Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Dengan asumsi peran dengan identitas web atau OpenID Connect AWS SDKs untuk mengautentikasi dan alat
Dengan asumsi peran melibatkan penggunaan seperangkat kredensil keamanan sementara untuk mengakses AWS sumber daya yang mungkin tidak dapat Anda akses sebaliknya. Kredensial sementara ini terdiri dari access key ID, secret access key, dan token keamanan. Untuk mempelajari lebih lanjut tentang AWS Security Token Service (AWS STS) permintaan API, lihat [Tindakan](https://docs.aws.amazon.com/STS/latest/APIReference/API_Operations.html) di *Referensi AWS Security Token Service API*.
Untuk menyiapkan SDK atau alat untuk mengambil peran, Anda harus terlebih dahulu membuat atau mengidentifikasi *peran* tertentu yang akan diambil. [Peran IAM diidentifikasi secara unik oleh peran Amazon Resource Name (ARN).](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) Peran membangun hubungan kepercayaan dengan entitas lain. Entitas tepercaya yang menggunakan peran tersebut mungkin penyedia identitas web atau OpenID Connect (OIDC), atau federasi SAMP. Untuk mempelajari selengkapnya tentang peran IAM, lihat [Metode untuk mengambil peran](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dalam *Panduan Pengguna IAM*.
Setelah peran IAM dikonfigurasi di SDK Anda, jika peran tersebut dikonfigurasi untuk mempercayai penyedia identitas Anda, Anda dapat mengonfigurasi SDK lebih lanjut untuk mengambil peran tersebut agar mendapatkan kredensi sementara. AWS
**catatan**
Ini adalah praktik AWS terbaik untuk menggunakan titik akhir Regional bila memungkinkan dan untuk mengkonfigurasi Anda[Wilayah AWS](feature-region.md).
## Bersekutu dengan identitas web atau OpenID Connect
Anda dapat menggunakan JSON Web Tokens (JWTs) dari penyedia identitas publik, seperti Login With Amazon, Facebook, Google untuk mendapatkan AWS kredensi sementara menggunakan. `AssumeRoleWithWebIdentity` Tergantung pada bagaimana mereka digunakan, ini JWTs dapat disebut token ID atau token akses. Anda juga dapat menggunakan yang JWTs diterbitkan dari penyedia identitas (IdPs) yang kompatibel dengan protokol penemuan OIDC, seperti EntraId atau. PingFederate
Jika Anda menggunakan Amazon Elastic Kubernetes Service, fitur ini menyediakan kemampuan untuk menentukan peran IAM yang berbeda untuk setiap akun layanan Anda di klaster Amazon EKS. Fitur Kubernetes ini mendistribusikan JWTs ke pod Anda yang kemudian digunakan oleh penyedia kredensi ini untuk mendapatkan kredensi sementara. AWS Untuk informasi selengkapnya tentang konfigurasi Amazon EKS ini, lihat [peran IAM untuk akun layanan](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) di **Panduan Pengguna Amazon EKS**. Namun, untuk opsi yang lebih sederhana, kami sarankan Anda menggunakan [Amazon EKS Pod Identities](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html) jika [SDK Anda mendukungnya](feature-container-credentials.md#feature-container-credentials-sdk-compat).
### Langkah 1: Siapkan penyedia identitas dan peran IAM
Untuk mengonfigurasi federasi dengan iDP eksternal, gunakan penyedia identitas IAM untuk menginformasikan AWS tentang iDP eksternal dan konfigurasinya. Ini membangun *kepercayaan* antara IDP Anda Akun AWS dan eksternal. Sebelum mengonfigurasi SDK untuk menggunakan JSON Web Token (JWT) untuk otentikasi, Anda harus terlebih dahulu mengatur penyedia identitas (iDP) dan peran IAM yang digunakan untuk mengaksesnya. Untuk mengaturnya, lihat [Membuat peran untuk identitas web atau Federasi OpenID Connect (konsol) di Panduan](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html) Pengguna *IAM*.
### Langkah 2: Konfigurasikan SDK atau alat
Konfigurasikan SDK atau alat untuk menggunakan JSON Web Token (JWT) untuk otentikasi. AWS STS
Saat Anda menentukan ini di profil, SDK atau alat secara otomatis membuat panggilan AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)API yang sesuai untuk Anda. Untuk mengambil dan menggunakan kredensil sementara menggunakan federasi identitas web, tentukan nilai konfigurasi berikut dalam file bersama. AWS `config` Untuk detail selengkapnya tentang masing-masing pengaturan ini, lihat [Asumsikan pengaturan penyedia kredensi peran](feature-assume-role-credentials.md#feature-assume-role-credentials-settings) bagian.
+ `role_arn`- Dari peran IAM yang Anda buat di Langkah 1
+ `web_identity_token_file`- Dari iDP eksternal
+ (Opsional) `duration_seconds`
+ (Opsional) `role_session_name`
Berikut ini adalah contoh konfigurasi `config` file bersama untuk mengambil peran dengan identitas web:
```
[profile web-identity]
role_arn=arn:aws:iam::123456789012:role/my-role-name
web_identity_token_file=/path/to/a/token
```
**catatan**
Untuk aplikasi seluler, pertimbangkan untuk menggunakan Amazon Cognito. Amazon Cognito bertindak sebagai pialang identitas dan melakukan banyak pekerjaan federasi untuk Anda. Namun, penyedia identitas Amazon Cognito tidak disertakan dalam pustaka inti SDKs dan alat seperti penyedia identitas lainnya. Untuk mengakses Amazon Cognito API, sertakan klien layanan Amazon Cognito di build atau pustaka untuk SDK atau alat Anda. Untuk penggunaan dengan AWS SDKs, lihat [Contoh Kode](https://docs.aws.amazon.com/cognito/latest/developerguide/service_code_examples.html) di Panduan *Pengembang Amazon Cognito*.
Untuk detail tentang semua pengaturan penyedia kredensi peran asumsi, lihat [Asumsikan penyedia kredensi peran](feature-assume-role-credentials.md) di panduan ini.