar con Servicios de AWS este soporte para la propagación de identidades confiable. Como caso de uso de referencia, consulte Configuración de una aplicación de Amazon Q Business mediante AWS IAM Identity Center en la Guía del usuario de Amazon Q Business.

nota

Si utilizas Amazon Q Business, consulta Configuración de una aplicación de Amazon Q Business mediante AWS IAM Identity Center para obtener las instrucciones específicas del servicio.

Requisitos previos para utilizar el complemento de TIP

Los recursos siguientes son necesarios para que el complemento funcione:

  1. Debe utilizar el AWS SDK for Java o el AWS SDK para JavaScript.

  2. Compruebe que el servicio que está utilizando es compatible con la propagación de identidades de confianza.

    Consulte la columna Permite la propagación de identidades de confianza a través del IAM Identity Center de la tabla de aplicaciones administradas de AWS que se integran con el IAM Identity Center de la Guía del usuario de AWS IAM Identity Center .

  3. Puede habilitar IAM Identity Center y utilizarlo únicamente para la propagación de identidades de confianza.

    Consulte los requisitos previos y las consideraciones de la TIP en la Guía del usuario de AWS IAM Identity Center .

  4. Debe tener una Identity-Center-integrated solicitud.

    Consulte las aplicaciones administradas de AWS o las aplicaciones administradas por el cliente en la Guía del usuario de AWS IAM Identity Center .

  5. Debe configurar un emisor de token de confianza (TTI) y conectar su servicio al IAM Identity Center.

    Consulte los requisitos previos para emisores de tokens de confianza y las tareas para configurar un emisor de token de confianza en la Guía del usuario de AWS IAM Identity Center .

Para usar el complemento de TIP en su código

  1. Cree una instancia del complemento de propagación de identidades de confianza.

  2. Cree una instancia de cliente de servicio para interactuar con su cliente de servicio Servicio de AWS y personalícelo añadiendo el complemento confiable de propagación de identidades.

El complemento de TIP usa los siguientes parámetros:

  • webTokenProvider: una función que el cliente implementa para obtener un token OpenID de su proveedor de identidad externo.

  • accessRoleArn: el ARN del rol de IAM que debe asumir el complemento con el contexto de identidad del usuario para obtener las credenciales de identidad mejorada.

  • applicationArn: la cadena del identificador único del cliente o de la aplicación. Este valor es un ARN de aplicación que tiene las OAuth concesiones configuradas.

  • ssoOidcClient: (Opcional) Un cliente OIDC de SSO, por ejemplo, SsoOidcClientpara Java o for JavaScript, con configuraciones definidas client-sso-oidcpor el cliente. Si no se proporciona, se creará una instancia y se utilizará un cliente OIDC que utilice applicationRoleArn.

  • stsClient: (opcional) Un cliente de AWS STS con configuraciones definidas por el cliente, que se utiliza para asumir accessRoleArn con el contexto de identidad del usuario. Si no se proporciona, se creará una instancia y se utilizará un AWS STS cliente que applicationRoleArn lo utilice.

  • applicationRoleArn: (Opcional) El ARN del rol de IAM que se va a asumir AssumeRoleWithWebIdentity para poder iniciar el OIDC AWS STS y los clientes.

    • Si no se proporciona, se deben proporcionar ambos parámetros ssoOidcClient y stsClient.

    • Si se proporciona, applicationRoleArn no puede tener el mismo valor que el parámetro accessRoleArn. applicationRoleArn se utiliza para crear el stsClient, que se utiliza para asumir accessRole. Si se usa el mismo rol para ambos applicationRoleaccessRole, significaría usar un rol para asumir el rol (suposición del rol propio), lo cual no es aconsejable. AWS Consulte el anuncio para obtener más detalles.

Consideraciones para los parámetros ssoOidcClient, stsClient y applicationRoleArn

Al configurar el complemento de TIP, tenga en cuenta los siguientes requisitos de permiso en función de los parámetros que proporcione:

  • Si proporciona ssoOidcClient y stsClient:

    • Las credenciales en ssoOidcClient deben tener permiso oauth:CreateTokenWithIAM para llamar al centro de identidad y obtener el contexto de usuario específico del centro de identidad.

    • Las credenciales en stsClient deben contar con sts:AssumeRole y permisos sts:SetContext en accessRole. accessRole también debe configurarse con una relación de confianza con las credenciales activadas en stsClient.

  • Si proporciona applicationRoleArn:

    • applicationRole debe tener los permisos oauth:CreateTokenWithIAM, sts:AssumeRole y sts:SetContext necesarios en los recursos requeridos (instancia deIdC, accessRole), ya que se utilizará para crear clientes OIDC y STS.

    • applicationRoledebe tener una relación de confianza con el proveedor de identidad que se utilice para generar elwebToken, ya que se webToken utilizará para asumir el ApplicationRole mediante la AssumeRoleWithWebIdentityllamada del complemento.

Ejemplo de ApplicationRole configuración:

Política de confianza con el proveedor de tokens web:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Federated": "arn:aws:iam::ACCOUNT_ID:oidc-provider/IDENTITY_PROVIDER_URL"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
                "StringEquals": {
                    "IDENTITY_PROVIDER_URL:aud": "CLIENT_ID_TO_BE_TRUSTED"
                }
            }
        }
    ]
}

Política de permisos:

{
    "Version": "2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sts:AssumeRole",
                "sts:SetContext"
            ],
            "Resource": [
                "accessRoleArn"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "sso-oauth:CreateTokenWithIAM"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Ejemplos de código que utilizan TIP

Los siguientes ejemplos muestran cómo implementar el complemento TIP en su código mediante el AWS SDK for Java o el AWS SDK para JavaScript.

Java

Para usar el complemento TIP en su AWS SDK for Java proyecto, debe declararlo como una dependencia en el pom.xml archivo de su proyecto. 

<dependency>
<groupId>software.amazon.awsidentity.trustedIdentityPropagation</groupId>
<artifactId>aws-sdk-java-trustedIdentityPropagation-java-plugin</artifactId>
   <version>2.0.0</version>
</dependency>

En su código fuente, incluya la declaración de paquete requerida para software.amazon.awssdk.trustedidentitypropagation.

Los siguientes ejemplos muestran dos formas de crear una instancia del complemento de propagación de identidades de confianza y agregarla a un cliente de servicio. Ambos ejemplos utilizan Amazon S3 como servicio y se utilizan S3AccessGrantsPlugin para administrar los permisos específicos del usuario, pero se pueden aplicar a cualquiera Servicio de AWS que admita la propagación de identidades confiables (TIP).

nota

Para estos ejemplos, debe configurar los permisos específicos de usuario de S3 Access Grants. Consulte la documentación de concesiones de acceso de S3 para obtener más información.

Opción 1: Cree y transfiera clientes OIDC y STS

SsoOidcClient oidcClient = SsoOidcClient.builder()
    .region(Region.US_EAST_1)
    .credentialsProvider(credentialsProvider).build();

StsClient stsClient = StsClient.builder()
    .region(Region.US_EAST_1)
    .credentialsProvider(credentialsProvider).build();

TrustedIdentityPropagationPlugin trustedIdentityPropagationPlugin = TrustedIdentityPropagationPlugin.builder()
        .webTokenProvider(() -> webToken)
        .applicationArn(idcApplicationArn)
        .accessRoleArn(accessRoleArn)
        .ssoOidcClient(oidcClient)
        .stsClient(stsClient)
        .build();

S3AccessGrantsPlugin accessGrantsPlugin = S3AccessGrantsPlugin.builder()
        .build();

S3Client s3Client =
        S3Client.builder().region(Region.US_EAST_1)
                .crossRegionAccessEnabled(true)
                .addPlugin(trustedIdentityPropagationPlugin)
                .addPlugin(accessGrantsPlugin)
                .build();

final var resp = s3Client.getObject(GetObjectRequest.builder()
        .key("path/to/object/fileName")
        .bucket("bucketName")
        .build());

Opción 2: Transferir applicationRoleArn y aplazar la creación del cliente al complemento

TrustedIdentityPropagationPlugin trustedIdentityPropagationPlugin = TrustedIdentityPropagationPlugin.builder()
        .webTokenProvider(() -> webToken)
        .applicationArn(idcApplicationArn)
        .accessRoleArn(accessRoleArn)
        .applicationRoleArn(applicationRoleArn)
        .build();

S3AccessGrantsPlugin accessGrantsPlugin = S3AccessGrantsPlugin.builder()
        .build();

S3Client s3Client =
        S3Client.builder().region(Region.US_EAST_1)
                .crossRegionAccessEnabled(true)
                .addPlugin(trustedIdentityPropagationPlugin)
                .addPlugin(accessGrantsPlugin)
                .build();

final var resp = s3Client.getObject(GetObjectRequest.builder()
        .key("path/to/object/fileName")
        .bucket("bucketName")
        .build());

Para obtener información y fuentes adicionales, consulte trusted-identity-propagation-javaen GitHub.

JavaScript

Ejecute el siguiente comando para instalar el paquete de complementos de autenticación TIP en su AWS SDK para JavaScript proyecto: 

$  npm i @aws-sdk-extension/trusted-identity-propagation

El package.json final debería incluir una dependencia similar a la siguiente: 

  "dependencies": {
"@aws-sdk-extension/trusted-identity-propagation": "^2.0.0"
  },

En su código fuente, importe la dependencia de TrustedIdentityPropagationExtension requerida.

Los siguientes ejemplos muestran dos formas de crear una instancia del complemento de propagación de identidades de confianza y agregarla a un cliente de servicio. Ambos ejemplos utilizan Amazon S3 como servicio y Amazon S3 Access Grants para administrar los permisos específicos de los usuarios, pero se pueden aplicar a cualquiera Servicio de AWS que admita la propagación de identidades confiables (TIP).

nota

Para estos ejemplos, debe configurar los permisos específicos de usuario de concesiones de acceso a Amazon S3; consulte la documentación de concesiones de acceso a Amazon S3 para obtener más información.

Opción 1: Cree y transfiera clientes OIDC y STS

import { S3Client, GetObjectCommand } from "@aws-sdk/client-s3";
import { S3ControlClient, GetDataAccessCommand } from "@aws-sdk/client-s3-control";
import { TrustedIdentityPropagationExtension } from "@aws-sdk-extension/trusted-identity-propagation";

const s3ControlClient = new S3ControlClient({
    region: "us-east-1",
    extensions: [
        TrustedIdentityPropagationExtension.create({
            webTokenProvider: async () => {
                return 'ID_TOKEN_FROM_YOUR_IDENTITY_PROVIDER';
            },
            ssoOidcClient: customOidcClient,
            stsClient: customStsClient,
            accessRoleArn: accessRoleArn,
            applicationArn: applicationArn,
        }),
    ],
});

const getDataAccessParams = {
  Target: "S3_URI_PATH",
  Permission: "READ",
  AccountId: ACCOUNT_ID,
  InstanceArn: S3_ACCESS_GRANTS_ARN,
  TargetType: "Object",
};

try {
  const command = new GetDataAccessCommand(getDataAccessParams);
  const response = await s3ControlClient.send(command);

  const credentials = response.Credentials;

  // Create a new S3 client with the temporary credentials
  const temporaryS3Client = new S3Client({
    region: "us-east-1",
    credentials: {
      accessKeyId: credentials.AccessKeyId,
      secretAccessKey: credentials.SecretAccessKey,
      sessionToken: credentials.SessionToken,
    },
  });

  // Use the temporary S3 client to perform the operation
  const s3Params = {
    Bucket: "BUCKET_NAME",
    Key: "S3_OBJECT_KEY",
  };
  const getObjectCommand = new GetObjectCommand(s3Params);
  const s3Object = await temporaryS3Client.send(getObjectCommand);

  const fileContent = await s3Object.Body.transformToString();

  // Process the S3 object data
  console.log("Successfully retrieved S3 object:", fileContent);
} catch (error) {
  console.error("Error accessing S3 data:", error);
}

Opción 2: Transferir applicationRoleArn y aplazar la creación del cliente al complemento

import { S3Client, GetObjectCommand } from "@aws-sdk/client-s3";
import { S3ControlClient, GetDataAccessCommand } from "@aws-sdk/client-s3-control";
import { TrustedIdentityPropagationExtension } from "@aws-sdk-extension/trusted-identity-propagation";

const s3ControlClient = new S3ControlClient({
    region: "us-east-1",
    extensions: [
        TrustedIdentityPropagationExtension.create({
            webTokenProvider: async () => {
                return 'ID_TOKEN_FROM_YOUR_IDENTITY_PROVIDER';
            },
            accessRoleArn: accessRoleArn,
            applicationRoleArn: applicationRoleArn,
            applicationArn: applicationArn,
        }),
    ],
});

// Same S3 AccessGrants workflow as Option 1
const getDataAccessParams = {
  Target: "S3_URI_PATH",
  Permission: "READ",
  AccountId: ACCOUNT_ID,
  InstanceArn: S3_ACCESS_GRANTS_ARN,
  TargetType: "Object",
};

try {
  const command = new GetDataAccessCommand(getDataAccessParams);
  const response = await s3ControlClient.send(command);

  const credentials = response.Credentials;

  const temporaryS3Client = new S3Client({
    region: "us-east-1",
    credentials: {
      accessKeyId: credentials.AccessKeyId,
      secretAccessKey: credentials.SecretAccessKey,
      sessionToken: credentials.SessionToken,
    },
  });

  const s3Params = {
    Bucket: "BUCKET_NAME",
    Key: "S3_OBJECT_KEY",
  };
  const getObjectCommand = new GetObjectCommand(s3Params);
  const s3Object = await temporaryS3Client.send(getObjectCommand);

  const fileContent = await s3Object.Body.transformToString();

  console.log("Successfully retrieved S3 object:", fileContent);
} catch (error) {
  console.error("Error accessing S3 data:", error);
}

Para obtener información y fuentes adicionales, consulte trusted-identity-propagation-jsen GitHub.