Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Memahami klaim token
<a name="id_roles_providers_outbound_token_claims"></a>

Saat Anda memanggil [GetWebIdentityToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetWebIdentityToken.html)API, AWS Security Token Service mengembalikan Token Web JSON (JWT) yang ditandatangani yang berisi serangkaian klaim yang mewakili identitas prinsipal IAM. Token ini sesuai dengan [RFC](https://datatracker.ietf.org/doc/html/rfc7519) 7519. Memahami struktur dan isi token ini membantu Anda menerapkan alur otentikasi yang aman, mengonfigurasi validasi klaim yang sesuai di layanan eksternal, dan secara efektif menggunakan klaim khusus untuk kontrol akses berbutir halus.

JWT mencakup klaim OpenID Connect (OIDC) standar seperti subjek (“sub”), audiens (“aud”), penerbit (“iss”) untuk memfasilitasi interoperabilitas di berbagai layanan eksternal. AWS STS mengisi token dengan klaim AWS khusus identitas (seperti ID AWS Akun dan tag Utama) dan klaim konteks sesi (seperti instans EC2) bila berlaku. ARNs Anda juga dapat menambahkan klaim khusus ke token dengan meneruskannya sebagai tag permintaan ke [GetWebIdentityToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetWebIdentityToken.html)API. Klaim AWS khusus identitas, dan klaim konteks sesi dan klaim khusus bersarang di bawah namespace "https://sts.amazonaws.com/” di token.

Lihat contoh token di bawah ini untuk daftar klaim yang termasuk dalam token. Harap dicatat bahwa semua klaim ini mungkin tidak ada dalam token pada saat yang bersamaan. 

```
{
  "iss": "https://abc123-def456-ghi789-jkl012.tokens.sts.global.api.aws",
  "aud": "https://api.example.com",
  "sub": "arn:aws:iam::123456789012:role/DataProcessingRole",
  "iat": 1700000000,
  "exp": 1700000900,
  "jti": "xyz123-def456-ghi789-jkl012",
  "https://sts.amazonaws.com/": {
    "aws_account": "123456789012",
    "source_region": "us-east-1",
    "org_id": "o-abc1234567",
    "ou_path": "o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/",
    "principal_tags": {
      "environment": "production",
      "team": "data-engineering",
      "cost-center": "engineering"
    },
    "lambda_source_function_arn": "arn:aws:lambda:us-east-1:123456789012:function:process-data",
    "request_tags": {
        "job-id": "job-2024-001",
        "priority": "high",
        "data-classification": "sensitive"
    }
  }
}
```

## Klaim standar
<a name="standard-claims"></a>

Klaim OIDC standar yang ada dalam token memfasilitasi interoperabilitas dengan berbagai layanan eksternal. Klaim ini dapat divalidasi menggunakan sebagian besar pustaka JWT.


| Klaim | Nama | Deskripsi | Nilai Contoh | 
| --- | --- | --- | --- | 
| iss | Penerbit | URL penerbit khusus akun Anda. Layanan eksternal memvalidasi klaim ini untuk memastikannya sesuai dengan penerbit tepercaya mereka. | https://abc123-def456-ghi789-jkl012.tokens.sts.global.api.aws | 
| aud | Audiens | Penerima yang dimaksudkan untuk token yang ditentukan dalam [GetWebIdentityToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetWebIdentityToken.html)permintaan. | https://api.example.com | 
| sub | Subjek | ARN dari prinsipal IAM yang meminta token. | arn:aws:iam: :123456789012: peran/DataProcessingRole | 
| iat | Dikeluarkan Pada | NumericDate nilai yang mengidentifikasi waktu di mana JWT dikeluarkan. | 1700000000 | 
| exp | Kedaluwarsa | NumericDate nilai yang mengidentifikasi waktu kedaluwarsa pada atau setelah itu JWT TIDAK BOLEH diterima untuk diproses. | 1700000900 | 
| jti | JWT ID | Pengidentifikasi unik untuk contoh token ini. | xyz123-def456-ghi789-jkl012 | 

## Klaim khusus
<a name="custom-claims"></a>

Selain klaim standar OIDC, AWS STS menambahkan klaim tentang identitas dan konteks sesi bila berlaku. Anda juga dapat menambahkan klaim Anda sendiri ke token dengan meneruskannya sebagai tag permintaan. Klaim khusus bersarang di bawah https://sts.amazonaws.com namespace/.

### AWS klaim identitas
<a name="aws-identity-claims"></a>

Klaim ini memberikan informasi terperinci tentang AWS akun Anda, struktur organisasi, dan prinsipal IAM.


| Klaim | Deskripsi | Peta ke Kunci Kondisi | Nilai Contoh | 
| --- | --- | --- | --- | 
| aws\$1akun | ID AWS akun Anda | [aws: PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount) | 123456789012 | 
| source\$1region |  AWS Wilayah tempat token diminta | [aws: RequestedRegion](reference_policies_condition-keys.md#condition-keys-requestedregion) | us-east-1 | 
| org\$1id | ID AWS Organizations Anda (jika akun Anda adalah bagian dari organisasi) | [aws: PrincipalOrg ID](reference_policies_condition-keys.md#condition-keys-principalorgid) | o-abc1234567 | 
| ou\$1path | Jalur unit organisasi Anda (jika ada) | [aws: PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths) | o-a1b2c3d4e5/r-ab12/ou-ab12-11111111/ou-ab12-22222222/ | 
| principal\$1tag | Tag yang dilampirkan pada prinsipal IAM atau sesi peran yang diasumsikan. Ketika token diminta di mana prinsipal IAM yang meminta memiliki tag utama dan tag sesi, tag sesi akan ada di JWT. | [aws:PrincipalTag/](reference_policies_condition-keys.md#condition-keys-principaltag)<tag-key> | \$1"environment”: “production”, “team”: “data-engineering”, “cost-center” :"engineering "\$1 | 

### Klaim konteks sesi
<a name="session-context-claims"></a>

Klaim ini memberikan informasi tentang lingkungan komputasi dan sesi tempat permintaan token berasal. AWS STS secara otomatis menyertakan klaim ini bila berlaku berdasarkan konteks sesi kepala sekolah yang meminta.


| Klaim | Deskripsi | Peta ke Kunci Kondisi | Nilai Contoh | 
| --- | --- | --- | --- | 
| original\$1session\$1exp | Ketika kredensyal sesi peran asli akan kedaluwarsa (untuk peran yang diasumsikan) | N/A | 2024-01-15T 10:00:00 Z | 
| federated\$1provider | Nama penyedia identitas untuk sesi federasi | [aws: FederatedProvider](reference_policies_condition-keys.md#condition-keys-federatedprovider) | arn:aws:iam: :111122223333:oidc-provider/your\$1oidc\$1provider | 
| identity\$1store\$1user\$1id | ID pengguna Pusat Identitas IAM | [toko identitas: UserId](reference_policies_condition-keys.md#condition-keys-identity-store-user-id) | pengguna-abc123def456 | 
| identity\$1store\$1arn | ARN dari toko identitas Pusat Identitas | [toko identitas: IdentityStoreArn](https://docs.aws.amazon.com/singlesignon/latest/userguide/condition-context-keys-sts-idc.html#condition-keys-identity-store-arn) | arn:aws:identitystore: :123456789012: identitystore/d-abc1234567 | 
| ec2\$1source\$1instance\$1id | ARN dari instans EC2 yang meminta | [EC2: SourceInstanceArn](reference_policies_condition-keys.md#condition-keys-ec2-source-instance-arn) | arn:aws:ec2: us-timur- 1:123456789012: instance/i-abc123def456 | 
| ec2\$1instance\$1source\$1vpc | ID VPC tempat kredensyal peran EC2 dikirimkan | [AWS: EC2 InstanceSourceVpc](reference_policies_condition-keys.md#condition-keys-ec2instancesourcevpc) | vpc-abc123def456 | 
| ec2\$1instance\$1source\$1private\$1ipv4 | Alamat IPv4 pribadi dari instans EC2 | [AWS: EC2 InstanceSourcePrivate IPv4](reference_policies_condition-keys.md#condition-keys-ec2instancesourceprivateip4) | 10.0.1.25 | 
| ec2\$1role\$1delivery | Versi layanan metadata instans | [EC2: RoleDelivery](reference_policies_condition-keys.md#condition-keys-ec2-role-delivery) | 2 | 
| source\$1identity | Identitas sumber yang ditetapkan oleh kepala sekolah | [aws: SourceIdentity](reference_policies_condition-keys.md#condition-keys-sourceidentity) | admin-pengguna | 
| lambda\$1source\$1function\$1arn | ARN dari fungsi Lambda yang memanggil | [lambda: SourceFunctionArn](reference_policies_condition-keys.md#condition-keys-lambda-source-function-arn) | arn:aws:lambda: us-timur- 1:123456789012: fungsi: fungsi saya | 
| glue\$1credential\$1issuing\$1service | AWS Glue service identifier untuk pekerjaan Glue | [lem: CredentialIssuingService](reference_policies_condition-keys.md#condition-keys-glue-credential-issuing) | lem.amazonaws.com | 

### Minta tag
<a name="request-tags"></a>

Anda dapat menambahkan klaim kustom ke token dengan menentukan tag dalam permintaan [GetWebIdentityToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetWebIdentityToken.html)API. Klaim ini muncul di bawah bidang request\$1tags di token dan memungkinkan Anda untuk meneruskan informasi spesifik yang dapat digunakan layanan eksternal untuk keputusan otorisasi halus. Anda dapat menentukan hingga 50 tag per permintaan.

Contoh permintaan:

```
response = sts_client.get_web_identity_token(
    Audience=['https://api.example.com'],
    SigningAlgorithm='ES384',
    Tags=[
        {'Key': 'team', 'Value': 'data-engineering'},
        {'Key': 'cost-center', 'Value': 'analytics'},
        {'Key': 'environment', 'Value': 'production'}
    ]
)
```

Menghasilkan klaim dalam token:

```
{
  "request_tags": {
    "team": "data-engineering",
    "cost-center": "analytics",
    "environment": "production"
  }
}
```