Impostazione di Storage Browser per S3 - Amazon Simple Storage Service
Metodo 1: Gestione dell'accesso ai dati per i clienti e partner terziMetodo 2: gestione dell'accesso ai dati dei principali IAM per il tuo account AWSMetodo 3: Gestione dell'accesso ai dati su larga scala

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Impostazione di Storage Browser per S3

Per collegare gli utenti finali alle posizioni Amazon S3, è necessario prima impostare un metodo di autenticazione e autorizzazione. Esistono tre metodi per impostare un metodo di autenticazione e autorizzazione con Storage Browser:

Metodo 1: Gestione dell'accesso ai dati per i clienti e partner terzi

Con questo metodo, è possibile utilizzare AWS Amplify Auth per gestire il controllo degli accessi e la sicurezza dei file. Questo metodo è ideale quando si desidera collegare i clienti o i partner di terze parti con i dati presenti in S3. Con questa opzione, i clienti possono autenticarsi utilizzando gestori dell'identità sociali o aziendali.

Fornisci le credenziali IAM ai tuoi utenti finali e partner terzi utilizzando AWS Amplify Auth con un bucket S3 configurato per utilizzare Amplify Storage. AWS Amplify L'autenticazione si basa su Amazon Cognito, un servizio di gestione delle identità e degli accessi dei clienti completamente gestito in cui è possibile autenticare e autorizzare gli utenti da una directory utente integrata o da una directory aziendale o da provider di identità di consumo. Il modello di autorizzazione di Amplify definisce a quali prefissi può accedere l'utente attualmente autenticato. Per ulteriori informazioni su come impostare l'autorizzazione per AWS Amplify, consulta Impostazione dell'archiviazione.

Per inizializzare il componente con i metodi di autenticazione e archiviazione di Amplify, aggiungere il seguente frammento di codice all'applicazione web:

import {
  createAmplifyAuthAdapter,
  createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import "@aws-amplify/ui-react-storage/styles.css";

import config from './amplify_outputs.json';

Amplify.configure(config);

export const { StorageBrowser } = createStorageBrowser({
  config: createAmplifyAuthAdapter(),
});

Metodo 2: gestione dell'accesso ai dati dei principali IAM per il tuo account AWS

Se desideri gestire l'accesso per i tuoi responsabili IAM o Account AWS direttamente, puoi creare un ruolo IAM con le autorizzazioni per richiamare l'operazione dell'GetDataAccessAPI S3. Per configurarlo, devi creare un'istanza S3 Access Grants per mappare le autorizzazioni per i bucket e i prefissi S3 generici alle identità IAM specificate. Il componente Storage Browser (che deve essere chiamato sul lato client dopo aver ottenuto le credenziali IAM) richiamerà quindi l'operazione dell'API ListCallerAccessGrantsS3 per recuperare le concessioni disponibili per il richiedente di identità e popolare le posizioni nel componente. Dopo aver ottenuto l'autorizzazione s3:GetDataAccess, le credenziali vengono utilizzate dal componente Storage Browser per richiedere l'accesso ai dati a S3.

import {
  createManagedAuthAdapter,
  createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import "@aws-amplify/ui-react-storage/styles.css";

export const { StorageBrowser } = createStorageBrowser({
  config: createManagedAuthAdapter({
    credentialsProvider: async (options?: { forceRefresh?: boolean }) => {
      // return your credentials object
      return {
        credentials: {
          accessKeyId: 'my-access-key-id',
          secretAccessKey: 'my-secret-access-key',
          sessionToken: 'my-session-token',
          expiration: new Date()
        },
      }
    },
    // AWS `region` and `accountId`
    region: '',
    accountId: '',
    // call `onAuthStateChange` when end user auth state changes 
    // to clear sensitive data from the `StorageBrowser` state
    registerAuthListener: (onAuthStateChange) => {},
  })
});

Metodo 3: Gestione dell'accesso ai dati su larga scala

Se si desidera associare un'istanza di S3 Access Grants al proprio Centro identità IAM per una soluzione più scalabile (ad esempio per fornire l'accesso ai dati a tutta l'azienda), è possibile richiedere i dati da Amazon S3 per conto dell'utente corrente autenticato. Ad esempio, è possibile concedere ai gruppi di utenti della directory aziendale l'accesso ai dati in S3. Questo approccio consente di gestire centralmente le autorizzazioni di S3 Access Grants per i vostri utenti e gruppi, compresi quelli ospitati da fornitori esterni come Microsoft Entra, Okta e altri.

Quando si utilizza questo metodo, l'integrazione con il Centro identità IAM consente di utilizzare le directory utenti esistenti. Un altro vantaggio della propagazione dell'identità attendibile del Centro identità IAM è che ogni evento di dati AWS CloudTrail per Amazon S3 contiene un riferimento diretto all'identità dell'utente finale che ha avuto accesso ai dati S3.

Se disponi di un'applicazione che supporta la OAuth versione 2.0 e gli utenti devono accedere da queste applicazioni ai AWS servizi, ti consigliamo di utilizzare una propagazione affidabile delle identità. Con la propagazione affidabile delle identità, un utente può accedere a un'applicazione e tale applicazione può trasmettere l'identità dell'utente in tutte le richieste che accedono ai dati nei AWS servizi. Questa applicazione interagisce con il Centro identità IAM per conto degli utenti autenticati. Per ulteriori informazioni, consulta Utilizzo della propagazione dell'identità attendibile con le applicazioni gestite dai clienti.

La propagazione affidabile delle identità è una AWS IAM Identity Center funzionalità che gli amministratori di connected Servizi AWS possono utilizzare per concedere e controllare l'accesso ai dati del servizio. L'accesso a questi dati si basa su attributi utente come le associazioni di gruppo. La configurazione di una propagazione affidabile delle identità richiede la collaborazione tra gli amministratori di connected Servizi AWS e gli amministratori di IAM Identity Center. Per ulteriori informazioni, consulta Prerequisiti e considerazioni.

Configurazione

Per configurare l'autenticazione Storage Browser nella propagazione dell'identità affidabile AWS Management Console utilizzando S3 Access Grants e IAM Identity Center, le tue applicazioni devono richiedere dati ad Amazon S3 per conto dell'utente attualmente autenticato. Con questo approccio, è possibile dare agli utenti o ai gruppi di utenti della directory aziendale l'accesso diretto ai bucket, ai prefissi o agli oggetti S3. Ciò significa che l'applicazione non dovrà mappare alcun utente a un principale IAM.

Il seguente flusso di lavoro illustra le fasi di impostazione di Storage Browser per S3, utilizzando il Centro identità IAM e S3 Access Grants:

Fasi Descrizione
1 Abilitazione del Centro identità IAM per AWS Organizations
2 Configurare AWS Identity and Access Management la federazione di Identity Center
3 Aggiungi un emittente di token attendibile nella console del Centro identità AWS Identity and Access Management

L'emittente di token attendibile rappresenta il gestore dell'identità digitale esterno nel Centro identità IAM, consentendo il riconoscimento dei token di identità per gli utenti autenticati dell'applicazione.
4 Creazione di un ruolo IAM per l'applicazione bootstrap e identity bearer
5 Creazione e configurazione dell'applicazione nel Centro identità IAM

Questa applicazione interagisce con il Centro identità IAM per conto degli utenti autenticati.
6 Aggiunta di S3 Access Grants come applicazione attendibile per la propagazione dell'identità

Questo passaggio collega l'applicazione a S3 Access Grants, in modo che possa effettuare richieste a S3 Access Grants per conto di utenti autenticati.
7 Creazione di una concessione a un utente o un gruppo

Questo passaggio sincronizza gli utenti di AWS Identity and Access Management Identity Center con il System for Cross-domain Identity Management (SCIM). SCIM mantiene le identità del Centro identità IAM sincronizzate con quelle del gestore dell'identità digitale.
8 Creazione del componente Storage Browser per S3

Abilitazione del Centro identità IAM per AWS Organizations

Per abilitare IAM Identity Center for your AWS Organizations, procedi nel seguente modo:

  1. Accedi a AWS Management Console, utilizzando uno di questi metodi:

    1. Nuovo utente AWS (utente root): accedi come proprietario dell'account scegliendo Utente root e inserendo il tuo indirizzo Account AWS email. Nella pagina successiva, inserisci la password.

    2. Già in uso AWS (credenziali IAM): accedi utilizzando le tue credenziali IAM con autorizzazioni amministrative.

  2. Apri la console Centro identità IAM.

  3. In Abilita il Centro identità IAM, scegli Abilita.

    Nota

    IAM Identity Center richiede la configurazione di. AWS Organizations Se non hai ancora configurato un'organizzazione, puoi scegliere di AWS crearne una per te. Scegli Crea AWS organizzazione per completare questo processo.

  4. Scegli Abilita con AWS Organizations.

  5. Scegli Continua.

  6. (Facoltativo) Aggiungi eventuali tag da associare a questa istanza dell'organizzazione.

  7. (Facoltativo) Configura l'amministrazione delegata.

    Nota

    Se si utilizza un ambiente con più account, si consiglia di configurare l'amministrazione delegata. Con l'amministrazione delegata, è possibile limitare il numero di persone che richiedono l'accesso all'account di gestione in AWS Organizations. Per ulteriori informazioni, consulta Amministrazione delegata.

  8. Scegli Save (Salva).

AWS Organizations invia automaticamente un'email di verifica all'indirizzo associato al tuo account di gestione. Potrebbe verificarsi un ritardo prima di ricevere l'e-mail di verifica. Assicurati di verificare l'indirizzo e-mail entro 24 ore, prima che l'e-mail di verifica scada.

Configurare AWS Identity and Access Management la federazione di Identity Center

Per utilizzare Storage Browser per S3 con gli utenti della directory aziendale, è necessario configurare il Centro identità IAM per utilizzare un gestore dell'identità digitale esterno. È possibile utilizzare il gestore dell'identità digitale preferito di propria scelta. Tuttavia, occorre tenere presente che ogni gestore dell'identità digitale utilizza impostazioni di configurazione diverse. Per le esercitazioni sull'uso di diversi gestori dell'identità digitale esterni, consulta i tutorial sulle origini per il Centro identità IAM.

Nota

Assicurati di registrare l'URL dell'emittente e gli attributi dei destinatari del gestore dell'identità digitale configurato, perché sarà necessario farvi riferimento nelle fasi successive. Se non si dispone dell'accesso o delle autorizzazioni necessarie per configurare un gestore dell'identità digitale, potrebbe essere necessario contattare l'amministratore del gestore dell'identità digitale esterno per ottenerli.

Aggiungi un emittente di token attendibile nella console del Centro identità AWS Identity and Access Management

L'emittente di token attendibile rappresenta il gestore dell'identità digitale esterno nel Centro identità AWS Identity and Access Management , consentendo il riconoscimento dei token di identità per gli utenti autenticati dell'applicazione. Il proprietario dell'account dell'istanza IAM Identity Center dell'utente AWS Organizations deve eseguire questi passaggi. Questi passaggi possono essere eseguiti nella console Centro identità IAM o in modo programmatico.

Per aggiungere un emittente di token affidabile nella console di AWS Identity and Access Management Identity Center, procedi nel seguente modo:

  1. Apri la console Centro identità IAM.

  2. Seleziona Impostazioni.

  3. Scegli la scheda Autenticazione.

  4. Vai alla sezione Emittenti di token attendibili e compila i seguenti dati:

    1. In URL dell'emittente, inserisci l'URL del gestore dell'identità digitale esterno che funge da emittente di token attendibile. Potrebbe essere necessario contattare l'amministratore del gestore dell'identità digitale esterno per ottenere queste informazioni. Per ulteriori informazioni, vedere Utilizzo di applicazioni con un emittente di token attendibili.

    2. In Nome dell'emittente di token attendibili, inserisci un nome per l'emittente di token attendibili. Questo nome apparirà nell'elenco degli emittenti di token attendibili che è possibile selezionare nella Fase 8, quando una risorsa applicativa è configurata per la propagazione dell'identità.

  5. Aggiorna gli attributi di mappatura all'attributo dell'applicazione preferita, dove ogni attributo del gestore dell'identità digitale è mappato a un attributo del Centro identità IAM. Ad esempio, si potrebbe voler mappare l'attributo dell'applicazione email all'attributo dell'utente del Centro identità IAM email. Per visualizzare l'elenco degli attributi utente consentiti in IAM Identity Center, consulta la tabella nella cartella Mappature degli attributi per la directory AWS Managed Microsoft AD.

  6. (Facoltativo) Se desideri aggiungere un tag di risorsa, inserire la coppia chiave e valore. Per aggiungere più tag di risorse, scegli Aggiungi nuovo tag per generare una nuova voce e inserire le coppie di chiavi e valori.

  7. Scegli Crea emittente di token attendibili.

  8. Una volta terminata la creazione dell'emittente di token attendibili, contatta l'amministratore dell'applicazione per comunicargli il nome dell'emittente di token attendibili, in modo che possa confermare che l'emittente di token attendibili è visibile nella console applicabile.

  9. Assicurati che l'amministratore dell'applicazione selezioni questo emittente di token attendibili nella console applicabile per consentire l'accesso degli utenti all'applicazione dalle applicazioni configurate per la propagazione delle identità attendibili.

Creazione di un ruolo IAM per l'applicazione bootstrap e identity bearer

Per garantire che l'applicazione bootstrap e gli utenti identity bearer possano lavorare correttamente tra loro, assicurati di creare due ruoli IAM. Un ruolo IAM è necessario per l'applicazione bootstrap e l'altro ruolo IAM deve essere utilizzato per il portatore di identità, ovvero gli utenti finali che accedono all'applicazione web e che richiedono l'accesso tramite S3 Access Grants. L'applicazione bootstrap riceve il token rilasciato dal gestore dell'identità digitale e invoca l'API CreateTokenWithIAM, scambiando questo token con quello rilasciato dal Centro identità.

Crea un ruolo IAM, ad esempio bootstrap-role, con autorizzazioni come le seguenti. Il seguente esempio di policy IAM fornisce le autorizzazioni a bootstrap-role per eseguire lo scambio di token:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Action": [
            "sso-oauth:CreateTokenWithIAM",
        ],
        "Resource": "arn:${Partition}:sso::${AccountId}:application/${InstanceId}/${ApplicationId}",
        "Effect": "Allow"
    },
    {
        "Action": [
            "sts:AssumeRole",
            "sts:SetContext"
        ],
        "Resource": "arn:aws:iam::${AccountId}:role/identity-bearer-role",
        "Effect": "Allow"
    }]
}

Quindi, crea un secondo ruolo IAM (come identity-bearer-role), che il gestore di identità utilizza per generare le credenziali IAM. Le credenziali IAM restituite dal gestore di identità all'applicazione web vengono utilizzate dal componente Storage Browser per S3 per consentire l'accesso ai dati S3:

{
    "Action": [
        "s3:GetDataAccess",
        "s3:ListCallerAccessGrants",
    ],
    "Resource": "arn:${Partition}:s3:${Region}:${Account}:access-grants/default",
    "Effect": "Allow"
}

Questo ruolo IAM (identity-bearer-role) deve utilizzare una policy attendibile con la seguente istruzione:

{
   "Effect": "Allow",
   "Principal": {
      "AWS": "arn:${Partition}:iam::${Account}:role/${RoleNameWithPath}"
   },
   "Action": [
       "sts:AssumeRole",
       "sts:SetContext"
   ]
}

Creazione e configurazione dell'applicazione nel Centro identità IAM

Nota

Prima di iniziare, assicurati di aver creato i ruoli IAM richiesti nel passaggio precedente. In questo passaggio è necessario specificare uno di questi ruoli IAM.

Per creare e configurare un'applicazione gestita dal cliente in AWS IAM Identity Center, procedi nel seguente modo:

  1. Apri la console Centro identità IAM.

  2. Selezionare Applications (Applicazioni).

  3. Scegli la scheda Gestione clienti.

  4. Scegli Aggiungi applicazione.

  5. Nella pagina Seleziona tipo di applicazione, alla voce Preferenze di impostazione, scegli Applicazione da configurare presente.

  6. In Tipo di applicazione, scegli OAuth2.0.

  7. Scegli Next (Successivo). Viene visualizzata la pagina Specifica applicazione.

  8. Nella sezione Nome e descrizione dell'applicazione, inserisci un Nome di visualizzazione per l'applicazione, ad esempio storage-browser-oauth.

  9. Inserisci una Description (Descrizione). La descrizione dell'applicazione viene visualizzata nella console IAM Identity Center e nelle richieste API, ma non nel portale di AWS accesso.

  10. In Metodo di assegnazione degli utenti e dei gruppi, scegli Non richiedere assegnazioni. Questa opzione consente a tutti gli utenti e gruppi autorizzati del Centro identità IAM di accedere a questa applicazione.

  11. Nel Portale di accesso AWS , inserisci un URL dell'applicazione, dove gli utenti possono accedere all'applicazione.

  12. (Facoltativo) Se desideri aggiungere un tag di risorsa, inserire la coppia chiave e valore. Per aggiungere più tag di risorse, scegli Aggiungi nuovo tag per generare una nuova voce e inserire le coppie di chiavi e valori.

  13. Scegli Next (Successivo). Viene visualizzata la pagina Specifica autenticazione.

  14. In Autenticazione con emittente di token attendibili, utilizza la casella di controllo per selezionare l'emittente di token attendibili che hai creato in precedenza.

  15. In Configura emittenti di token attendibili selezionati, inserisci aud claim. claim aud identifica i destinatari del JSON Web Token (JWT) ed è il nome con cui l'emittente di token attendibile identifica questa applicazione.

    Nota

    Potrebbe essere necessario contattare l'amministratore del gestore dell'identità digitale esterno per ottenere queste informazioni.

  16. Scegli Next (Successivo). Viene visualizzata la pagina Specifica credenziali di autenticazione.

  17. In Metodo di configurazione, scegli Inserisci uno o più ruoli IAM.

  18. In Inserisci ruoli IAM, aggiungi il ruolo IAM o il nome della risorsa Amazon (ARN) per il token portatore di identità. È necessario inserire il ruolo IAM creato nel passaggio precedente per l'applicazione del gestore di identità (ad esempio, bootstrap-role).

  19. Scegli Next (Successivo).

  20. Nella pagina Revisione e configurazione, rivedi i dettagli della configurazione dell'applicazione. Se è necessario modificare una qualsiasi impostazione, scegli Modifica per la sezione che si desidera modificare e apporta le modifiche.

  21. Scegli Invia. Viene visualizzata la pagina dei dettagli dell'applicazione appena aggiunta.

Dopo aver configurato le applicazioni, gli utenti possono accedere alle applicazioni dall'interno del loro portale di AWS accesso in base ai set di autorizzazioni che hai creato e all'accesso utente che hai assegnato.

Aggiunta di S3 Access Grants come applicazione attendibile per la propagazione dell'identità

Dopo aver configurato l'applicazione gestita dal cliente, è necessario specificare S3 Access Grants per la propagazione delle identità. S3 Access Grant fornisce agli utenti le credenziali per accedere ai dati di Amazon S3. Quando si accede all'applicazione gestita dal cliente, S3 Access Grants trasmette l'identità dell'utente all'applicazione attendibile.

Prerequisito: assicurati di aver configurato S3 Access Grants (ad esempio creando un'istanza S3 Access Grants e registrando una posizione) prima di seguire questi passaggi. Per ulteriori informazioni, consulta Introduzione a S3 Access Grants.

Per aggiungere S3 Access Grants per la propagazione dell'identità all'applicazione gestita dal cliente, esegui le seguenti operazioni:

  1. Apri la console Centro identità IAM.

  2. Selezionare Applications (Applicazioni).

  3. Scegli la scheda Gestione clienti.

  4. Nell'elenco delle applicazioni gestite dai clienti, selezionate l'applicazione OAuth 2.0 per la quale desiderate avviare le richieste di accesso. Questa è l'applicazione a cui gli utenti accederanno.

  5. Nella pagina Dettagli, in Applicazioni attendibili per la propagazione dell'identità, scegli Specifica applicazioni attendibili.

  6. In Tipo di impostazione, seleziona Applicazioni individuali e specifica l'accesso, quindi scegli Avanti.

  7. Nella pagina Seleziona servizio, scegli S3 Access Grants. S3 Access Grants dispone di applicazioni che possono essere utilizzate per definire la propria applicazione web per la propagazione di identità affidabili.

  8. Scegli Next (Successivo). La selezione delle applicazioni avverrà nella fase successiva.

  9. Nella pagina Seleziona applicazioni, scegli Applicazioni individuali, seleziona la casella di controllo per ogni applicazione che può ricevere richieste di accesso e scegli Avanti.

  10. Nella pagina Configura accesso, alla voce Metodo di configurazione, scegli una delle seguenti opzioni:

    • Seleziona accesso per applicazione - Seleziona questa opzione per configurare livelli di accesso diversi per ciascuna applicazione. Scegli l'applicazione per la quale desideri configurare il livello di accesso, quindi scegli Modifica accesso. In Livello di accesso da applicare, modifica i livelli di accesso secondo necessità, quindi scegli Salva modifiche.

    • Applica lo stesso livello di accesso a tutte le applicazioni - Seleziona questa opzione se non è necessario configurare i livelli di accesso per ogni applicazione.

  11. Scegli Next (Successivo).

  12. Nella pagina Rivedi configurazione, rivedi le scelte effettuate.

    Nota

    È necessario assicurarsi che le autorizzazioni s3:access_grants:read_write siano concesse agli utenti. Questa autorizzazione consente agli utenti di recuperare le credenziali di accesso ad Amazon S3. Assicurati di utilizzare la policy IAM creata in precedenza o S3 Access Grants per limitare l'accesso alle operazioni di scrittura.

  13. Per apportare modifiche, scegli Modifica per la sezione di configurazione da modificare. Quindi, apporta le modifiche richieste e scegli Salva modifiche.

  14. Scegli Applicazioni attendibili per aggiungere l'applicazione attendibile per la propagazione dell'identità.

Creazione di una concessione a un utente o un gruppo

In questa fase, si utilizza il Centro identità IAM per effettuare il provisioning degli utenti. È possibile utilizzare SCIM per il provisioning automatico o manuale di utenti e gruppi. SCIM mantiene le identità del Centro identità IAM sincronizzate con quelle del gestore dell'identità digitale. Ciò include il provisioning, gli aggiornamenti e il deprovisioning degli utenti tra il gestore dell'identità digitale e il Centro identità IAM.

Nota

Questo passaggio è necessario perché, quando S3 Access Grants viene utilizzato con il Centro identità IAM, gli utenti locali del Centro identità IAM non vengono utilizzati. Gli utenti devono invece essere sincronizzati dal gestore dell'identità digitale con il Centro identità IAM.

Per sincronizzare gli utenti del gestore dell'identità digitale con il Centro identità IAM, esegui le seguenti operazioni:

  1. Attiva il provisioning automatico.

  2. Genera un token di accesso.

Per esempi su come impostare il gestore dell'identità digitale con il Centro identità IAM per il caso d'uso specifico, consulta i tutorial sulle origini per il Centro identità IAM.

Creazione del componente Storage Browser per S3

Dopo aver configurato l'istanza Centro identità IAM e creato concessioni in S3 Access Grants, apri l'applicazione React. Nell'applicazione React, utilizza createManagedAuthAdapter per impostare le regole di autorizzazione. È necessario specificare un fornitore di credenziali per restituire le credenziali acquisite dal Centro identità IAM. È quindi possibile chiamare createStorageBrowser per inizializzare il componente Storage Browser per S3:

import {
    createManagedAuthAdapter,
    createStorageBrowser,
} from '@aws-amplify/ui-react-storage/browser';
import '@aws-amplify/ui-react-storage/styles.css';

export const { StorageBrowser } = createStorageBrowser({
   config: createManagedAuthAdapter({
    credentialsProvider: async (options?: { forceRefresh?: boolean }) => {
      // return your credentials object
      return {
        credentials: {
          accessKeyId: 'my-access-key-id',
          secretAccessKey: 'my-secret-access-key',
          sessionToken: 'my-session-token',
          expiration: new Date(),
        },
      }
    },
    // AWS `region` and `accountId` of the S3 Access Grants Instance.
    region: '',
    accountId: '',
    // call `onAuthStateChange` when end user auth state changes 
    // to clear sensitive data from the `StorageBrowser` state
    registerAuthListener: (onAuthStateChange) => {},
  })
});

Quindi, crea un meccanismo per lo scambio dei token web JSON (JWTs) dalla tua applicazione web con le credenziali IAM di IAM Identity Center. Per ulteriori informazioni su come scambiare JWT, consulta le seguenti risorse:

Quindi, imposta un endpoint API per gestire le richieste di recupero delle credenziali. Per convalidare lo scambio di JSON Web Token (JWT), esegui le seguenti operazioni:

  1. Recupera il JSON Web Token dall'intestazione di autorizzazione per le richieste in entrata.

  2. Convalida il token utilizzando le chiavi pubbliche dall'URL JWKS (JSON Web Key Set) specificato.

  3. Verifica la scadenza, l'emittente, l'oggetto e le istruzioni dei destinatari pubblico del token.

Per scambiare il token web JSON del provider di identità con le credenziali AWS IAM, procedi nel seguente modo:

Suggerimento

Assicurati di evitare di registrare qualsiasi informazione sensibile. Si consiglia di utilizzare controlli di gestione degli errori per le autorizzazioni mancanti, i token scaduti e altre eccezioni. Per ulteriori informazioni, consulta il post Implementazione dei modelli AWS Lambda di gestione degli errori in AWS Compute Blog.

  1. Verifica che i parametri Autorizzazione e Ambito siano forniti nella richiesta.

  2. Utilizza l'API CreateTokenWithIAM per scambiare il JSON Web Token con un token del Centro identità IAM.

    Nota

    Il JSON Web Token del gestore dell'identità digitale non può essere utilizzato più volte. È necessario utilizzare un nuovo token per lo scambio con il Centro identità IAM.

  3. Utilizza l'operazione AssumeRoleAPI per assumere un ruolo temporaneo utilizzando il token IAM Identity Center. Assicurati di utilizzare il ruolo di portatore di identità, noto anche come ruolo che trasporta il contesto di identità (ad esempio, identity-bearer-role) per richiedere le credenziali.

  4. Restituisci le credenziali IAM all'applicazione web.

    Nota

    Assicurati di aver impostato un meccanismo di registrazione adeguato. Le risposte vengono restituite in un formato JSON standardizzato con un codice di stato HTTP appropriato.