Federazione delle AWS identità a servizi esterni - AWS Identity and Access Management
Casi di utilizzo comuneCome funziona

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Federazione delle AWS identità a servizi esterni

La federazione delle identità in uscita IAM consente ai AWS carichi di lavoro di accedere in modo sicuro ai servizi esterni senza archiviare credenziali a lungo termine. I tuoi AWS carichi di lavoro possono richiedere JSON Web Tokens (JWTs) di breve durata da AWS Security Token Service () chiamando l'API.AWS STSGetWebIdentityToken Questi token sono firmati crittograficamente, verificabili pubblicamente e contengono una serie completa di attestazioni che confermano l'identità del carico di lavoro ai servizi esterni. AWS Puoi utilizzare questi token con un'ampia gamma di provider cloud di terze parti, piattaforme SaaS e applicazioni ospitate autonomamente. I servizi esterni verificano l'autenticità del token utilizzando le chiavi AWS di verifica pubblicate su endpoint noti e utilizzano le informazioni contenute nei token per prendere decisioni di autenticazione e autorizzazione.

La federazione delle identità in uscita elimina la necessità di archiviare credenziali a lungo termine come chiavi API o password nel codice dell'applicazione o nelle variabili di ambiente, migliorando il livello di sicurezza. Puoi controllare l'accesso alla generazione di token e applicare le proprietà dei token come gli algoritmi di firma, i destinatari consentiti e la durata utilizzando le policy IAM. Tutte le richieste di token vengono registrate AWS , fornendo percorsi di controllo completi per il monitoraggio della sicurezza e la segnalazione della conformità. Puoi anche personalizzare i token con tag che appaiono come attestazioni personalizzate, consentendo ai servizi esterni di implementare un controllo degli accessi granulare e basato sugli attributi.

Casi di utilizzo comune

Utilizzando la federazione delle identità in uscita, i carichi di lavoro possono: AWS

  • Accedi a risorse e servizi in provider cloud esterni. Ad esempio, una funzione Lambda che elabora i dati può scrivere risultati sul servizio di archiviazione di un provider cloud esterno o interrogare il relativo database.

  • Integrazione con provider esterni software-as-a-service (SaaS) per analisi, elaborazione dati, monitoraggio ecc. Ad esempio, le funzioni Lambda possono inviare metriche a piattaforme di osservabilità.

  • Effettua l'autenticazione con le tue applicazioni ospitate su provider cloud esterni o data center locali AWS, abilitando architetture ibride e multi-cloud sicure. Ad esempio, i AWS carichi di lavoro possono interagire con le applicazioni containerizzate in esecuzione nel cluster Kubernetes locale.

Come funziona

  1. La funzione Lambda chiama l'GetWebIdentityTokenAPI per richiedere un token Web JSON (JWT) da AWS Security Token Service ().AWS STS

  2. AWS STS convalida la richiesta e restituisce un JWT firmato alla funzione Lambda.

  3. La funzione Lambda invia il JWT al servizio esterno.

  4. Il servizio esterno estrae l'URL dell'emittente dal token, verifica che corrisponda a un emittente affidabile noto e recupera le chiavi di verifica e i metadati AWS dell'endpoint di rilevamento OIDC.

  5. Il servizio esterno utilizza le chiavi di verifica per verificare la firma del token e convalida affermazioni quali ora di scadenza, oggetto e pubblico.

  6. Dopo una convalida riuscita, il servizio esterno concede l'accesso alla funzione Lambda.