Risorse aggiuntive per la federazione OIDC

Federazione OIDC

Immagina di creare un'applicazione che accede a AWS risorse, come GitHub Actions che utilizza flussi di lavoro per accedere ad Amazon S3 e DynamoDB.

Quando utilizzi questi flussi di lavoro, effettui richieste ai AWS servizi che devono essere firmate con una chiave di accesso. AWS Tuttavia, consigliamo vivamente di non archiviare AWS le credenziali a lungo termine in applicazioni esterne. AWSConfigura invece le tue applicazioni per richiedere le credenziali di AWS sicurezza temporanee in modo dinamico quando necessario utilizzando la federazione OIDC. Le credenziali temporanee fornite sono mappate a un AWS ruolo che dispone solo delle autorizzazioni necessarie per eseguire le attività richieste dall'applicazione.

Con la federazione OIDC, non è necessario creare il codice di accesso personalizzato o gestire le proprie identità utente personalizzate. Puoi invece utilizzare OIDC in applicazioni, come GitHub Actions o qualsiasi altro IdP compatibile con OpenID Connect (OIDC), con cui effettuare l'autenticazione. AWS Ricevono un token di autenticazione, noto come JSON Web Token (JWT), e quindi lo scambiano con credenziali di sicurezza temporanee in AWS quella mappa con un ruolo IAM con le autorizzazioni per utilizzare risorse specifiche dell'utente. Account AWS L'utilizzo di un IdP ti aiuta a mantenere la tua Account AWS sicurezza perché non devi incorporare e distribuire credenziali di sicurezza a lungo termine con l'applicazione.

La federazione OIDC supporta sia machine-to-machine l'autenticazione (ad esempio CI/CD pipeline, script automatici e applicazioni serverless) sia l'autenticazione degli utenti umani. Per gli scenari di autenticazione degli utenti umani in cui è necessario gestire la registrazione, l'accesso e i profili utente degli utenti, prendi in considerazione l'utilizzo di Amazon Cognito come broker di identità. Per informazioni dettagliate sull'utilizzo di Amazon Cognito con OIDC, consulta. Amazon Cognito per applicazioni per dispositivi mobili

Nota

I JSON Web Tokens (JWTs) emessi dai provider di identità OpenID Connect (OIDC) contengono una data di scadenza nell'expattestazione che specifica quando scade il token. IAM offre una finestra di cinque minuti oltre la data di scadenza specificata nel JWT per tenere conto dell'alterazione del clock, come consentito dallo standard OpenID Connect (OIDC) Core 1.0. Ciò significa che gli OIDC JWTs ricevuti da IAM dopo la scadenza, ma entro questo intervallo di cinque minuti vengono accettati per un'ulteriore valutazione ed elaborazione.

Argomenti

Risorse aggiuntive per la federazione OIDC

Le risorse seguenti possono fornire ulteriori informazioni sulla federazione OIDC:

Usa OpenID Connect nei tuoi GitHub flussi di lavoro configurando OpenID Connect in Amazon Web Services
Amazon Cognito Identity nella Guida alle librerie Amplify per Android e Guida all'identità di Amazon Cognito nella Guida alle librerie Amplify per Swift.
Come usare un ID esterno per concedere l'accesso alle tue AWS risorse sul AWS Security Blog fornisce indicazioni su come configurare in modo sicuro l'accesso tra account e la federazione delle identità esterne.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Scenari comuni

Creare un provider di identità OIDC