Recursos adicionales para federaciones de OIDC

Federación OIDC

Imagine que está creando una aplicación que accede a los recursos de AWS, como, por ejemplo, GitHub Actions, que utiliza flujos de trabajo para acceder a Amazon S3 y DynamoDB.

Cuando utiliza estos flujos de trabajo, realizará solicitudes a los servicios de AWS que deben estar firmadas con una clave de acceso de AWS. Sin embargo, te recomendamos encarecidamente que no guardes las AWS credenciales a largo plazo en aplicaciones externas AWS. En cambio, cree su aplicación de forma que solicite credenciales de seguridad de AWS cuando las necesite utilizando la federación de OIDC. Las credenciales temporales suministradas se asignan a un rol de AWS que solo tiene los permisos necesarios para realizar las tareas requeridas por la aplicación.

Con la federación de OIDC no necesita crear código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. En su lugar, puedes usar el OIDC en aplicaciones, como GitHub Actions o cualquier otro IdP compatible con OpenID Connect (OIDC), para autenticarte con AWS. Pueden recibir un token de autenticación, conocido como JSON Web Token (JWT) y luego intercambiarlo por credenciales de seguridad temporales en AWS que tienen asignado un rol de IAM con permisos para utilizar los recursos de la Cuenta de AWS. El uso de un IdP le permite tener una Cuenta de AWS más segura, ya que no tiene que integrar ni distribuir credenciales de seguridad a largo plazo con su aplicación.

Para la mayoría de las situaciones, le recomendamos que utilice Amazon Cognito ya que actúa como agente de identidades y realiza gran parte de la federación por usted. Para obtener más detalles, consulte la siguiente sección Amazon Cognito para aplicaciones móviles.

nota

Los JSON Web Tokens (JWT) emitidos por los proveedores de identidad de OpenID Connect (OIDC) tienen un tiempo de vencimiento especificado en el campo exp que indica cuándo expira el token. IAM proporciona un período de cinco minutos más allá del tiempo de caducidad especificado en el JWT para tener en cuenta la desviación del reloj, según lo permitido por el estándar OpenID Connect (OIDC) Core 1.0. Esto significa que los documentos JWT del OIDC recibidos por IAM después de la fecha de caducidad, pero dentro de este plazo de cinco minutos, se aceptan para su posterior evaluación y procesamiento.

Temas

Recursos adicionales para federaciones de OIDC

Los siguientes recursos pueden ayudarle a obtener más información sobre la federaciones de OIDC:

Usa OpenID Connect en tus flujos de trabajo de GitHub mediante la configuración de OpenID Connect en Amazon Web Services
Amazon Cognito Identity en la Guía de bibliotecas de Amplify para Android y Amazon Cognito Identity en la Guía de bibliotecas de Amplify para Swift.
Automatizar las funciones de identidad Web de IAM AWS basadas en OpenID Connect con Microsoft Entra ID en el blog AWS Partner Network (APN) explica cómo autenticar procesos automatizados en segundo plano o aplicaciones que se ejecutan fuera del uso de la autorización OIDC de máquina a máquina AWS.
En el artículo Web Identity Federation with Mobile Applications se explican las federaciones de OIDC y se muestra un ejemplo de cómo utilizarlas para obtener acceso al contenido de Amazon S3.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Escenarios habituales

Crear un proveedor de identidad OIDC