Sesiones de rol de IAM con identidad mejorada - AWS IAM Identity Center
Tipos de sesiones de rol de IAM con identidad mejoradaRegistro de sesiones de rol de IAM con identidad mejorada

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Sesiones de rol de IAM con identidad mejorada

AWS Security Token Service (STS) permite que una aplicación obtenga una sesión de rol de IAM con identidad mejorada. Las sesiones de rol con identidad mejorada tienen un contexto de identidad adicional que incluye un identificador de usuario al Servicio de AWS que llaman. Servicios de AWS puede buscar las pertenencias a los grupos y los atributos del usuario en el Centro de Identidad de IAM y utilizarlos para autorizar el acceso del usuario a los recursos.

AWS las aplicaciones obtienen sesiones de roles con una identidad mejorada realizando solicitudes a la acción de la AWS STS AssumeRoleAPI y pasando una afirmación de contexto con el identificador del usuario (userId) en el ProvidedContexts parámetro de la solicitud a. AssumeRole La afirmación de contexto se obtiene de la reclamación idToken recibida en respuesta a una solicitud dirigida a SSO OIDC para CreateTokenWithIAM. Cuando una AWS aplicación utiliza una sesión de rol con identidad mejorada para acceder a un recurso, CloudTrail registra la userId sesión de inicio y la acción realizada. Para obtener más información, consulte Registro de sesiones de rol de IAM con identidad mejorada.

Tipos de sesiones de rol de IAM con identidad mejorada

AWS STS puede crear dos tipos diferentes de sesiones de rol de IAM con identidad mejorada, en función de la afirmación de contexto proporcionada a la solicitud. AssumeRole Las aplicaciones que hayan obtenido tokens de identificación de IAM Identity Center pueden añadir sts:identiy_context (recomendado) o sts:audit_context (admitido por compatibilidad con versiones anteriores) a las sesiones de rol de IAM. Una sesión de roles de IAM con identidad mejorada solo puede tener una de estas aserciones de contexto, no ambas.

Sesiones de rol de IAM con identidad mejorada creadas mediante sts:identity_context

Cuando una sesión de rol con identidad mejorada contiene sts:identity_context, el Servicio de AWS llamado determina si la autorización de recursos se basa en el usuario que está representado en la sesión de rol o si se basa en el rol. Los Servicios de AWS que admiten la autorización basada en el usuario proporcionan al administrador de la aplicación controles para asignar el acceso al usuario o a los grupos de los que el usuario es miembro.

Servicios de AWS que no admitan la autorización basada en el usuario ignoran la. sts:identity_context CloudTrail registra el USERID del usuario del Centro de Identidad de IAM con todas las acciones realizadas por el rol. Para obtener más información, consulte Registro de sesiones de rol de IAM con identidad mejorada.

Para obtener este tipo de sesión de rol con identidad mejorada AWS STS, las aplicaciones proporcionan el valor del sts:identity_context campo de la solicitud mediante el parámetro de AssumeRolesolicitud. ProvidedContexts Utilice arn:aws:iam::aws:contextProvider/IdentityCenter como valor para ProviderArn.

Para obtener más información sobre el comportamiento de la autorización, consulte la documentación relativa a la recepción. Servicio de AWS

Sesiones de rol de IAM con identidad mejorada creadas mediante sts:audit_context

En el pasado, se sts:audit_context utilizaba Servicios de AWS para permitir el registro de la identidad del usuario sin utilizarla para tomar una decisión de autorización. Servicios de AWS ahora pueden usar un único contexto: sts:identity_context - para lograrlo y para tomar decisiones de autorización. Recomendamos utilizar sts:identity_context en todas las nuevas implementaciones de propagación de identidades de confianza.

Registro de sesiones de rol de IAM con identidad mejorada

Cuando se realiza una solicitud a una Servicio de AWS sesión de rol de IAM con identidad mejorada, se inicia sesión en el elemento en el centro userId de identidad de IAM del usuario. CloudTrail OnBehalfOf La forma en que se registran los eventos CloudTrail varía en función del. Servicio de AWS No todos los Servicios de AWS registran el elemento onBehalfOf.

A continuación se muestra un ejemplo de cómo se inicia sesión en una sesión de rol con identidad mejorada. Servicio de AWS CloudTrail

"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}