Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Federazione OIDC

Modalità Focus
Federazione OIDC - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Immagina di creare un'applicazione con accesso alle risorse AWS, ad esempio GitHub Actions che utilizza i flussi di lavoro per accedere ad Amazon S3 e DynamoDB.

Quando utilizzi questi flussi di lavoro, effettui richieste ai servizi AWS che devono essere firmate con una chiave di accesso AWS. Tuttavia, ti consigliamo vivamente di non archiviare le credenziali AWS a lungo termine in applicazioni esterne a AWS. Invece, configura le applicazioni in modo da richiedere credenziali di sicurezza AWS temporanee in modo dinamico, quando necessario, utilizzando la federazione OIDC. Le credenziali temporanee fornite vengono mappate a un ruolo AWS che dispone solo delle autorizzazioni necessarie per eseguire le attività richieste dall'applicazione.

Con la federazione OIDC, non è necessario creare il codice di accesso personalizzato o gestire le proprie identità utente personalizzate. Puoi invece utilizzare OIDC in applicazioni, come GitHub Actions o qualsiasi altro IdP compatibile con OpenID Connect (OIDC) per autenticarsi con AWS. Ricevono un token di autenticazione, noto come JSON Web Token (JWT) e scambiano quindi tale token per le credenziali di sicurezza temporanee in AWS che si mappano a un ruolo IAM con autorizzazioni per utilizzare le risorse nel tuo Account AWS. L'utilizzo di un provider delle identità aiuta a mantenere sicuro l'Account AWS perché non serve incorporare e distribuire le credenziali di sicurezza a lungo termine con l'applicazione.

Per la maggior parte degli scenari, consigliamo di utilizzare Amazon Cognito in quanto agisce come gestore identità e svolge la maggior parte delle attività di federazione per tuo conto. Per informazioni dettagliate, consultare la sezione seguente, Amazon Cognito per applicazioni per dispositivi mobili.

Nota

I JSON Web Tokens (JWT) emessi dai provider di identità OpenID Connect (OIDC) contengono una data di scadenza nell'attestazione exp che specifica quando scade il token. IAM offre una finestra di cinque minuti oltre la data di scadenza specificata nel JWT per tenere conto dell'alterazione del clock, come consentito dallo standard OpenID Connect (OIDC) Core 1.0. Ciò significa che i JWT OIDC ricevuti da IAM dopo la scadenza, ma entro questo intervallo di cinque minuti, vengono accettati per un'ulteriore valutazione ed elaborazione.

Risorse aggiuntive per la federazione OIDC

Le risorse seguenti possono fornire ulteriori informazioni sulla federazione OIDC:

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.