Sumber daya tambahan untuk OIDC federasi

OIDCfederasi

Bayangkan Anda membuat aplikasi yang mengakses AWS sumber daya, seperti GitHub Tindakan yang menggunakan alur kerja untuk mengakses Amazon S3 dan DynamoDB.

Saat Anda menggunakan alur kerja ini, Anda membuat permintaan ke AWS layanan yang harus ditandatangani dengan kunci AWS akses. Namun, kami sangat menyarankan agar Anda tidak menyimpan AWS kredensi jangka panjang dalam aplikasi di luar. AWSSebagai gantinya, konfigurasikan aplikasi Anda untuk meminta kredensi AWS keamanan sementara secara dinamis saat diperlukan menggunakan federasi. OIDC Kredensi sementara yang disediakan memetakan ke AWS peran yang hanya memiliki izin yang diperlukan untuk melakukan tugas yang diperlukan oleh aplikasi.

Dengan OIDC federasi, Anda tidak perlu membuat kode masuk khusus atau mengelola identitas pengguna Anda sendiri. Sebagai gantinya, Anda dapat menggunakan OIDC dalam aplikasi, seperti GitHub Actions atau IdP lain yang kompatibel dengan OpenID Connect (OIDC), untuk mengautentikasi dengan. AWS Mereka menerima token otentikasi, yang dikenal sebagai Token JSON Web (JWT), dan kemudian menukar token itu dengan kredensi keamanan sementara di peta AWS itu ke IAM peran dengan izin untuk menggunakan sumber daya tertentu di peta Anda. Akun AWS Menggunakan IDP membantu Anda menjaga Akun AWS keamanan karena Anda tidak perlu menanamkan dan mendistribusikan kredensi keamanan jangka panjang dengan aplikasi Anda.

Dalam sebagian besar skenario, kami menyarankan agar Anda menggunakan Amazon Cognito karena sebagai pialang identitas dan melakukan banyak pekerjaan federasi untuk Anda. Untuk detailnya, lihat bagian berikut, Amazon Cognito untuk aplikasi seluler.

catatan

JSONWeb Tokens (JWTs) yang dikeluarkan oleh penyedia identitas OpenID Connect (OIDC) berisi waktu kedaluwarsa dalam exp klaim yang menentukan kapan token kedaluwarsa. IAMmenyediakan jendela lima menit di luar waktu kedaluwarsa yang ditentukan dalam akun JWT to untuk kemiringan jam, seperti yang diizinkan oleh standar OpenID Connect () Core 1.0. OIDC Ini berarti OIDC JWTs diterima IAM setelah waktu kedaluwarsa tetapi dalam jendela lima menit ini diterima untuk evaluasi dan pemrosesan lebih lanjut.

Topik

Sumber daya tambahan untuk OIDC federasi

Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang OIDC federasi:

Menggunakan OpenID Connect dalam GitHub alur kerja Anda dengan Mengonfigurasi OpenID Connect di Amazon Web Services
Identitas Amazon Cognito di Amplify Libraries for Android Guide dan Amazon Cognito Identity di Amplify Libraries for Swift Guide.
Mengotomatisasi Peran Identitas AWS IAM Web Berbasis Koneksi OpenID dengan Microsoft Entra ID di AWS blog Jaringan Mitra APN () berjalan melalui cara mengautentikasi proses latar belakang otomatis atau aplikasi yang berjalan di luar penggunaan otorisasi. AWS machine-to-machine OIDC
Artikel Federasi Identitas Web dengan Aplikasi Seluler membahas OIDC federasi dan menunjukkan contoh bagaimana menggunakan OIDC federasi untuk mendapatkan akses ke konten di Amazon S3.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Skenario umum

Buat penyedia OIDC identitas