OIDC联邦

假設您正在建立可存取 AWS 資源的應用程式，例如使用工 GitHub作流程存取 Amazon S3 和 DynamoDB 的動作。

當您使用這些工作流程時，您會向必須使用 AWS 存取金鑰簽署的 AWS 服務提出要求。不過，我們強烈建議您不要在外部的應用程式中長期儲存 AWS 認證 AWS。請改為設定應用程式，在需要時使用OIDC聯合來動態要求臨時 AWS 安全登入資料。提供的臨時認證對應至僅具有執行應用程式所需工作所需權限的 AWS 角色。

透過同OIDC盟，您不需要建立自訂登入程式碼或管理自己的使用者身分識別。相反地，您可以OIDC在應用程式中使用，例如 GitHub 「動作」或任何其他與 OpenID Connect (OIDC) 相容的 IdP，以進行驗證。 AWS他們收到身份驗證令牌，稱為 JSON Web Token (JWT)，然後將該令牌交換為 AWS 該對應中的臨時安全憑據的IAM角色，以使其具有在 AWS 帳戶. 使用 IdP 可協助您保護安 AWS 帳戶全，因為您不需要在應用程式中內嵌和散佈長期安全登入資料。

在大多數情況下，建議您使用 Amazon Cognito，因為它可以充當身分經紀人，並為您執行許多聯合工作。如需詳細資訊，請參閱下列章節：Amazon Cognito 動應用程式。

注意

JSONOpenID Connect (JWTs) 身份提供程序發行的 Web 令牌（OIDC）在exp聲明中包含到期時間，該時間指定令牌何時到期。IAM根據 OpenID Connect (OIDC) 核心 1.0 標準所允許，提供超出用於考慮時鐘偏差中指定的到期時間的五分鐘時段。JWT這意味著在OIDCJWTs到期時間IAM之後，但在這五分鐘的時間內收到，以進行進一步的評估和處理。

主題

OIDC同盟的其他資源

下列資源可協助您進一步了解OIDC同盟：

通過在 Amazon Web Services 中配置 OpenID Connect 在您的 GitHub 工作流程中使用 OpenID
適用於 Android 的 Amplify 程式庫指南中的 Amazon Cognito 身分和適用於 Swift 的 Amplify 程式庫指南中的 Amazon Cognito 身分。
使用AWS 合作夥伴網路上的 Microsoft Entra ID 自動化 OpenID 連線型 AWS IAM Web 身分識別角色 (APN) 部落格將逐步介紹如何驗證在使用授權以外執行的自動化背景處理程序或應用程式。 AWS machine-to-machine OIDC
Web Identity 與行動應用程式OIDC聯合討論了同盟，並顯示如何使用OIDC聯合來存取 Amazon S3 中內容的範例。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

常用案例

建立OIDC身分提供者