Federação OIDC - AWS Identity and Access Management

Federação OIDC

Imagine que você esteja criando uma aplicação que acesse recursos da AWS, como o GitHub Actions, que usa fluxos de trabalho para acessar o Amazon S3 e o DynamoDB.

Ao usar esses fluxos de trabalho, você fará solicitações para os serviços da AWS que devem ser assinadas com uma chave de acesso da AWS. No entanto, é altamente recomendável não armazenar credenciais de longo prazo da AWS em aplicações externas à AWS. Em vez disso, configure suas aplicações para solicitar credenciais de segurança temporárias da AWS dinamicamente quando necessário usando a federação OIDC. As credenciais temporárias fornecidas são mapeadas em um perfil da AWS que têm apenas as permissões necessárias para executar as tarefas solicitadas pela aplicação.

Com a federação OIDC, não é necessário criar códigos de início de sessão personalizados nem gerenciar suas próprias identidades de usuários. Em vez disso, você pode usar o OIDC em aplicações, como o GitHub Actions ou qualquer outro IdP compatível com o OpenID Connect (OIDC), para autenticar com o AWS. Elas recebem um token de autenticação, conhecido como JSON Web Token (JWT) e, em seguida, trocam esse token por credenciais de segurança temporárias na AWS que são mapeadas em um perfil do IAM com permissões para usar recursos específicos na sua Conta da AWS. O uso de um IdP ajuda você a manter sua Conta da AWS segura, pois não é necessário incorporar e distribuir credenciais de segurança de longo prazo com sua aplicação.

Para a maioria dos cenários, recomendamos que você use o Amazon Cognito porque ele atua como um agente de identidades e faz grande parte do trabalho de federação para você. Para obter detalhes, consulte a seção a seguir, Amazon Cognito para aplicativos móveis.

nota

Os JSON Web Tokens (JWTs) emitidos pelos provedores de identidade do OpenID Connect (OIDC) contêm um prazo de validade na declaração exp que especifica quando o token expira. O IAM fornece uma janela de cinco minutos além do tempo de expiração especificado no JWT para considerar a distorção do relógio, conforme permitido pelo padrão OpenID Connect (OIDC) Core 1.0. Isso significa que os JWTs do OIDC recebidos pelo IAM após o prazo de expiração, mas dentro dessa janela de cinco minutos, são aceitos para avaliação e processamento adicionais.

Recursos adicionais para federação OIDC

Os seguintes recursos podem ajudar você a saber mais sobre a federação OIDC: