Utilisation d'informations d'identification de sécurité temporaires avec Amazon SNS - Amazon Simple Notification Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation d'informations d'identification de sécurité temporaires avec Amazon SNS

AWS Identity and Access Management (IAM) vous permet d'octroyer des informations d'identification de sécurité temporaires aux utilisateurs et aux applications qui ont besoin d'accéder à vos AWS ressources. Ces informations d'identification de sécurité temporaires sont principalement utilisées pour les rôles IAM et l'accès fédéré via des protocoles standard tels que SAML et OpenID Connect (OIDC).

Pour gérer efficacement l'accès aux AWS ressources, il est essentiel de comprendre les concepts clés suivants :

  • Rôles IAM — Les rôles sont utilisés pour déléguer l'accès aux AWS ressources. Les rôles peuvent être assumés par des entités telles que des EC2 instances Amazon, des fonctions Lambda ou des utilisateurs d'autres entités. Comptes AWS

  • Utilisateurs fédérés : il s'agit d'utilisateurs authentifiés via des fournisseurs d'identité externes (IdPs) à l'aide de SAML ou OIDC. L'accès fédéré est recommandé pour les utilisateurs humains, tandis que les rôles IAM doivent être utilisés pour les applications logicielles.

  • Rôles n'importe où : pour les applications externes nécessitant un AWS accès, vous pouvez utiliser IAM Roles Anywhere pour gérer l'accès en toute sécurité sans créer d'informations d'identification à long terme.

Vous pouvez utiliser des informations d'identification de sécurité temporaires pour envoyer des demandes à Amazon SNS. Les bibliothèques SDKs et API calculent la signature nécessaire à l'aide de ces informations d'identification pour authentifier vos demandes. Les demandes dont les informations d'identification ont expiré seront refusées par Amazon SNS.

Pour plus d'informations sur les informations d'identification de sécurité temporaires, reportez-vous aux sections Utilisation des rôles IAM et Fourniture d'accès aux utilisateurs authentifiés de manière externe (fédération d'identité) dans le guide de l'utilisateur IAM.

Exemple de requête HTTPS

L'exemple suivant montre comment authentifier une demande Amazon SNS à l'aide des informations de sécurité temporaires obtenues AWS Security Token Service auprès de (STS).

https://sns.us-east-2.amazonaws.com/
?Action=CreateTopic
&Name=My-Topic
&SignatureVersion=4
&SignatureMethod=AWS4-HMAC-SHA256
&Timestamp=2023-07-05T12:00:00Z
&X-Amz-Security-Token=SecurityTokenValue
&X-Amz-Date=20230705T120000Z
&X-Amz-Credential=<your-access-key-id>/20230705/us-east-2/sns/aws4_request
&X-Amz-SignedHeaders=host
&X-Amz-Signature=<signature-value>
Étapes pour authentifier la demande

  1. Obtenir des informations d'identification de sécurité temporaires : AWS STS à utiliser pour assumer un rôle ou obtenir des informations d'identification utilisateur fédérées. Cela vous fournira un identifiant de clé d'accès, une clé d'accès secrète et un jeton de sécurité.

  2. Élaborez la demande : incluez les paramètres requis pour votre action Amazon SNS (par exemple, CreateTopic) et assurez-vous d'utiliser le protocole HTTPS pour sécuriser les communications.

  3. Signez la demande — Utilisez le processus de AWS signature version 4 pour signer votre demande. Cela implique de créer une demande canonique string-to-sign, puis de calculer la signature. Pour en savoir plus sur AWS la version 4 de Signature, consultez la section Utiliser la signature de signature version 4 dans le guide de l'utilisateur d'Amazon EBS.

  4. Envoyer la demande : incluez-le X-Amz-Security-Token dans l'en-tête de votre demande pour transmettre les informations de sécurité temporaires à Amazon SNS.