Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Fédération OIDC
Imaginez que vous créez une application qui accède à des AWS ressources, comme GitHib Actions, qui utilise des flux de travail pour accéder à Amazon S3 et DynamoDB.
Lorsque vous utilisez ces flux de travail, vous envoyez des demandes aux AWS services qui doivent être signées à l'aide d'une clé d' AWS accès. Cependant, nous vous recommandons vivement de ne pas stocker les AWS informations d'identification à long terme dans des applications extérieures AWS. Configurez plutôt vos applications pour qu'elles demandent des informations d'identification AWS de sécurité temporaires de manière dynamique en cas de besoin à l'aide de la fédération OIDC. Les informations d'identification temporaires fournies correspondent à un AWS rôle qui dispose uniquement des autorisations nécessaires pour effectuer les tâches requises par l'application.
Avec la fédération OIDC, vous n'avez pas besoin de créer de code de connexion personnalisé ni de gérer vos propres identités d'utilisateur. Vous pouvez plutôt utiliser OIDC dans des applications, telles que GitHub Actions ou tout autre IdP compatible avec OpenID Connect (
Pour la plupart des scénarios, il est recommandé d'utiliser Amazon Cognito
Note
Les jetons Web JSON (JWT) émis par les fournisseurs d'identité OpenID Connect (OIDC) contiennent un délai d'expiration dans la exp
réclamation qui indique la date d'expiration du jeton. IAM fournit une fenêtre de cinq minutes au-delà du délai d'expiration spécifié dans le JWT pour tenir compte du décalage horaire, comme le permet la norme OpenID Connect (