Tipos de sesiones de rol de IAM con identidad mejorada Identity-enhanced Registro de sesiones de roles de IAM

Identity-enhanced Sesiones de roles de IAM

El AWS Security Token Service(STS) permite a una aplicación obtener una sesión de rol de IAM con identidad mejorada. Identity-enhanced las sesiones de rol tienen un contexto de identidad adicional que incluye un identificador de usuario a la Servicio de AWS que llaman. Servicios de AWS puede buscar las pertenencias a los grupos y los atributos del usuario en el Centro de Identidad de IAM y utilizarlos para autorizar el acceso del usuario a los recursos.

AWS las aplicaciones obtienen sesiones de roles con una identidad mejorada realizando solicitudes a la acción de la AWS STS AssumeRoleAPI y pasando una afirmación de contexto con el identificador del usuario (userId) en el ProvidedContexts parámetro de la solicitud a. AssumeRole La afirmación de contexto se obtiene de la reclamación idToken recibida en respuesta a una solicitud dirigida a SSO OIDC para CreateTokenWithIAM. Cuando una AWS aplicación utiliza una sesión de rol con identidad mejorada para acceder a un recurso, CloudTrail registra la userId sesión de inicio y la acción realizada. Para obtener más información, consulte Identity-enhanced Registro de sesiones de roles de IAM.

Temas

Tipos de sesiones de rol de IAM con identidad mejorada
Identity-enhanced Registro de sesiones de roles de IAM

Tipos de sesiones de rol de IAM con identidad mejorada

AWS STS puede crear dos tipos diferentes de sesiones de rol de IAM con identidad mejorada, en función de la afirmación de contexto proporcionada a la solicitud. AssumeRole Las aplicaciones que hayan obtenido tokens de identificación de IAM Identity Center pueden añadir sts:identiy_context (recomendado) o sts:audit_context (admitido por compatibilidad con versiones anteriores) a las sesiones de rol de IAM. Una sesión de roles de IAM con identidad mejorada solo puede tener una de estas aserciones de contexto, no ambas.

Identity-enhanced `Sesiones de roles de IAM creadas con sts:identity_context`

Cuando una sesión de rol con identidad mejorada contiene sts:identity_context, el Servicio de AWS llamado determina si la autorización de recursos se basa en el usuario que está representado en la sesión de rol o si se basa en el rol. Los Servicios de AWS que admiten la autorización basada en el usuario proporcionan al administrador de la aplicación controles para asignar el acceso al usuario o a los grupos de los que el usuario es miembro.

Servicios de AWS que no admitan la autorización basada en el usuario ignoran la. sts:identity_context CloudTrail registra el USERID del usuario del Centro de Identidad de IAM con todas las acciones realizadas por el rol. Para obtener más información, consulte Identity-enhanced Registro de sesiones de roles de IAM.

Para obtener este tipo de sesión de rol con identidad mejorada AWS STS, las aplicaciones proporcionan el valor del sts:identity_context campo de la solicitud mediante el parámetro de AssumeRolesolicitud. ProvidedContexts Utilice arn:aws:iam::aws:contextProvider/IdentityCenter como valor para ProviderArn.

Para obtener más información sobre el comportamiento de la autorización, consulte la documentación relativa a la recepción. Servicio de AWS

Identity-enhanced `Sesiones de rol de IAM creadas con sts:audit_context`

En el pasado, se sts:audit_context utilizaba para permitir el registro de la identidad del usuario sin utilizarla Servicios de AWS para tomar una decisión de autorización. Servicios de AWS ahora pueden usar un único contexto: sts:identity_context - para lograrlo y para tomar decisiones de autorización. Recomendamos utilizar sts:identity_context en todas las nuevas implementaciones de propagación de identidades de confianza.

Identity-enhanced Registro de sesiones de roles de IAM

Cuando se realiza una solicitud a una Servicio de AWS sesión de rol de IAM con identidad mejorada, el centro de identidad de IAM del usuario userId se registra en el elemento. CloudTrail OnBehalfOf La forma en que se registran los eventos CloudTrail varía en función del. Servicio de AWS No todos los Servicios de AWS registran el elemento onBehalfOf.

A continuación se muestra un ejemplo de cómo se inicia sesión en una sesión de rol con identidad mejorada. Servicio de AWS CloudTrail


"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Configuración de un emisor de tokens de confianza

Rotación de certificados