Fédérer les AWS identités avec des services externes - AWS Identity and Access Management
Cas d’utilisation courantsComment ça marche

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Fédérer les AWS identités avec des services externes

La fédération des identités sortantes IAM permet à vos AWS charges de travail d'accéder en toute sécurité à des services externes sans stocker d'informations d'identification à long terme. Vos AWS charges de travail peuvent demander des jetons Web JSON de courte durée (JWTs) au AWS Security Token Service (AWS STS) en appelant l'GetWebIdentityTokenAPI. Ces jetons sont signés cryptographiquement, vérifiables publiquement et contiennent un ensemble complet de revendications qui affirment l'identité de votre AWS charge de travail auprès de services externes. Vous pouvez utiliser ces jetons avec un large éventail de fournisseurs de cloud tiers, de plateformes SaaS et d'applications auto-hébergées. Les services externes vérifient l'authenticité du jeton à l'aide AWS de clés de vérification publiées sur des points de terminaison connus et utilisent les informations contenues dans les jetons pour prendre des décisions d'authentification et d'autorisation.

La fédération des identités sortantes élimine le besoin de stocker des informations d'identification à long terme telles que des clés d'API ou des mots de passe dans le code de votre application ou des variables d'environnement, améliorant ainsi votre niveau de sécurité. Vous pouvez contrôler l'accès à la génération de jetons et appliquer les propriétés des jetons telles que les algorithmes de signature, les audiences autorisées et la durée à l'aide des politiques IAM. Toutes les demandes de jetons sont enregistrées AWS , fournissant des pistes d'audit complètes pour la surveillance de la sécurité et les rapports de conformité. Vous pouvez également personnaliser les jetons avec des balises qui apparaissent sous forme de revendications personnalisées, ce qui permet aux services externes de mettre en œuvre un contrôle d'accès précis basé sur les attributs.

Cas d’utilisation courants

Grâce à la fédération des identités sortantes, vos AWS charges de travail peuvent en toute sécurité :

  • Accédez aux ressources et aux services des fournisseurs de cloud externes. Par exemple, une fonction Lambda traitant des données peut écrire les résultats dans le service de stockage d'un fournisseur de cloud externe ou interroger sa base de données.

  • Intégrez des fournisseurs externes software-as-a-service (SaaS) pour l'analyse, le traitement des données, la surveillance, etc. Par exemple, vos fonctions Lambda peuvent envoyer des métriques aux plateformes d'observabilité.

  • Authentifiez-vous auprès de vos propres applications hébergées sur AWS des fournisseurs de cloud externes ou des centres de données sur site, afin de mettre en place des architectures hybrides et multicloud sécurisées. Par exemple, vos AWS charges de travail peuvent interagir avec des applications conteneurisées exécutées dans votre cluster Kubernetes sur site.

Comment ça marche

  1. La fonction Lambda appelle l'GetWebIdentityTokenAPI pour demander un jeton Web JSON (JWT) au AWS Security Token Service ().AWS STS

  2. AWS STS valide la demande et renvoie un JWT signé à la fonction Lambda.

  3. La fonction Lambda envoie le JWT au service externe.

  4. Le service externe extrait l'URL de l'émetteur du jeton, vérifie qu'il correspond à un émetteur fiable connu et récupère les clés de vérification et les métadonnées depuis le AWS point de terminaison de découverte OIDC.

  5. Le service externe utilise les clés de vérification pour vérifier la signature du jeton et valide les demandes telles que le délai d'expiration, le sujet et le public.

  6. Une fois la validation réussie, le service externe autorise l'accès à la fonction Lambda.