Ressources supplémentaires pour la fédération OIDC

Fédération OIDC

Imaginez que vous créez une application qui accède à des AWS ressources, comme GitHub Actions, qui utilise des flux de travail pour accéder à Amazon S3 et DynamoDB.

Lorsque vous utilisez ces flux de travail, vous envoyez des demandes aux AWS services qui doivent être signées à l'aide d'une clé d' AWS accès. Cependant, nous vous recommandons vivement de ne pas stocker les AWS informations d'identification à long terme dans des applications extérieures AWS. Configurez plutôt vos applications pour demander des informations d'identification de AWS sécurité temporaires de manière dynamique en cas de besoin à l'aide de la fédération OIDC. Les informations d'identification temporaires fournies correspondent à un AWS rôle qui dispose uniquement des autorisations nécessaires pour effectuer les tâches requises par l'application.

Lors de l’utilisation de la fédération OIDC, il n’est pas nécessaire de créer de code de connexion personnalisé ni de gérer vos propres identités utilisateur. Au lieu de cela, vous pouvez utiliser OIDC dans des applications, telles que GitHub Actions ou tout autre IdP compatible avec OpenID Connect (OIDC), pour vous authentifier auprès de. AWS Ils reçoivent un jeton d'authentification, connu sous le nom de jeton Web JSON (JWT), puis échangent ce jeton contre des informations d'identification de sécurité temporaires associées à un rôle IAM autorisé à utiliser des ressources spécifiques dans votre. AWS Compte AWS L'utilisation d'un IdP vous aide à Compte AWS garantir votre sécurité, car vous n'avez pas à intégrer et à distribuer des informations de sécurité à long terme dans votre application.

La fédération OIDC prend en charge à la fois machine-to-machine l'authentification (comme les CI/CD pipelines, les scripts automatisés et les applications sans serveur) et l'authentification des utilisateurs humains. Pour les scénarios d'authentification d'utilisateurs humains dans lesquels vous devez gérer l'inscription, la connexion et les profils utilisateur, envisagez d'utiliser Amazon Cognito comme courtier d'identité. Pour en savoir plus sur l'utilisation d'Amazon Cognito avec OIDC, consultez. Amazon Cognito pour les applications mobiles

Note

Les jetons Web JSON (JWTs) émis par les fournisseurs d'identité OpenID Connect (OIDC) contiennent une date d'expiration dans la exp réclamation qui indique la date d'expiration du jeton. IAM fournit une fenêtre de cinq minutes au-delà du délai d’expiration spécifié dans le JWT pour tenir compte du décalage d’horloge, comme le permet la norme OpenID Connect (OIDC) Core 1.0. Cela signifie que les OIDC JWTs reçus par IAM après le délai d'expiration, mais dans ce délai de cinq minutes, sont acceptés pour une évaluation et un traitement plus approfondis.

Rubriques

Ressources supplémentaires pour la fédération OIDC

Les ressources suivantes peuvent vous aider à en savoir plus sur la fédération OIDC :

Utilisez OpenID Connect dans vos GitHub flux de travail en configurant OpenID Connect dans Amazon Web Services
Amazon Cognito Identity dans le Guide Amplify Libraries for Android et Amazon Cognito Identity dans le Guide Amplify Libraries for Swift.
Comment utiliser un identifiant externe lors de l'octroi de l'accès à vos AWS ressources. Le blog sur la AWS sécurité fournit des conseils sur la configuration sécurisée de l'accès entre comptes et de la fédération d'identité externe.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Scénarios courants

Création d’un fournisseur d’identité OIDC