Ressources supplémentaires pour la fédération OIDC

Fédération OIDC

Imaginez que vous créez une application qui accède à des ressources AWS, telles que GitHub Actions, et qui utilise des flux de travail pour accéder à Amazon S3 et DynamoDB.

Lorsque vous utilisez des flux de travail, vous effectuez des requêtes aux services AWS qui doivent être signées à l’aide d’une clé d’accès AWS. Cependant, nous vous recommandons vivement de ne pas stocker les informations d’identification à long terme AWS dans des applications extérieures à AWS. Configurez plutôt vos applications de manière à ce qu’elles demandent dynamiquement des informations d’identification de sécurité AWS temporaires, si nécessaire, à l’aide de la fédération OIDC. Les informations d’identification temporaires sont mappées à un rôle AWS qui dispose uniquement des autorisations nécessaires pour exécuter les tâches requises par l’application.

Lors de l’utilisation de la fédération OIDC, il n’est pas nécessaire de créer de code de connexion personnalisé ni de gérer vos propres identités utilisateur. Au lieu de cela, vous pouvez utiliser OIDC dans des applications, telles que GitHub Actions ou tout autre IdP compatible avec OpenID Connect (OIDC), pour vous authentifier auprès d’AWS. Ils reçoivent un jeton d’authentification, appelé jeton Web JSON (JWT), puis échangent ce jeton contre des informations d’identification de sécurité temporaires dans AWS qui sont mappées à un rôle IAM disposant d’autorisations permettant d’utiliser des ressources spécifiques de votre Compte AWS. L’utilisation d’un IdP vous permet de mieux sécuriser votre Compte AWS, car vous n’avez pas à intégrer ni distribuer d’informations d’identification de sécurité à long terme dans votre application.

La fédération OIDC prend en charge à la fois l’authentification machine à machine (telle que les pipelines CI/CD, les scripts automatisés et les applications sans serveur) et l’authentification des utilisateurs humains. Pour les scénarios d’authentification des utilisateurs humains dans lesquels vous devez gérer l’inscription, la connexion et les profils des utilisateurs, envisagez d’utiliser Amazon Cognito comme fournisseur d’identité. Pour en savoir plus sur l’utilisation d’Amazon Cognito avec OIDC, consultez Amazon Cognito pour les applications mobiles.

Note

Les jetons Web JSON (JWT) émis par les fournisseurs d’identité OpenID Connect (OIDC) contiennent un délai d’expiration dans la demande exp qui indique la date d’expiration du jeton. IAM fournit une fenêtre de cinq minutes au-delà du délai d’expiration spécifié dans le JWT pour tenir compte du décalage d’horloge, comme le permet la norme OpenID Connect (OIDC) Core 1.0. Cela signifie que les JWT OIDC reçus par IAM après le délai d’expiration mais dans cette fenêtre de cinq minutes sont acceptés pour une évaluation et un traitement ultérieurs.

Rubriques

Ressources supplémentaires pour la fédération OIDC

Les ressources suivantes peuvent vous aider à en savoir plus sur la fédération OIDC :

Utilisez OpenID Connect dans vos flux de travail GitHub en configurant OpenID Connect dans Amazon Web Services
Amazon Cognito Identity dans le Guide Amplify Libraries for Android et Amazon Cognito Identity dans le Guide Amplify Libraries for Swift.
Comment utiliser un ID externe pour accorder l’accès à vos ressources AWS sur le blog de sécurité AWS fournit des conseils pour configurer en toute sécurité l’accès intercompte et la fédération d’identités externes.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Scénarios courants

Création d’un fournisseur d’identité OIDC