Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS
Assumere un ruolo con web identity o OpenID Connect per l'autenticazione e AWS SDKs gli strumenti - AWS SDKs e strumenti
Federazione con identità web o OpenID Connect

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Assumere un ruolo con web identity o OpenID Connect per l'autenticazione e AWS SDKs gli strumenti

PDFRSS

Assumere un ruolo implica l'utilizzo di un set di credenziali di sicurezza temporanee per accedere a AWS risorse a cui altrimenti non avreste accesso. Le credenziali temporanee sono costituite da un ID chiave di accesso, una chiave di accesso segreta e un token di sicurezza. Per ulteriori informazioni sulle richieste API AWS Security Token Service (AWS STS), consulta Azioni nell'AWS Security Token Service API Reference.

Per configurare l'SDK o lo strumento in modo che assuma un ruolo, devi prima creare o identificare un ruolo specifico da assumere. I ruoli IAM sono identificati in modo univoco da un ruolo Amazon Resource Name (ARN). I ruoli stabiliscono relazioni di fiducia con un'altra entità. L'entità affidabile che utilizza il ruolo potrebbe essere un provider di identità Web o una federazione OpenID Connect (OIDC) o SAML. Per ulteriori informazioni sui ruoli IAM, consulta Metodi per assumere un ruolo nella Guida per l'utente IAM.

Dopo aver configurato il ruolo IAM nel tuo SDK, se tale ruolo è configurato in modo da considerare attendibile il tuo provider di identità, puoi configurare ulteriormente il tuo SDK per assumere quel ruolo e ottenere credenziali temporanee AWS .

Nota

È consigliabile utilizzare gli endpoint regionali ogni volta che è possibile e configurare i propri. AWS Regione AWS

Federazione con identità web o OpenID Connect

Puoi utilizzare i JSON Web Tokens (JWTs) di provider di identità pubblici, come Login With Amazon, Facebook, Google per ottenere AWS credenziali temporanee utilizzando. AssumeRoleWithWebIdentity A seconda di come vengono utilizzati, JWTs possono essere chiamati token ID o token di accesso. È inoltre possibile utilizzare dati JWTs emessi da provider di identità (IdPs) compatibili con il protocollo di rilevamento di OIDC, come o. EntraId PingFederate

Se utilizzi Amazon Elastic Kubernetes Service, questa funzionalità offre la possibilità di specificare diversi ruoli IAM per ciascuno dei tuoi account di servizio in un cluster Amazon EKS. Questa funzionalità di Kubernetes viene distribuita JWTs ai tuoi pod, che vengono poi utilizzati da questo provider di credenziali per ottenere credenziali temporanee. AWS Per ulteriori informazioni su questa configurazione di Amazon EKS, consulta i ruoli IAM per gli account di servizio nella Amazon EKS User Guide. Tuttavia, per un'opzione più semplice, ti consigliamo di utilizzare invece Amazon EKS Pod Identities se il tuo SDK lo supporta.

Fase 1: configurare un provider di identità e un ruolo IAM

Per configurare la federazione con un IdP esterno, utilizza un provider di identità IAM per fornire AWS informazioni sull'IdP esterno e sulla sua configurazione. In questo modo si instaura un rapporto di fiducia tra il tuo Account AWS e l'IdP esterno. Prima di configurare l'SDK per utilizzare il JSON Web Token (JWT) per l'autenticazione, devi prima configurare l'identity provider (IdP) e il ruolo IAM utilizzato per accedervi. Per configurarli, consulta Creating a role for web identity o OpenID Connect Federation (console) nella IAM User Guide.

Passaggio 2: configura l'SDK o lo strumento

Configura l'SDK o lo strumento per utilizzare un JSON Web Token (JWT) per l'autenticazione. AWS STS

Quando lo specifichi in un profilo, l'SDK o lo strumento effettua automaticamente la chiamata AWS STS AssumeRoleWithWebIdentityAPI corrispondente. Per recuperare e utilizzare le credenziali temporanee utilizzando la federazione delle identità Web, specificate i seguenti valori di configurazione nel file condiviso. AWS config Per maggiori dettagli su ciascuna di queste impostazioni, consulta la Assumi le impostazioni del fornitore di credenziali di ruolo sezione.

  • role_arn- Dal ruolo IAM che hai creato nella fase 1

  • web_identity_token_file- Dall'IdP esterno

  • (Opzionale) duration_seconds

  • (Opzionale) role_session_name

Di seguito è riportato un esempio di configurazione di config file condivisa per assumere un ruolo con identità web:

[profile web-identity]
role_arn=arn:aws:iam::123456789012:role/my-role-name
web_identity_token_file=/path/to/a/token
Nota

Per le applicazioni mobili, prendi in considerazione l'utilizzo di Amazon Cognito. Amazon Cognito funge da broker di identità e svolge gran parte del lavoro federativo per te. Tuttavia, il provider di identità Amazon Cognito non è incluso nelle librerie di base di SDKs and tools come altri provider di identità. Per accedere all'API Amazon Cognito, includi il client del servizio Amazon Cognito nella build o nelle librerie del tuo SDK o strumento. Per l'utilizzo con AWS SDKs, consulta Esempi di codice nella Amazon Cognito Developer Guide.

Per i dettagli su tutte le impostazioni del provider di credenziali di assunzione del ruolo, Assumi il ruolo di fornitore di credenziali consulta questa guida.

Argomento successivo:

AWS chiavi di accesso

Argomento precedente:

Assunzione di un ruolo

Hai bisogno di aiuto?

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.