Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Immagina di creare un'applicazione con accesso alle risorse AWS, ad esempio GitHub Actions che utilizza i flussi di lavoro per accedere ad Amazon S3 e DynamoDB.
Quando utilizzi questi flussi di lavoro, effettui richieste ai servizi AWS che devono essere firmate con una chiave di accesso AWS. Tuttavia, ti consigliamo vivamente di non archiviare le credenziali AWS a lungo termine in applicazioni esterne a AWS. Invece, configura le applicazioni in modo da richiedere credenziali di sicurezza AWS temporanee in modo dinamico, quando necessario, utilizzando la federazione OIDC. Le credenziali temporanee fornite vengono mappate a un ruolo AWS che dispone solo delle autorizzazioni necessarie per eseguire le attività richieste dall'applicazione.
Con la federazione OIDC, non è necessario creare il codice di accesso personalizzato o gestire le proprie identità utente personalizzate. Puoi invece utilizzare OIDC in applicazioni, come GitHub Actions o qualsiasi altro IdP compatibile con OpenID Connect (OIDC)
Per la maggior parte degli scenari, consigliamo di utilizzare Amazon Cognito
Nota
I JSON Web Tokens (JWT) emessi dai provider di identità OpenID Connect (OIDC) contengono una data di scadenza nell'attestazione exp
che specifica quando scade il token. IAM offre una finestra di cinque minuti oltre la data di scadenza specificata nel JWT per tenere conto dell'alterazione del clock, come consentito dallo standard OpenID Connect (OIDC) Core 1.0
Argomenti
Risorse aggiuntive per la federazione OIDC
Le risorse seguenti possono fornire ulteriori informazioni sulla federazione OIDC:
-
Usa OpenID Connect nei tuoi flussi di lavoro GitHub configurando OpenID Connect in Amazon Web Services
-
Amazon Cognito Identity
nella Guida alle librerie Amplify per Android e Guida all'identità di Amazon Cognito nella Guida alle librerie Amplify per Swift. -
Automating OpenID Connect-Based AWS IAM Web Identity Roles with Microsoft Entra ID
sul blog AWS Partner Network (APN) spiega come autenticare processi o applicazioni automatizzati in background eseguiti al di fuori di AWS tramite l'autorizzazione OIDC da macchina a macchina. -
Nell'articolo Federazione delle identità Web con le applicazioni per dispositivi mobili
viene descritta la federazione OIDC e viene mostrato un esempio su come utilizzare tale federazione per accedere ai contenuti in Amazon S3.