Menggabungkan AWS Identitas ke Layanan Eksternal - AWS Identity and Access Management
Kasus penggunaan umumCara Kerjanya

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggabungkan AWS Identitas ke Layanan Eksternal

Federasi identitas keluar IAM memungkinkan AWS beban kerja Anda mengakses layanan eksternal dengan aman tanpa menyimpan kredensi jangka panjang. AWS Beban kerja Anda dapat meminta JSON Web Tokens (JWTs) berumur pendek dari AWS Security Token Service (AWS STS) dengan memanggil API. GetWebIdentityToken Token ini ditandatangani secara kriptografis, dapat diverifikasi secara publik dan berisi serangkaian klaim komprehensif yang menegaskan identitas beban AWS kerja Anda ke layanan eksternal. Anda dapat menggunakan token ini dengan berbagai penyedia cloud pihak ketiga, platform SaaS, dan aplikasi yang dihosting sendiri. Layanan eksternal memverifikasi keaslian token menggunakan AWS kunci verifikasi yang diterbitkan di titik akhir terkenal dan menggunakan informasi dalam token untuk membuat keputusan otentikasi dan otorisasi.

Federasi identitas keluar menghilangkan kebutuhan untuk menyimpan kredensil jangka panjang seperti kunci API atau kata sandi dalam kode aplikasi atau variabel lingkungan Anda, meningkatkan postur keamanan Anda. Anda dapat mengontrol akses ke pembuatan token dan menerapkan properti token seperti algoritma penandatanganan, pemirsa yang diizinkan, dan durasi menggunakan kebijakan IAM. Semua permintaan token masuk AWS , menyediakan jejak audit lengkap untuk pemantauan keamanan dan pelaporan kepatuhan. Anda juga dapat menyesuaikan token dengan tag yang muncul sebagai klaim khusus, memungkinkan layanan eksternal menerapkan kontrol akses berbasis atribut yang halus.

Kasus penggunaan umum

Menggunakan federasi identitas keluar, AWS beban kerja Anda dapat dengan aman:

  • Akses sumber daya dan layanan di penyedia cloud eksternal. Misalnya, data pemrosesan fungsi Lambda dapat menulis hasil ke layanan penyimpanan penyedia cloud eksternal atau menanyakan database mereka.

  • Integrasikan dengan penyedia eksternal software-as-a-service (SaaS) untuk analitik, pemrosesan data, pemantauan, dll. Misalnya, fungsi Lambda Anda dapat mengirim metrik ke platform observabilitas.

  • Otentikasi dengan aplikasi Anda sendiri yang dihosting di AWS, penyedia cloud eksternal, atau pusat data lokal, memungkinkan arsitektur hybrid dan multi-cloud yang aman. Misalnya, AWS beban kerja Anda dapat berinteraksi dengan aplikasi kontainer yang berjalan di klaster Kubernetes lokal Anda.

Cara Kerjanya

  1. Fungsi Lambda memanggil GetWebIdentityTokenAPI untuk meminta JSON Web Token (JWT) dari AWS Security Token Service ().AWS STS

  2. AWS STS memvalidasi permintaan dan mengembalikan JWT yang ditandatangani ke fungsi Lambda.

  3. Fungsi Lambda mengirimkan JWT ke layanan eksternal.

  4. Layanan eksternal mengekstrak URL penerbit dari token, memverifikasinya cocok dengan penerbit tepercaya yang diketahui, dan mengambil kunci verifikasi dan metadata AWS dari titik akhir penemuan OIDC.

  5. Layanan eksternal menggunakan kunci verifikasi untuk memverifikasi tanda tangan token dan memvalidasi klaim seperti waktu kedaluwarsa, subjek, dan audiens.

  6. Setelah validasi berhasil, layanan eksternal memberikan akses ke fungsi Lambda.