Risorse aggiuntive per la federazione OIDC

Federazione OIDC

Immagina di creare un'applicazione con accesso alle risorse AWS, ad esempio GitHub Actions che utilizza i flussi di lavoro per accedere ad Amazon S3 e DynamoDB.

Quando utilizzi questi flussi di lavoro, effettui richieste ai servizi AWS che devono essere firmate con una chiave di accesso AWS. Tuttavia, ti consigliamo vivamente di non archiviare le credenziali AWS a lungo termine in applicazioni esterne a AWS. Invece, configura le applicazioni in modo da richiedere credenziali di sicurezza AWS temporanee in modo dinamico, quando necessario, utilizzando la federazione OIDC. Le credenziali temporanee fornite vengono mappate a un ruolo AWS che dispone solo delle autorizzazioni necessarie per eseguire le attività richieste dall'applicazione.

Con la federazione OIDC, non è necessario creare il codice di accesso personalizzato o gestire le proprie identità utente personalizzate. Puoi invece utilizzare OIDC in applicazioni, come GitHub Actions o qualsiasi altro IdP compatibile con OpenID Connect (OIDC) per autenticarsi con AWS. Ricevono un token di autenticazione, noto come JSON Web Token (JWT) e scambiano quindi tale token per le credenziali di sicurezza temporanee in AWS che si mappano a un ruolo IAM con autorizzazioni per utilizzare le risorse nel tuo Account AWS. L'utilizzo di un provider delle identità aiuta a mantenere sicuro l'Account AWS perché non serve incorporare e distribuire le credenziali di sicurezza a lungo termine con l'applicazione.

La federazione OIDC supporta sia l'autenticazione da macchina a macchina (come pipeline CI/CD, script automatizzati e applicazioni serverless) sia l'autenticazione di utenti umani. Nei casi di autenticazione di utenti umani in cui è necessario gestire la registrazione, l'accesso e i profili dell'utente, valuta l'utilizzo di Amazon Cognito come gestore di identità. Per informazioni dettagliate sull'utilizzo di Amazon Cognito con OIDC, consulta Amazon Cognito per applicazioni per dispositivi mobili.

Nota

I JSON Web Tokens (JWT) emessi dai provider di identità OpenID Connect (OIDC) contengono una data di scadenza nell'attestazione exp che specifica quando scade il token. IAM offre una finestra di cinque minuti oltre la data di scadenza specificata nel JWT per tenere conto dell'alterazione del clock, come consentito dallo standard OpenID Connect (OIDC) Core 1.0. Ciò significa che i JWT OIDC ricevuti da IAM dopo la scadenza, ma entro questo intervallo di cinque minuti, vengono accettati per un'ulteriore valutazione ed elaborazione.

Argomenti

Risorse aggiuntive per la federazione OIDC

Le risorse seguenti possono fornire ulteriori informazioni sulla federazione OIDC:

Usa OpenID Connect nei tuoi flussi di lavoro GitHub configurando OpenID Connect in Amazon Web Services
Amazon Cognito Identity nella Guida alle librerie Amplify per Android e Guida all'identità di Amazon Cognito nella Guida alle librerie Amplify per Swift.
Nel post How to use external ID when granting access to your AWS resources di AWS Security Blog vengono fornite indicazioni su come configurare in modo sicuro l'accesso multi-account e la federazione delle identità esterne.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Scenari comuni

Creare un provider di identità OIDC