Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Identity-enhanced Sessioni di ruolo IAM
[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) consente a un'applicazione di ottenere una sessione di ruolo IAM con identità migliorata. Identity-enhanced le sessioni di ruolo hanno un contesto di identità aggiunto che associa un identificatore utente a quello che richiama. Servizio AWS Servizi AWS può cercare le appartenenze ai gruppi e gli attributi dell'utente in IAM Identity Center e utilizzarli per autorizzare l'accesso dell'utente alle risorse.
AWS le applicazioni ottengono sessioni di ruolo con identità migliorata effettuando richieste all'azione AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API e passando un'asserzione di contesto con l'identificatore dell'utente (`userId`) nel parametro della richiesta a. `ProvidedContexts` `AssumeRole` L'asserzione di contesto è ottenuta dal `idToken` reclamo ricevuto in risposta a una richiesta inviata a to. `SSO OIDC` [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Quando un' AWS applicazione utilizza una sessione di ruolo con identità avanzata per accedere a una risorsa, CloudTrail registra la `userId` sessione di avvio e l'azione intrapresa. Per ulteriori informazioni, consulta [Identity-enhanced Registrazione delle sessioni di ruolo IAM](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Tipi di sessioni di ruolo IAM con identità migliorata](#types-identity-enhanced-iam-role-sessions)
+ [Identity-enhanced Registrazione delle sessioni di ruolo IAM](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Tipi di sessioni di ruolo IAM con identità migliorata
AWS STS può creare due diversi tipi di sessioni di ruolo IAM con identità migliorata, a seconda dell'asserzione di contesto fornita alla richiesta. `AssumeRole` Le applicazioni che hanno ottenuto token Id da IAM Identity Center possono essere aggiunte `sts:identiy_context` (scelta consigliata) o `sts:audit_context` (supportata per la compatibilità con le versioni precedenti) alle sessioni di ruolo IAM. Una sessione di ruolo IAM con identità migliorata può avere solo una di queste asserzioni di contesto, non entrambe.
### Identity-enhanced `Sessioni di ruolo IAM create con sts:identity_context`
Quando una sessione di ruolo con identità migliorata contiene `sts:identity_context` il comando chiamato Servizio AWS determina se l'autorizzazione delle risorse si basa sull'utente rappresentato nella sessione del ruolo o se è basata sul ruolo. Servizi AWS che supportano l'autorizzazione basata sull'utente forniscono all'amministratore dell'applicazione i controlli per assegnare l'accesso all'utente o ai gruppi di cui l'utente è membro.
Servizi AWS che non supportano l'autorizzazione basata sull'utente ignorano il. `sts:identity_context` CloudTrail registra l'userID dell'utente IAM Identity Center con tutte le azioni intraprese dal ruolo. Per ulteriori informazioni, consulta [Identity-enhanced Registrazione delle sessioni di ruolo IAM](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Per ottenere questo tipo di sessione di ruolo con identità avanzata da AWS STS, le applicazioni forniscono il valore del `sts:identity_context` campo nella richiesta utilizzando il parametro request. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)`ProvidedContexts` Usa `arn:aws:iam::aws:contextProvider/IdentityCenter` come valore per. `ProviderArn`
Per ulteriori informazioni su come si comporta l'autorizzazione, consulta la documentazione per la ricezione Servizio AWS.
### Identity-enhanced `Sessioni di ruolo IAM create con sts:audit_context`
In passato, `sts:audit_context` veniva utilizzato per consentire di Servizi AWS registrare l'identità dell'utente senza utilizzarla per prendere una decisione di autorizzazione. Servizi AWS sono ora in grado di utilizzare un unico contesto `sts:identity_context` - - per raggiungere questo obiettivo e per prendere decisioni di autorizzazione. Si consiglia di utilizzare `sts:identity_context` in tutte le nuove implementazioni la propagazione affidabile delle identità.
## Identity-enhanced Registrazione delle sessioni di ruolo IAM
Quando viene effettuata una richiesta a una sessione di ruolo IAM che Servizio AWS utilizza un ruolo IAM con identità avanzata, l'IAM Identity Center dell'utente `userId` viene registrato nell'elemento. CloudTrail `OnBehalfOf` Il modo in cui gli eventi vengono registrati varia in base a CloudTrail . Servizio AWS Non tutti Servizi AWS registrano l'`onBehalfOf`elemento.
Di seguito è riportato un esempio di come viene registrata una richiesta effettuata a una sessione di Servizio AWS utilizzo di un ruolo con identità avanzata. CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```