Arten von IAM-Rollensitzungen mit erweiterter Identität Identity-enhanced Protokollierung von IAM-Rollensitzungen

Identity-enhanced IAM-Rollensitzungen

Das AWS -Security-Token-Service(STS) ermöglicht es einer Anwendung, eine identitätserweiterte IAM-Rollensitzung abzurufen. Identity-enhanced Rollensitzungen verfügen über einen zusätzlichen Identitätskontext, der dem aufgerufenen eine Benutzer-ID beifügt. AWS-Service AWS-Services kann die Gruppenmitgliedschaften und Attribute des Benutzers in IAM Identity Center nachschlagen und sie verwenden, um den Zugriff des Benutzers auf Ressourcen zu autorisieren.

AWS Anwendungen rufen Rollensitzungen mit erweiterter Identität ab, indem sie Anfragen an die AWS STS AssumeRoleAPI-Aktion stellen und eine Kontext-Assertion mit der Benutzerkennung (userId) im Parameter der ProvidedContexts Anfrage an übergeben. AssumeRole Die Kontext-Assertion wird aus dem idToken Anspruch abgerufen, der als Antwort auf eine Anfrage an eingegangen ist. SSO OIDC CreateTokenWithIAM Wenn eine AWS Anwendung eine Rollensitzung mit erweiterter Identität für den Zugriff auf eine Ressource verwendet, werden die userId initiierende Sitzung und die ausgeführte Aktion CloudTrail protokolliert. Weitere Informationen finden Sie unter Identity-enhanced Protokollierung von IAM-Rollensitzungen.

Themen

Arten von IAM-Rollensitzungen mit erweiterter Identität
Identity-enhanced Protokollierung von IAM-Rollensitzungen

Arten von IAM-Rollensitzungen mit erweiterter Identität

AWS STS kann zwei verschiedene Typen von IAM-Rollensitzungen mit erweiterter Identität erstellen, je nachdem, welche Kontext-Assertion für die Anfrage angegeben wurde. AssumeRole Anwendungen, die ID-Token von IAM Identity Center erhalten haben, können IAM-Rollensitzungen hinzufügen sts:identiy_context (empfohlen) oder sts:audit_context (aus Gründen der Abwärtskompatibilität unterstützt). Eine IAM-Rollensitzung mit erweiterter Identität kann nur eine dieser Kontext-Assertionen haben, nicht beide.

Identity-enhanced `Mit sts:identity_context erstellte IAM-Rollensitzungen`

Wenn eine Rollensitzung mit erweiterter Identität sts:identity_context die aufgerufene enthält, wird AWS-Service bestimmt, ob die Ressourcenautorisierung auf dem Benutzer basiert, der in der Rollensitzung vertreten ist, oder ob sie auf der Rolle basiert. AWS-Services Diese unterstützen die benutzerbasierte Autorisierung und bieten dem Administrator der Anwendung die Möglichkeit, dem Benutzer oder Gruppen, denen der Benutzer angehört, Zugriff zuzuweisen.

AWS-Services die keine benutzerbasierte Autorisierung unterstützen, ignorieren die. sts:identity_context CloudTrail protokolliert die userId des IAM Identity Center-Benutzers mit allen von der Rolle ausgeführten Aktionen. Weitere Informationen finden Sie unter Identity-enhanced Protokollierung von IAM-Rollensitzungen.

Um diese Art von Rollensitzung mit erweiterter Identität abzurufen AWS STS, stellen Anwendungen den Wert des sts:identity_context Felds in der AssumeRoleAnfrage mithilfe des Anforderungsparameters bereit. ProvidedContexts Verwenden Sie arn:aws:iam::aws:contextProvider/IdentityCenter ihn als Wert für. ProviderArn

Weitere Informationen zum Verhalten der Autorisierung finden Sie in der Dokumentation zum Empfang AWS-Service.

Identity-enhanced `Mit sts:audit_context erstellte IAM-Rollensitzungen`

Wurde in der Vergangenheit verwendet, sts:audit_context um die Benutzeridentität AWS-Services zu protokollieren, ohne sie für eine Autorisierungsentscheidung zu verwenden. AWS-Services sind nun in der Lage, einen einzigen Kontext zu sts:identity_context verwenden, um dies zu erreichen und Autorisierungsentscheidungen zu treffen. Wir empfehlen die Verwendung von Trusted Identity Propagation sts:identity_context in allen neuen Bereitstellungen.

Identity-enhanced Protokollierung von IAM-Rollensitzungen

Wenn eine Anfrage an eine IAM-Rollensitzung AWS-Service mit erweiterter Identität gestellt wird, userId wird das IAM Identity Center des Benutzers im Element angemeldet. CloudTrail OnBehalfOf Die Art und Weise, wie Ereignisse angemeldet werden, CloudTrail hängt vom ab. AWS-Service Nicht alle AWS-Services protokollieren das onBehalfOf Element.

Im Folgenden finden Sie ein Beispiel dafür, wie eine Anfrage, die an eine Sitzung gestellt wurde, bei der eine Rolle AWS-Service mit erweiterter Identität verwendet wird, angemeldet wird. CloudTrail


"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Einen vertrauenswürdigen Token-Emittenten einrichten

Zertifikate rotieren