Acerca de identidades web federadas - AWS Identity and Access Management

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Acerca de identidades web federadas

Imagine que está creando una aplicación móvil que accede a los recursos de AWS, como, por ejemplo, un juego que se ejecuta en un dispositivo móvil y almacena información de puntuación y de jugadores utilizando Amazon S3 y DynamoDB.

Al escribir dicha aplicación, realizará solicitudes a los servicios de AWS que deben estar firmadas con una clave de acceso de AWS. Sin embargo, recomendamos encarecidamente que no incruste ni distribuya credenciales de AWS a largo plazo con aplicaciones que un usuario descarga en un dispositivo, incluso en una tienda cifrada. En cambio, cree su aplicación de forma que solicite credenciales de seguridad de AWS cuando las necesite utilizando la federación de identidades web. Las credenciales temporales suministradas se asignan a un rol de AWS que solo tiene los permisos necesarios para realizar las tareas requeridas por la aplicación móvil.

Con la federación de identidades web no necesita crear código de inicio de sesión personalizado ni administrar sus propias identidades de usuario. En lugar de ello, los usuarios de la aplicación pueden iniciar sesión con un proveedor de identidad externo bien conocido, como Login with Amazon, Facebook, Google o cualquier otro IdP compatible con OpenID Connect (OIDC). Pueden recibir un token de autenticación para entonces intercambiarlo por credenciales de seguridad temporales en AWS que tienen asignado un rol de IAM con permisos para utilizar los recursos de la cuenta de AWS. El uso de un proveedor de identidad le permite tener una cuenta de AWS más segura, ya que no tiene que integrar ni distribuir credenciales de seguridad a largo plazo con su aplicación.

Para la mayoría de las situaciones, le recomendamos que utilice Amazon Cognito ya que actúa como agente de identidades y realiza gran parte de la federación por usted. Para obtener más detalles, consulte la siguiente sección Uso de Amazon Cognito para aplicaciones móviles.

Si no utiliza Amazon Cognito, deberá escribir código que interactúe con un IdP en web, como Facebook, y que entonces llame a la API AssumeRoleWithWebIdentity para intercambiar el token de autenticación obtenido de los IdP por credenciales de seguridad temporales de AWS. Si ya ha utilizado este enfoque para las aplicaciones existentes, puede seguir utilizándolo.