身份增强型 IAM 角色会话 - Amazon IAM Identity Center
身份增强型 IAM 角色会话的类型身份增强型 IAM 角色会话记录
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

身份增强型 IAM 角色会话

Amazon Security Token Service(STS) 使应用程序能够获得身份增强型 IAM 角色会话。身份增强型角色会话具有附加的身份上下文,可将用户标识符带到它调用 Amazon Web Services 服务 的。 Amazon Web Services 服务 可以在 IAM Identity Center 中查找用户的群组成员资格和属性,并使用它们来授权用户访问资源。

Amazon 应用程序通过向 Amazon STS AssumeRoleAPI 操作发出请求并在请求的ProvidedContexts参数中传递带有用户标识符 (userId) 的上下文断言来获取身份增强型角色会话。AssumeRole上下文断言是从应向的请求而收到的idToken索赔中获得的SSO OIDCCreateTokenWithIAM当 Amazon 应用程序使用身份增强型角色会话访问资源时,会 CloudTrail 记录userId、发起的会话和采取的操作。有关更多信息,请参阅 身份增强型 IAM 角色会话记录

身份增强型 IAM 角色会话的类型

Amazon STS 根据向请求提供的上下文断言,可以创建两种不同类型的身份增强型 IAM 角色会话。AssumeRole从 IAM Identity Center 获取 ID 令牌的应用程序可以向 IAM 角色会话添加 sts:identiy_contextsts:audit_context(推荐)或(支持向后兼容)。身份增强型 IAM 角色会话只能采用这些上下文断言中的一个,不能同时采用两者。

通过 sts:identity_context 创建的身份增强型 IAM 角色会话

当身份增强型角色会话包含sts:identity_context被调用者时,可 Amazon Web Services 服务 决定资源授权是基于角色会话中代表的用户,还是基于角色。 Amazon Web Services 服务 支持基于用户的授权的,可为应用程序管理员提供向用户或用户所属组分配访问权限的控制。

Amazon Web Services 服务 不支持基于用户的授权的,请忽略。sts:identity_context CloudTrail 记录 IAM Identity Center 用户的 userId 以及该角色采取的所有操作。有关更多信息,请参阅 身份增强型 IAM 角色会话记录

要从中获取此类身份增强型角色会话 Amazon STS,应用程序使用AssumeRole请求参数在请求中提供该sts:identity_context字段的ProvidedContexts值。使用 arn:aws:iam::aws:contextProvider/IdentityCenter 作为 ProviderArn 的值。

有关授权行为方式的更多信息,请参阅接收 Amazon Web Services 服务端文档。

通过 sts:audit_context 创建的身份增强型 IAM 角色会话

过去sts:audit_context,用于启用 Amazon Web Services 服务 记录用户身份,而不用它来做出授权决定。 Amazon Web Services 服务 现在能够使用单一上下文-sts:identity_context-来实现这一目标并做出授权决定。我们建议sts:identity_context在所有新的部署中使用可信身份传播。

身份增强型 IAM 角色会话记录

Amazon Web Services 服务 使用身份增强型 IAM 角色会话向发出请求时,用户的 IAM Identity Cen userId ter 将被记录到元素 CloudTrail 中OnBehalfOf。在的事件的记录方式 CloudTrail 因而异 Amazon Web Services 服务。并非所有 Amazon Web Services 服务 都会记录 onBehalfOf 元素。

以下示例说明如何登录 Amazon Web Services 服务 使用身份增强型角色会话的发出的请求。 CloudTrail

"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}