OIDC联邦 - AWS 身分和存取權管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

OIDC联邦

假設您正在建立可存取 AWS 資源的應用程式,例如使用工 GitHub作流程存取 Amazon S3 和 DynamoDB 的動作。

當您使用這些工作流程時,您會向必須使用 AWS 存取金鑰簽署的 AWS 服務提出要求。不過,我們強烈建議您要在外部的應用程式中長期儲存 AWS 認證 AWS。請改為設定應用程式,在需要時使用OIDC聯合來動態要求臨時 AWS 安全登入資料。提供的臨時認證對應至僅具有執行應用程式所需工作所需權限的 AWS 角色。

透過同OIDC盟,您不需要建立自訂登入程式碼或管理自己的使用者身分識別。相反地,您可以OIDC在應用程式中使用,例如 GitHub 「動作」或任何其他與 OpenID Connect (OIDC) 相容的 IdP,以進行驗證。 AWS他們收到身份驗證令牌,稱為 JSON Web Token (JWT),然後將該令牌交換為 AWS 該對應中的臨時安全憑據的IAM角色,以使其具有在 AWS 帳戶. 使用 IdP 可協助您保護安 AWS 帳戶 全,因為您不需要在應用程式中內嵌和散佈長期安全登入資料。

在大多數情況下,建議您使用 Amazon Cognito,因為它可以充當身分經紀人,並為您執行許多聯合工作。如需詳細資訊,請參閱下列章節:Amazon Cognito 動應用程式

注意

JSONOpenID Connect (JWTs) 身份提供程序發行的 Web 令牌(OIDC)在exp聲明中包含到期時間,該時間指定令牌何時到期。IAM根據 OpenID Connect (OIDC) 核心 1.0 標準所允許,提供超出用於考慮時鐘偏差中指定的到期時間的五分鐘時段。JWT這意味著在OIDCJWTs到期時間IAM之後,但在這五分鐘的時間內收到,以進行進一步的評估和處理。

OIDC同盟的其他資源

下列資源可協助您進一步了解OIDC同盟: