Controlli tramite provider di identità per i provider OIDC condivisi - AWS Identity and Access Management
Tipi di provider OIDCProvider di identità OIDC condivisi con controlli dei provider di identitàRisorse aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli tramite provider di identità per i provider OIDC condivisi

Per i provider di identità OpenID Connect (OIDC) condivisi e riconosciuti, IAM richiede la valutazione esplicita di attestazioni specifiche nelle policy di attendibilità dei ruoli. Queste attestazioni obbligatorie, chiamate controlli del provider di identità, vengono valutate da IAM durante la creazione dei ruoli e gli aggiornamenti delle policy di attendibilità. Se la policy di attendibilità dei ruoli non valuta i controlli richiesti dall'IdP OIDC condiviso, non sarà possibile creare o aggiornare ruoli. Questo garantisce che solo le identità autorizzate dell'organizzazione prevista possano assumere ruoli e accedere alle risorse AWS. Questo controllo di sicurezza è fondamentale quando i provider OIDC sono condivisi tra più clienti AWS.

I controlli dei provider di identità non verranno valutati da IAM per le policy di attendibilità dei ruoli OIDC esistenti. Per qualsiasi modifica alla policy di attendibilità dei ruoli per i ruoli OIDC esistenti, IAM richiederà che i controlli relativi ai provider di identità siano inclusi nella policy stessa.

Tipi di provider OIDC

IAM classifica i provider di identità OIDC in due tipi distinti: privati e condivisi. Un IdP OIDC privato può essere di proprietà e gestito da una singola organizzazione o può essere un tenant di un provider SaaS, con l'URL dell'emittente OIDC che funge da identificatore univoco specifico per tale organizzazione. Al contrario, un IdP OIDC condiviso viene impiegato da più organizzazioni e può avere lo stesso URL dell'emittente OIDC per tutte quelle che lo utilizzano.

La tabella seguente illustra le principali differenze tra i provider OIDC privati e condivisi:

Caratteristica Provider OIDC privato Provider OIDC condiviso

Emittente

Univoco per l'organizzazione

Condiviso tra più organizzazioni

Informazioni di tenancy

Comunicate tramite un emittente unico

Comunicate tramite attestazioni nei JWT

Requisiti della policy di attendibilità

Non è richiesta la valutazione di un'attestazione specifica

È richiesta la valutazione di attestazioni specifiche

Provider di identità OIDC condivisi con controlli dei provider di identità

Quando crei o modifichi un provider OIDC in IAM, il sistema identifica e valuta automaticamente le attestazioni richieste per i provider OIDC condivisi e riconosciuti. Se i controlli del provider di identità non sono configurati nella policy di attendibilità dei ruoli, la creazione o l'aggiornamento del ruolo avrà esito negativo e verrà generato un errore MalformedPolicyDocument.

La tabella seguente elenca i provider OIDC condivisi che richiedono i controlli del provider di identità nelle policy di attendibilità dei ruoli e informazioni aggiuntive per aiutarti a configurare i controlli del provider di identità.

IdP OIDC URL OIDC Attestazione di tenancy Attestazioni obbligatorie
Amazon Cognito

cognito-identity.amazonaws.com

 aud

cognito-identity.amazonaws.com:aud
Azure Sentinel https://sts.windows.net/33e01921-4d64-4f8c-a055-5bdaffd5e33d sts:RoleSessionName sts:RoleSessionName
Buildkite https://agent.buildkite.com

sub

 agent.buildkite.com:sub
Codefresh SaaS https://oidc.codefresh.io sub oidc.codefresh.io:sub
DVC Studio https://studio.datachain.ai/api sub studio.datachain.ai/api:sub
GitHub Actions https://token.actions.githubusercontent.com sub token.actions.githubusercontent.com:sub
Flusso di log di audit di GitHub https://oidc-configuration.audit-log.githubusercontent.com sub oidc-configuration.audit-log.githubusercontent.com:sub
GitHub vstoken https://vstoken.actions.githubusercontent.com sub vstoken.actions.githubusercontent.com:sub
GitLab https://gitlab.com sub gitlab.com:sub
IBM Turbonomic SaaS*

  • https://rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr

  • https://rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg

  • https://rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26

  • https://oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb

  • https://oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu

 sub

  • rh-oidc.s3.us-east-1.amazonaws.com/22ejnvnnturfmt6km08idd0nt4hekbn7:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23e3sd27sju1hoou6ohfs68vbno607tr:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/23ne21h005qjl3n33d8dui5dlrmv2tmg:sub

  • rh-oidc.s3.us-east-1.amazonaws.com/24jrf12m5dj7ljlfb4ta2frhrcoadm26:sub

  • oidc.op1.openshiftapps.com/2f785sojlpb85i7402pk3qogugim5nfb:sub

  • oidc.op1.openshiftapps.com/2c51blsaqa9gkjt0o9rt11mle8mmropu:sub
Pulumi Cloud https://api.pulumi.com/oidc aud api.pulumi.com/oidc:aud
sandboxes.cloud https://sandboxes.cloud aud sandboxes.cloud:aud
Scalr https://scalr.io sub scalr.io:sub
Shisho Cloud https://tokens.cloud.shisho.dev sub tokens.cloud.shisho.dev:sub
Terraform Cloud https://app.terraform.io sub app.terraform.io:sub
Upbound https://proidc.upbound.io sub proidc.upbound.io:sub
Endpoint globale Vercel https://oidc.vercel.com aud oidc.vercel.com:aud

* IBM Turbonomic aggiorna periodicamente l'URL dell'emittente OIDC con nuove versioni della piattaforma. Se necessario, aggiungeremo altri emittenti OIDC Turbonomic come provider condiviso.

Per tutti i nuovi IdP OIDC che IAM identifica come condivisi, i controlli del provider di identità richiesti per le policy di attendibilità dei ruoli verranno documentati e applicati in modo simile.

Risorse aggiuntive

Risorse aggiuntive: