Ressources supplémentaires pour la fédération OIDC

Fédération OIDC

Imaginez que vous créez une application qui accède à des ressources AWS, telles que GitHub Actions, et qui utilise des flux de travail pour accéder à Amazon S3 et DynamoDB.

Lorsque vous utilisez des flux de travail, vous effectuez des requêtes aux services AWS qui doivent être signées à l’aide d’une clé d’accès AWS. Cependant, nous vous recommandons vivement de ne pas stocker les informations d’identification à long terme AWS dans des applications extérieures à AWS. Configurez plutôt vos applications de manière à ce qu’elles demandent dynamiquement des informations d’identification de sécurité AWS temporaires, si nécessaire, à l’aide de la fédération OIDC. Les informations d’identification temporaires sont mappées à un rôle AWS qui dispose uniquement des autorisations nécessaires pour exécuter les tâches requises par l’application.

Lors de l’utilisation de la fédération OIDC, il n’est pas nécessaire de créer de code de connexion personnalisé ni de gérer vos propres identités utilisateur. Au lieu de cela, vous pouvez utiliser OIDC dans des applications, telles que GitHub Actions ou tout autre IdP compatible avec OpenID Connect (OIDC), pour vous authentifier auprès d’AWS. Ils reçoivent un jeton d’authentification, appelé jeton Web JSON (JWT), puis échangent ce jeton contre des informations d’identification de sécurité temporaires dans AWS qui sont mappées à un rôle IAM disposant d’autorisations permettant d’utiliser des ressources spécifiques de votre Compte AWS. L’utilisation d’un IdP vous permet de mieux sécuriser votre Compte AWS, car vous n’avez pas à intégrer ni distribuer d’informations d’identification de sécurité à long terme dans votre application.

Pour la plupart des scénarios, il est recommandé d'utiliser Amazon Cognito, car cette application agit en tant que broker d'identité et effectue automatiquement la plupart des tâches liées à la fédération. Pour plus d'informations, consultez la section Amazon Cognito pour les applications mobiles.

Note

Les jetons Web JSON (JWT) émis par les fournisseurs d’identité OpenID Connect (OIDC) contiennent un délai d’expiration dans la demande exp qui indique la date d’expiration du jeton. IAM fournit une fenêtre de cinq minutes au-delà du délai d’expiration spécifié dans le JWT pour tenir compte du décalage d’horloge, comme le permet la norme OpenID Connect (OIDC) Core 1.0. Cela signifie que les JWT OIDC reçus par IAM après le délai d’expiration mais dans cette fenêtre de cinq minutes sont acceptés pour une évaluation et un traitement ultérieurs.

Rubriques

Ressources supplémentaires pour la fédération OIDC

Les ressources suivantes peuvent vous aider à en savoir plus sur la fédération OIDC :

Utilisez OpenID Connect dans vos flux de travail GitHub en configurant OpenID Connect dans Amazon Web Services
Amazon Cognito Identity dans le Guide Amplify Libraries for Android et Amazon Cognito Identity dans le Guide Amplify Libraries for Swift.
L’article Automating OpenID Connect-Based AWS IAM Web Identity Roles with Microsoft Entra ID sur le blog du Réseau de partenaires AWS (APN) explique comment authentifier des processus automatisés en arrière-plan ou des applications exécutées en dehors d’AWS à l’aide de l’autorisation OIDC de machine à machine.
L’article Fédération d’identité Web avec des applications mobiles contient des informations sur la fédération OIDC, ainsi qu’un exemple d’utilisation pour l’accès au contenu d’un compartiment Amazon S3.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Scénarios courants

Création d’un fournisseur d’identité OIDC