Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identity-enhanced IAM-Rollensitzungen
Das [AWS -Security-Token-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) ermöglicht es einer Anwendung, eine identitätserweiterte IAM-Rollensitzung abzurufen. Identity-enhanced Rollensitzungen verfügen über einen zusätzlichen Identitätskontext, der dem aufgerufenen eine Benutzer-ID beifügt. AWS-Service AWS-Services kann die Gruppenmitgliedschaften und Attribute des Benutzers in IAM Identity Center nachschlagen und sie verwenden, um den Zugriff des Benutzers auf Ressourcen zu autorisieren.
AWS Anwendungen rufen Rollensitzungen mit erweiterter Identität ab, indem sie Anfragen an die AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API-Aktion stellen und eine Kontext-Assertion mit der Benutzerkennung (`userId`) im Parameter der `ProvidedContexts` Anfrage an übergeben. `AssumeRole` Die Kontext-Assertion wird aus dem `idToken` Anspruch abgerufen, der als Antwort auf eine Anfrage an eingegangen ist. `SSO OIDC` [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Wenn eine AWS Anwendung eine Rollensitzung mit erweiterter Identität für den Zugriff auf eine Ressource verwendet, werden die `userId` initiierende Sitzung und die ausgeführte Aktion CloudTrail protokolliert. Weitere Informationen finden Sie unter [Identity-enhanced Protokollierung von IAM-Rollensitzungen](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Arten von IAM-Rollensitzungen mit erweiterter Identität](#types-identity-enhanced-iam-role-sessions)
+ [Identity-enhanced Protokollierung von IAM-Rollensitzungen](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Arten von IAM-Rollensitzungen mit erweiterter Identität
AWS STS kann zwei verschiedene Typen von IAM-Rollensitzungen mit erweiterter Identität erstellen, je nachdem, welche Kontext-Assertion für die Anfrage angegeben wurde. `AssumeRole` Anwendungen, die ID-Token von IAM Identity Center erhalten haben, können IAM-Rollensitzungen hinzufügen `sts:identiy_context` (empfohlen) oder `sts:audit_context` (aus Gründen der Abwärtskompatibilität unterstützt). Eine IAM-Rollensitzung mit erweiterter Identität kann nur eine dieser Kontext-Assertionen haben, nicht beide.
### Identity-enhanced `Mit sts:identity_context erstellte IAM-Rollensitzungen`
Wenn eine Rollensitzung mit erweiterter Identität `sts:identity_context` die aufgerufene enthält, wird AWS-Service bestimmt, ob die Ressourcenautorisierung auf dem Benutzer basiert, der in der Rollensitzung vertreten ist, oder ob sie auf der Rolle basiert. AWS-Services Diese unterstützen die benutzerbasierte Autorisierung und bieten dem Administrator der Anwendung die Möglichkeit, dem Benutzer oder Gruppen, denen der Benutzer angehört, Zugriff zuzuweisen.
AWS-Services die keine benutzerbasierte Autorisierung unterstützen, ignorieren die. `sts:identity_context` CloudTrail protokolliert die userId des IAM Identity Center-Benutzers mit allen von der Rolle ausgeführten Aktionen. Weitere Informationen finden Sie unter [Identity-enhanced Protokollierung von IAM-Rollensitzungen](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Um diese Art von Rollensitzung mit erweiterter Identität abzurufen AWS STS, stellen Anwendungen den Wert des `sts:identity_context` Felds in der [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)Anfrage mithilfe des Anforderungsparameters bereit. `ProvidedContexts` Verwenden Sie `arn:aws:iam::aws:contextProvider/IdentityCenter` ihn als Wert für. `ProviderArn`
Weitere Informationen zum Verhalten der Autorisierung finden Sie in der Dokumentation zum Empfang AWS-Service.
### Identity-enhanced `Mit sts:audit_context erstellte IAM-Rollensitzungen`
Wurde in der Vergangenheit verwendet, `sts:audit_context` um die Benutzeridentität AWS-Services zu protokollieren, ohne sie für eine Autorisierungsentscheidung zu verwenden. AWS-Services sind nun in der Lage, einen einzigen Kontext zu `sts:identity_context` verwenden, um dies zu erreichen und Autorisierungsentscheidungen zu treffen. Wir empfehlen die Verwendung von Trusted Identity Propagation `sts:identity_context` in allen neuen Bereitstellungen.
## Identity-enhanced Protokollierung von IAM-Rollensitzungen
Wenn eine Anfrage an eine IAM-Rollensitzung AWS-Service mit erweiterter Identität gestellt wird, `userId` wird das IAM Identity Center des Benutzers im Element angemeldet. CloudTrail `OnBehalfOf` Die Art und Weise, wie Ereignisse angemeldet werden, CloudTrail hängt vom ab. AWS-Service Nicht alle AWS-Services protokollieren das `onBehalfOf` Element.
Im Folgenden finden Sie ein Beispiel dafür, wie eine Anfrage, die an eine Sitzung gestellt wurde, bei der eine Rolle AWS-Service mit erweiterter Identität verwendet wird, angemeldet wird. CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```