Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Contrôles des fournisseurs d’identité pour les fournisseurs OIDC partagés
Pour les fournisseurs d’identité (IdP) OpenID Connect (OIDC) reconnus, IAM exige une évaluation explicite des revendications spécifiques dans les politiques de confiance des rôles. Ces demandes obligatoires, appelées contrôles des fournisseurs d’identité, sont évaluées par IAM lors de la création des rôles et des mises à jour des politiques de confiance. Si la politique de confiance des rôles n’évalue pas les contrôles requis par l’IdP OIDC partagé, la création ou la mise à jour du rôle échouera. Cela garantit que seules les identités autorisées de l’organisation concernée peuvent assumer des rôles et accéder aux ressources AWS. Ce contrôle de sécurité est crucial lorsque les fournisseurs OIDC sont partagés entre plusieurs clients AWS.
Les contrôles des fournisseurs d’identité ne seront pas évalués par IAM pour les politiques de confiance des rôles OIDC existantes. Pour toute modification apportée à la politique de confiance des rôles pour les rôles OIDC existants, IAM exigera que les contrôles du fournisseur d’identité soient inclus dans la politique de confiance des rôles.
Types de fournisseurs OIDC
IAM classe les fournisseurs d’identité OIDC en deux types distincts : privés et partagés. Un IdP OIDC privé peut être détenu et géré par une seule organisation ou peut être un locataire d’un fournisseur SaaS, son URL d’émetteur OIDC servant d’identifiant unique spécifique à cette organisation. En revanche, un IdP OIDC partagé est utilisé par plusieurs organisations, où l’URL de l’émetteur OIDC peut être identique pour toutes les organisations utilisant ce fournisseur d’identité partagé.
Le tableau ci-dessous décrit les principales différences entre les fournisseurs OIDC privés et partagés :
| Caractéristiques | Fournisseur OIDC privé | Fournisseur OIDC partagé |
|---|---|---|
|
Emetteur |
Unique à l’organisation |
Partagé entre plusieurs organisations |
|
Informations de location |
Communiquées par l’intermédiaire d’un émetteur unique |
Communiquées par le biais de réclamations dans JWT |
|
Exigences en matière de politique de confiance |
Aucune évaluation de demande spécifique requise |
Évaluation des demandes spécifiques requise |
Fournisseurs d’identité OIDC partagés avec contrôles des fournisseurs d’identité
Lorsque vous créez ou modifiez un fournisseur OIDC dans IAM, le système identifie et évalue automatiquement les revendications requises pour les fournisseurs OIDC partagés reconnus. Si les contrôles du fournisseur d’identité ne sont pas configurés dans la politique de confiance des rôles, la création ou la mise à jour du rôle échouera avec une erreur MalformedPolicyDocument.
Le tableau suivant répertorie les fournisseurs OIDC partagés qui nécessitent des contrôles de fournisseur d’identité dans les politiques de confiance des rôles, ainsi que des informations supplémentaires pour vous aider à configurer les contrôles de fournisseur d’identité.
| IdP OIDC | URL OIDC | Demande de location | Demandes requises |
|---|---|---|---|
| Amazon Cognito |
|
aud |
|
| Azure Sentinel |
https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d
|
sts:RoleSessionName
|
sts:RoleSessionName
|
| Buildkite |
https://agent.buildkite.com
|
sub |
agent.buildkite.com:sub
|
| Codefresh SaaS |
https://oidc.codefresh.io |
sub |
oidc.codefresh.io:sub
|
| DVC Studio |
https://studio.datachain.ai/api |
sub |
studio.datachain.ai/api:sub
|
| Actions GitHub |
https://token.actions.githubusercontent.com |
sub |
token.actions.githubusercontent.com:sub
|
| Diffusion de journaux d’audit GitHub |
https://oidc-configuration.audit-log.githubusercontent.com |
sub |
oidc-configuration.audit-log.githubusercontent.com:sub
|
| GitHub vstoken |
https://vstoken.actions.githubusercontent.com |
sub |
vstoken.actions.githubusercontent.com:sub
|
| GitLab |
https://gitlab.com |
sub |
gitlab.com:sub
|
| IBM Turbonomic SaaS* |
|
sub |
|
| Pulumi Cloud |
https://api.pulumi.com/oidc |
aud |
api.pulumi.com/oidc:aud
|
| sandboxes.cloud |
https://sandboxes.cloud |
aud |
sandboxes.cloud:aud
|
| Scalr |
https://scalr.io |
sub |
scalr.io:sub
|
| Shisho Cloud |
https://tokens.cloud.shisho.dev |
sub |
tokens.cloud.shisho.dev:sub
|
| Terraform Cloud |
https://app.terraform.io |
sub |
app.terraform.io:sub
|
| Upbound |
https://proidc.upbound.io |
sub |
proidc.upbound.io:sub
|
| Point de terminaison global Vercel |
https://oidc.vercel.com |
aud |
oidc.vercel.com:aud
|
* IBM Turbonomic met régulièrement à jour l’URL de l’émetteur OIDC avec les nouvelles versions de la plateforme. Nous ajouterons d’autres émetteurs Turbonomic OIDC dans le champ d’application en tant que fournisseur partagé, si nécessaire.
Pour tout nouvel IdP OIDC identifié comme partagé par IAM, les contrôles requis par le fournisseur d’identité pour les politiques de confiance des rôles seront documentés et appliqués de manière similaire.
Ressources supplémentaires
Ressources supplémentaires :
-
Pour en savoir plus sur la création d’un rôle IAM pour une fédération OIDC, consultez Création d’un rôle pour la fédération OpenID Connect (console).
-
Pour obtenir la liste des clés de condition IAM pouvant être utilisées pour les demandes, consultez Clés disponibles pour la AWS fédération OIDC.
