Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Dengan asumsi peran dengan identitas web atau OpenID Connect AWS SDKs untuk mengautentikasi dan alat

Dengan asumsi peran melibatkan penggunaan seperangkat kredensil keamanan sementara untuk mengakses AWS sumber daya yang mungkin tidak dapat Anda akses sebaliknya. Kredensial sementara ini terdiri dari access key ID, secret access key, dan token keamanan. Untuk mempelajari lebih lanjut tentang AWS Security Token Service (AWS STS) permintaan API, lihat Tindakan di Referensi AWS Security Token Service API.

Untuk menyiapkan SDK atau alat untuk mengambil peran, Anda harus terlebih dahulu membuat atau mengidentifikasi peran tertentu yang akan diambil. Peran IAM diidentifikasi secara unik oleh peran Amazon Resource Name (ARN). Peran membangun hubungan kepercayaan dengan entitas lain. Entitas tepercaya yang menggunakan peran tersebut mungkin penyedia identitas web atau OpenID Connect (OIDC), atau federasi SAMP. Untuk mempelajari selengkapnya tentang peran IAM, lihat Metode untuk mengambil peran dalam Panduan Pengguna IAM.

Setelah peran IAM dikonfigurasi di SDK Anda, jika peran tersebut dikonfigurasi untuk mempercayai penyedia identitas Anda, Anda dapat mengonfigurasi SDK lebih lanjut untuk mengambil peran tersebut agar mendapatkan kredensi sementara. AWS

Bersekutu dengan identitas web atau OpenID Connect

Anda dapat menggunakan JSON Web Tokens (JWTs) dari penyedia identitas publik, seperti Login With Amazon, Facebook, Google untuk mendapatkan AWS kredensi sementara menggunakan. AssumeRoleWithWebIdentity Tergantung pada bagaimana mereka digunakan, ini JWTs dapat disebut token ID atau token akses. Anda juga dapat menggunakan yang JWTs diterbitkan dari penyedia identitas (IdPs) yang kompatibel dengan protokol penemuan OIDC, seperti EntraId atau. PingFederate

Jika Anda menggunakan Amazon Elastic Kubernetes Service, fitur ini menyediakan kemampuan untuk menentukan peran IAM yang berbeda untuk setiap akun layanan Anda di klaster Amazon EKS. Fitur Kubernetes ini mendistribusikan JWTs ke pod Anda yang kemudian digunakan oleh penyedia kredensi ini untuk mendapatkan kredensi sementara. AWS Untuk informasi selengkapnya tentang konfigurasi Amazon EKS ini, lihat peran IAM untuk akun layanan di Panduan Pengguna Amazon EKS. Namun, untuk opsi yang lebih sederhana, kami sarankan Anda menggunakan Amazon EKS Pod Identities jika SDK Anda mendukungnya.

Langkah 1: Siapkan penyedia identitas dan peran IAM

Untuk mengonfigurasi federasi dengan iDP eksternal, gunakan penyedia identitas IAM untuk menginformasikan AWS tentang iDP eksternal dan konfigurasinya. Ini membangun kepercayaan antara IDP Anda Akun AWS dan eksternal. Sebelum mengonfigurasi SDK untuk menggunakan JSON Web Token (JWT) untuk otentikasi, Anda harus terlebih dahulu mengatur penyedia identitas (iDP) dan peran IAM yang digunakan untuk mengaksesnya. Untuk mengaturnya, lihat Membuat peran untuk identitas web atau Federasi OpenID Connect (konsol) di Panduan Pengguna IAM.

Langkah 2: Konfigurasikan SDK atau alat

Konfigurasikan SDK atau alat untuk menggunakan JSON Web Token (JWT) untuk otentikasi. AWS STS

Saat Anda menentukan ini di profil, SDK atau alat secara otomatis membuat panggilan AWS STS AssumeRoleWithWebIdentityAPI yang sesuai untuk Anda. Untuk mengambil dan menggunakan kredensil sementara menggunakan federasi identitas web, tentukan nilai konfigurasi berikut dalam file bersama. AWS config Untuk detail selengkapnya tentang masing-masing pengaturan ini, lihat Asumsikan pengaturan penyedia kredensi peran bagian.

Berikut ini adalah contoh konfigurasi config file bersama untuk mengambil peran dengan identitas web:

[profile web-identity]
role_arn=arn:aws:iam::123456789012:role/my-role-name
web_identity_token_file=/path/to/a/token

Untuk detail tentang semua pengaturan penyedia kredensi peran asumsi, lihat Asumsikan penyedia kredensi peran di panduan ini.