OIDC 페더레이션

워크플로를 사용하여 Amazon S3 및 DynamoDB에 액세스하는 GitHub Actions와 같은 AWS 리소스에 액세스하는 애플리케이션을 구축하는 상황을 가정해 보겠습니다.

이러한 워크플로를 사용할 때는 AWS 액세스 키로 서명해야 하는 AWS 서비스에 요청을 하게 됩니다. 하지만 AWS 자격 증명을 AWS 외부의 애플리케이션에 장기적으로 저장하지 않는 것을 강력하게 권장합니다. 대신 OIDC 페더레이션을 사용하여 필요할 때 임시 AWS 보안 자격 증명을 동적으로 요청하도록 애플리케이션을 구성합니다. 제공되는 임시 자격 증명은 애플리케이션에 필요한 작업을 수행하는 데 필요한 권한만 있는 AWS 역할에 매핑됩니다.

OIDC 페더레이션을 사용하면 사용자 정의 로그인 코드를 생성하거나 자신의 사용자 보안 인증을 관리할 필요가 없습니다. 대신, GitHub Actions 또는 기타 OIDC(OpenID Connect)와 호환되는 IdP와 같은 애플리케이션에서 OIDC를 사용하여 AWS에 인증할 수 있습니다. 이러한 애플리케이션은 JWT(JSON 웹 토큰)라는 인증 토큰을 수신한 후 이 토큰을 AWS에서 임시 보안 자격 증명으로 교환하여 AWS 계정의 특정 리소스를 사용할 수 있는 권한이 있는 IAM 역할에 매핑합니다. IdP를 사용하면 애플리케이션에 장기 보안 자격 증명을 포함하거나 배포할 필요가 없으므로 AWS 계정을(를) 안전하게 유지할 수 있습니다.

대부분의 시나리오에서 Amazon Cognito를 사용하는 것이 좋은데, Amazon Cognito가 자격 증명 브로커의 역할을 하고 페더레이션 작업을 대부분 수행하기 때문입니다. 자세한 정보는 모바일 앱용 Amazon Cognito 섹션을 참조하세요.

참고

OpenID Connect(OIDC) ID 제공업체에서 발행하는 JWT(JSON 웹 토큰)에는 토큰이 만료되는 시기를 지정하는 exp 클레임에 만료 시간이 포함되어 있습니다. IAM은 OpenID Connect(OIDC) Core 1.0 표준에서 허용하는 대로 클럭 스큐를 고려하여 JWT에 지정된 만료 시간 이후 5분의 기간을 제공합니다. 즉, 만료 시간 이후 5분 이내에 IAM이 수신한 OIDC JWT가 추가 평가 및 처리를 위해 승인됩니다.

주제

• OIDC 페더레이션 관련 추가 리소스

• IAM에서 OIDC(OpenID Connect) ID 공급자 생성

• OpenID Connect ID 공급자에 대한 지문 얻기

OIDC 페더레이션 관련 추가 리소스

다음 리소스는 OIDC 페더레이션에 대해 자세히 알아보는 데 도움이 됩니다.

• Amazon Web Services에서 OpenID Connect를 구성하여 GitHub 워크플로 내에서 OpenID Connect 사용

• Android용 Amplify 라이브러리 가이드의Amazon Cognito 아이덴티티와 Swift용 Amplify 라이브러리 가이드의 Amazon Cognito 아이덴티티를 참조하십시오.

• AWS Partner Network(APN) 블로그의 Microsoft Entra ID를 사용한 OpenID Connect 기반 AWS IAM 웹 ID 역할 자동화에서는 머신 간 OIDC 인증을 사용하여 자동화된 백그라운드 프로세스 또는 AWS 외부에서 실행되는 애플리케이션을 인증하는 방법을 안내합니다.

• 모바일 애플리케이션을 사용한 OIDC 페더레이션 문서에서는 웹 ID 페더레이션에 대해 설명하며 OIDC 페더레이션을 사용하여 Amazon S3의 콘텐츠에 액세스하는 방법의 예를 보여줍니다.