Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Identity-enhanced Sesiones de roles de IAM
El [AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) permite a una aplicación obtener una sesión de rol de IAM con identidad mejorada. Identity-enhanced las sesiones de rol tienen un contexto de identidad adicional que incluye un identificador de usuario a la Servicio de AWS que llaman. Servicios de AWS puede buscar las pertenencias a los grupos y los atributos del usuario en el Centro de Identidad de IAM y utilizarlos para autorizar el acceso del usuario a los recursos.
AWS las aplicaciones obtienen sesiones de roles con una identidad mejorada realizando solicitudes a la acción de la AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API y pasando una afirmación de contexto con el identificador del usuario (`userId`) en el `ProvidedContexts` parámetro de la solicitud a. `AssumeRole` La afirmación de contexto se obtiene de la reclamación `idToken` recibida en respuesta a una solicitud dirigida a `SSO OIDC` para [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html). Cuando una AWS aplicación utiliza una sesión de rol con identidad mejorada para acceder a un recurso, CloudTrail registra la `userId` sesión de inicio y la acción realizada. Para obtener más información, consulte [Identity-enhanced Registro de sesiones de roles de IAM](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Tipos de sesiones de rol de IAM con identidad mejorada](#types-identity-enhanced-iam-role-sessions)
+ [Identity-enhanced Registro de sesiones de roles de IAM](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Tipos de sesiones de rol de IAM con identidad mejorada
AWS STS puede crear dos tipos diferentes de sesiones de rol de IAM con identidad mejorada, en función de la afirmación de contexto proporcionada a la solicitud. `AssumeRole` Las aplicaciones que hayan obtenido tokens de identificación de IAM Identity Center pueden añadir `sts:identiy_context` (recomendado) o `sts:audit_context` (admitido por compatibilidad con versiones anteriores) a las sesiones de rol de IAM. Una sesión de roles de IAM con identidad mejorada solo puede tener una de estas aserciones de contexto, no ambas.
### Identity-enhanced `Sesiones de roles de IAM creadas con sts:identity_context`
Cuando una sesión de rol con identidad mejorada contiene `sts:identity_context`, el Servicio de AWS llamado determina si la autorización de recursos se basa en el usuario que está representado en la sesión de rol o si se basa en el rol. Los Servicios de AWS que admiten la autorización basada en el usuario proporcionan al administrador de la aplicación controles para asignar el acceso al usuario o a los grupos de los que el usuario es miembro.
Servicios de AWS que no admitan la autorización basada en el usuario ignoran la. `sts:identity_context` CloudTrail registra el USERID del usuario del Centro de Identidad de IAM con todas las acciones realizadas por el rol. Para obtener más información, consulte [Identity-enhanced Registro de sesiones de roles de IAM](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Para obtener este tipo de sesión de rol con identidad mejorada AWS STS, las aplicaciones proporcionan el valor del `sts:identity_context` campo de la solicitud mediante el parámetro de [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)solicitud. `ProvidedContexts` Utilice `arn:aws:iam::aws:contextProvider/IdentityCenter` como valor para `ProviderArn`.
Para obtener más información sobre el comportamiento de la autorización, consulte la documentación relativa a la recepción. Servicio de AWS
### Identity-enhanced `Sesiones de rol de IAM creadas con sts:audit_context`
En el pasado, se `sts:audit_context` utilizaba para permitir el registro de la identidad del usuario sin utilizarla Servicios de AWS para tomar una decisión de autorización. Servicios de AWS ahora pueden usar un único contexto: `sts:identity_context` - para lograrlo y para tomar decisiones de autorización. Recomendamos utilizar `sts:identity_context` en todas las nuevas implementaciones de propagación de identidades de confianza.
## Identity-enhanced Registro de sesiones de roles de IAM
Cuando se realiza una solicitud a una Servicio de AWS sesión de rol de IAM con identidad mejorada, el centro de identidad de IAM del usuario `userId` se registra en el elemento. CloudTrail `OnBehalfOf` La forma en que se registran los eventos CloudTrail varía en función del. Servicio de AWS No todos los Servicios de AWS registran el elemento `onBehalfOf`.
A continuación se muestra un ejemplo de cómo se inicia sesión en una sesión de rol con identidad mejorada. Servicio de AWS CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```