共用 OIDC 提供者的身分提供者控制

對於已辨識的共用 OpenID Connect (OIDC) 身分提供者 (IdPs)，IAM 需要明確評估角色信任政策中的特定宣告。這些必要宣告稱為身分提供者控制，會在角色建立和信任政策更新期間由 IAM 評估。如果角色信任政策未評估共用 OIDC IdP 所需的控制項，則角色建立或更新將會失敗。這可確保只有來自預期組織的授權身分可以擔任角色和存取 AWS 資源。當多個 AWS 客戶共用 OIDC 供應商時，此安全控制至關重要。

IAM 不會評估現有 OIDC 角色信任政策的身分提供者控制項。對於現有 OIDC 角色的角色信任政策的任何修改，IAM 將要求角色信任政策中包含身分提供者控制項。

OIDC 提供者類型

IAM 將 OIDC 身分提供者分類為兩種不同的類型：私有和共用。私有 OIDC IdP 可由單一組織擁有和管理，也可以是 SaaS 供應商的租戶，其 OIDC 發行者 URL 可作為該組織特有的唯一識別符。相反地，共用 OIDC IdP 用於多個組織，其中使用該共用身分提供者的所有組織，OIDC 發行者 URL 可能相同。

下表概述私有和共用 OIDC 供應商之間的主要差異：

特性	私有 OIDC 供應商	共用 OIDC 供應商
發行者	組織獨有	跨多個組織共用
租用資訊	透過唯一的發行者進行通訊	透過 JWT 中的宣告進行通訊
信任政策要求	不需要特定的宣告評估	評估所需的特定宣告

具有身分提供者控制的共用 OIDC 身分提供者

當您在 IAM 中建立或修改 OIDC 供應商時，系統會自動識別和評估已辨識的共用 OIDC 供應商所需的宣告。如果未在角色信任政策中設定身分提供者控制項，則角色建立或更新會失敗，並顯示 MalformedPolicyDocument 錯誤。

下表列出需要角色信任政策中身分提供者控制的共用 OIDC 供應商，以及可協助您設定身分提供者控制項的其他資訊。

OIDC IdP	OIDC URL	租用宣告	必要的宣告
Amazon Cognito	`cognito-identity.amazonaws.com`	aud	`cognito-identity.amazonaws.com:aud`
Azure Sentinel	`https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d`	`sts:RoleSessionName`	`sts:RoleSessionName`
Buildkite	`https://agent.buildkite.com`	sub	`agent.buildkite.com:sub`
Codefresh SaaS	`https://oidc.codefresh.io`	sub	`oidc.codefresh.io:sub`
DVC Studio	`https://studio.datachain.ai/api`	sub	`studio.datachain.ai/api:sub`
GitHub 動作	`https://token.actions.githubusercontent.com`	sub	`token.actions.githubusercontent.com:sub`
GitHub 稽核日誌串流	`https://oidc-configuration.audit-log.githubusercontent.com`	sub	`oidc-configuration.audit-log.githubusercontent.com:sub`
GitHub vstoken	`https://vstoken.actions.githubusercontent.com`	sub	`vstoken.actions.githubusercontent.com:sub`
GitLab	`https://gitlab.com`	sub	`gitlab.com:sub`
IBM Turbonomic SaaS*	`https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7` `https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr` `https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg` `https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26` `https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb` `https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu`	sub	`rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub` `rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub` `rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub` `rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub` `oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub` `oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub`
Pulumi 雲端	`https://api.pulumi.com/oidc`	aud	`api.pulumi.com/oidc:aud`
沙盒雲端	`https://sandboxes.cloud`	aud	`sandboxes.cloud:aud`
Scalr	`https://scalr.io`	sub	`scalr.io:sub`
Shisho 雲端	`https://tokens.cloud.shisho.dev`	sub	`tokens.cloud.shisho.dev:sub`
Terraform 雲端	`https://app.terraform.io`	sub	`app.terraform.io:sub`
上行	`https://proidc.upbound.io`	sub	`proidc.upbound.io:sub`
Vercel 全域端點	`https://oidc.vercel.com`	aud	`oidc.vercel.com:aud`

* IBM Turbonomic 會使用新版本的平台定期更新其 OIDC 發行者 URL。我們會視需要將範圍內的其他 Turbonomic OIDC 發行者新增為共用提供者。

對於 IAM 識別為共用的任何新 OIDC IdPs，角色信任政策所需的身分提供者控制項將以類似方式記錄和強制執行。

其他資源

其他資源：

如需為 OIDC 聯合建立 IAM 角色的詳細資訊，請參閱為 OpenID Connect 聯合身分建立角色 (主控台)。
如需可用於宣告的 IAM 條件索引鍵清單，請參閱AWS OIDC 聯合的可用金鑰。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

取得 OIDC 提供者的指紋

SAML 2.0 聯合身分