Federação OIDC
Imagine que você esteja criando uma aplicação que acesse recursos da AWS, como o GitHub Actions, que usa fluxos de trabalho para acessar o Amazon S3 e o DynamoDB.
Ao usar esses fluxos de trabalho, você fará solicitações para os serviços da AWS que devem ser assinadas com uma chave de acesso da AWS. No entanto, é altamente recomendável não armazenar credenciais de longo prazo da AWS em aplicações externas à AWS. Em vez disso, configure suas aplicações para solicitar credenciais de segurança temporárias da AWS dinamicamente quando necessário usando a federação OIDC. As credenciais temporárias fornecidas são mapeadas em um perfil da AWS que têm apenas as permissões necessárias para executar as tarefas solicitadas pela aplicação.
Com a federação OIDC, não é necessário criar códigos de início de sessão personalizados nem gerenciar suas próprias identidades de usuários. Em vez disso, você pode usar o OIDC em aplicações, como o GitHub Actions ou qualquer outro IdP compatível com o OpenID Connect (OIDC)
Para a maioria dos cenários, recomendamos que você use o Amazon Cognito
nota
Os JSON Web Tokens (JWTs) emitidos pelos provedores de identidade do OpenID Connect (OIDC) contêm um prazo de validade na declaração exp
que especifica quando o token expira. O IAM fornece uma janela de cinco minutos além do tempo de expiração especificado no JWT para considerar a distorção do relógio, conforme permitido pelo padrão OpenID Connect (OIDC) Core 1.0
Tópicos
Recursos adicionais para federação OIDC
Os seguintes recursos podem ajudar você a saber mais sobre a federação OIDC:
-
Saiba como usar o OpenID Connect em seus fluxos de trabalho do GitHub em Configurar o OpenID Connect na Amazon Web Services
-
Amazon Cognito Identity
no Guia do Amplify Libraries para Android e Amazon Cognito Identity no Guia do Amplify Libraries para Swift. -
Automatizar perfis de identidade Web do AWS IAM baseadas no OpenID Connect com o Microsoft Entra ID
no blog da AWS Partner Network (APN) explica como autenticar processos automatizados em segundo plano ou aplicações executadas fora da AWS usando autorização OIDC máquina a máquina. -
O artigo Federação de identidades da Web com aplicações móveis
discute a federação OIDC e mostra um exemplo de como usar a federação OIDC para obter acesso ao conteúdo no Amazon S3.