Uso de credenciales de seguridad temporales con Amazon SNS - Amazon Simple Notification Service

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de credenciales de seguridad temporales con Amazon SNS

AWS Identity and Access Management (IAM) le permite conceder credenciales de seguridad temporales a los usuarios y aplicaciones que necesitan acceder a sus AWS recursos. Estas credenciales de seguridad temporales se utilizan principalmente para los roles de IAM y el acceso federado a través de protocolos estándar del sector, como SAML y OpenID Connect (OIDC).

Para gestionar de forma eficaz el acceso a AWS los recursos, es fundamental comprender los siguientes conceptos clave:

  • Funciones de IAM: las funciones se utilizan para delegar el acceso a AWS los recursos. Las funciones pueden ser asumidas por entidades como EC2 instancias de Amazon, funciones de Lambda o usuarios de otras entidades. Cuentas de AWS

  • Usuarios federados: son usuarios autenticados mediante proveedores de identidad externos (IdPs) mediante SAML u OIDC. Se recomienda el acceso federado para los usuarios humanos, mientras que los roles de IAM deben utilizarse para las aplicaciones de software.

  • Roles en cualquier lugar: para las aplicaciones externas que requieren AWS acceso, puede utilizar IAM Roles Anywhere para gestionar el acceso de forma segura sin crear credenciales a largo plazo.

Puede utilizar estas credenciales de seguridad temporales para realizar solicitudes a Amazon SNS. Las bibliotecas de API SDKs y las bibliotecas de API calculan la firma necesaria con estas credenciales para autenticar sus solicitudes. Amazon SNS rechazará las solicitudes con credenciales caducadas.

Para obtener más información sobre las credenciales de seguridad temporales, consulte Uso de roles de IAM y Proporcionar acceso a usuarios autenticados externamente (federación de identidades) en la Guía del usuario de IAM.

ejemplo Ejemplo de solicitud HTTPS

El siguiente ejemplo muestra cómo autenticar una solicitud de Amazon SNS mediante credenciales de seguridad temporales AWS Security Token Service obtenidas de (STS).

https://sns.us-east-2.amazonaws.com/
?Action=CreateTopic
&Name=My-Topic
&SignatureVersion=4
&SignatureMethod=AWS4-HMAC-SHA256
&Timestamp=2023-07-05T12:00:00Z
&X-Amz-Security-Token=SecurityTokenValue
&X-Amz-Date=20230705T120000Z
&X-Amz-Credential=<your-access-key-id>/20230705/us-east-2/sns/aws4_request
&X-Amz-SignedHeaders=host
&X-Amz-Signature=<signature-value>
Pasos para autenticar la solicitud

  1. Obtenga credenciales de seguridad temporales: utilice AWS STS para asumir un rol u obtener credenciales de usuario federado. Esto le proporcionará un ID de clave de acceso, una clave de acceso secreta y un token de seguridad.

  2. Cree la solicitud: incluya los parámetros necesarios para su acción de Amazon SNS (por ejemplo, CreateTopic) y asegúrese de utilizar HTTPS para una comunicación segura.

  3. Firme la solicitud: utilice el proceso de AWS Signature Version 4 para firmar la solicitud. Esto implica crear una solicitud canónica y, a continuación string-to-sign, calcular la firma. Para obtener más información sobre la versión 4 de AWS Signature, consulte Utilizar la firma de la versión 4 de Signature en la Guía del usuario de Amazon EBS.

  4. Envíe la solicitud: incluya el X-Amz-Security-Token en el encabezado de la solicitud para pasar las credenciales de seguridad temporales a Amazon SNS.