À utiliser AssumeRoleWithWebIdentity avec un CLI

Les exemples de code suivants illustrent comment utiliser AssumeRoleWithWebIdentity.

CLI

AWS CLI

Pour obtenir des informations d'identification à court terme pour un rôle authentifié avec Web Identity (OAuth2."0)

La assume-role-with-web-identity commande suivante extrait un ensemble d'informations d'identification à court terme pour le IAM rôleapp1. La requête est authentifiée à l’aide du jeton d’identité Web fourni par le fournisseur d’identité Web spécifié. Deux politiques supplémentaires sont appliquées à la session afin de restreindre davantage ce que l’utilisateur peut faire. Les informations d’identification renvoyées expirent une heure après avoir été générées.

aws sts assume-role-with-web-identity \
    --duration-seconds 3600 \
    --role-session-name "app1" \
    --provider-id "www.amazon.com" \
    --policy-arns "arn:aws:iam::123456789012:policy/q=webidentitydemopolicy1","arn:aws:iam::123456789012:policy/webidentitydemopolicy2" \
    --role-arn arn:aws:iam::123456789012:role/FederatedWebIdentityRole \
    --web-identity-token "Atza%7CIQEBLjAsAhRFiXuWpUXuRvQ9PZL3GMFcYevydwIUFAHZwXZXXXXXXXXJnrulxKDHwy87oGKPznh0D6bEQZTSCzyoCtL_8S07pLpr0zMbn6w1lfVZKNTBdDansFBmtGnIsIapjI6xKR02Yc_2bQ8LZbUXSGm6Ry6_BG7PrtLZtj_dfCTj92xNGed-CrKqjG7nPBjNIL016GGvuS5gSvPRUxWES3VYfm1wl7WTI7jn-Pcb6M-buCgHhFOzTQxod27L9CqnOLio7N3gZAGpsp6n1-AJBOCJckcyXe2c6uD0srOJeZlKUm2eTDVMf8IehDVI0r1QOnTV6KzzAI3OY87Vd_cVMQ"

Sortie :

{
    "SubjectFromWebIdentityToken": "amzn1.account.AF6RHO7KZU5XRVQJGXK6HB56KR2A"
    "Audience": "client.5498841531868486423.1548@apps.example.com",
    "AssumedRoleUser": {
        "Arn": "arn:aws:sts::123456789012:assumed-role/FederatedWebIdentityRole/app1",
        "AssumedRoleId": "AROACLKWSDQRAOEXAMPLE:app1"
    }
    "Credentials": {
        "AccessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "SecretAccessKey": "wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY",
        "SessionToken": "AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE",
        "Expiration": "2020-05-19T18:06:10+00:00"
    },
    "Provider": "www.amazon.com"
}

Pour plus d'informations, consultez la section Demande d'informations d'identification de sécurité temporaires dans le guide de AWS IAM l'utilisateur.

• Pour API plus de détails, voir AssumeRoleWithWebIdentityla section Référence des AWS CLI commandes.

PowerShell

Outils pour PowerShell

Exemple 1 : renvoie un ensemble d’informations d’identification temporaires, valables pendant une heure, pour un utilisateur qui a été authentifié avec le fournisseur d’identité Login with Amazon. Les informations d'identification reposent sur la politique d'accès associée au rôle identifié par le rôleARN. Vous pouvez éventuellement transmettre une JSON politique au paramètre -Policy pour affiner davantage les autorisations d'accès (vous ne pouvez pas accorder plus d'autorisations que celles disponibles dans les autorisations associées au rôle). La valeur fournie à - WebIdentityToken est l'identifiant utilisateur unique renvoyé par le fournisseur d'identité.

Use-STSWebIdentityRole -DurationInSeconds 3600 -ProviderId "www.amazon.com" -RoleSessionName "app1" -RoleArn "arn:aws:iam::123456789012:role/FederatedWebIdentityRole" -WebIdentityToken "Atza...DVI0r1"

• Pour API plus de détails, consultez la section AssumeRoleWithWebIdentityRéférence des AWS Tools for PowerShell applets de commande.

Pour obtenir la liste complète des guides AWS SDK de développement et des exemples de code, consultezL'utilisation de ce service avec un AWS SDK. Cette rubrique inclut également des informations sur la mise en route et des détails sur SDK les versions précédentes.