DynamoDB - Web Identity Federation

Web Identity Federation ช่วยให้คุณลดความซับซ้อนในการพิสูจน์ตัวตนและการอนุญาตสำหรับกลุ่มผู้ใช้ขนาดใหญ่ คุณสามารถข้ามการสร้างบัญชีแต่ละบัญชีและกำหนดให้ผู้ใช้ต้องเข้าสู่ระบบผู้ให้บริการข้อมูลประจำตัวเพื่อรับข้อมูลรับรองหรือโทเค็นชั่วคราว ใช้ AWS Security Token Service (STS) เพื่อจัดการข้อมูลรับรอง แอปพลิเคชันใช้โทเค็นเหล่านี้เพื่อโต้ตอบกับบริการ

Web Identity Federation ยังสนับสนุนผู้ให้บริการข้อมูลประจำตัวอื่น ๆ เช่น - Amazon, Google และ Facebook

Function- ในการใช้งาน Web Identity Federation จะเรียกผู้ให้บริการข้อมูลประจำตัวสำหรับการตรวจสอบผู้ใช้และแอปก่อนและผู้ให้บริการจะส่งคืนโทเค็น ส่งผลให้แอปเรียก AWS STS และส่งโทเค็นเพื่อป้อนข้อมูล STS อนุญาตแอปและให้สิทธิ์การเข้าถึงชั่วคราวซึ่งอนุญาตให้แอปใช้บทบาท IAM และเข้าถึงทรัพยากรตามนโยบาย

การติดตั้ง Web Identity Federation

คุณต้องดำเนินการสามขั้นตอนต่อไปนี้ก่อนใช้งาน -

  • ใช้ผู้ให้บริการข้อมูลประจำตัวบุคคลที่สามที่รองรับเพื่อลงทะเบียนเป็นนักพัฒนา

  • ลงทะเบียนแอปพลิเคชันของคุณกับผู้ให้บริการเพื่อรับรหัสแอป

  • สร้างบทบาท IAM เดียวหรือหลายบทบาทรวมทั้งเอกสารแนบของนโยบาย คุณต้องใช้บทบาทต่อผู้ให้บริการต่อแอป

สมมติว่าหนึ่งในบทบาท IAM ของคุณเพื่อใช้ Web Identity Federation จากนั้นแอปของคุณจะต้องดำเนินการสามขั้นตอน -

  • Authentication
  • การได้มาซึ่งข้อมูลรับรอง
  • การเข้าถึงทรัพยากร

ในขั้นตอนแรกแอปของคุณจะใช้อินเทอร์เฟซของตัวเองเพื่อโทรหาผู้ให้บริการจากนั้นจัดการกระบวนการโทเค็น

จากนั้นขั้นตอนที่สองจัดการโทเค็นและกำหนดให้แอปของคุณส่งไฟล์ AssumeRoleWithWebIdentityร้องขอไปยัง AWS STS คำขอนี้มีโทเค็นแรกรหัสแอปผู้ให้บริการและ ARN ของบทบาท IAM STS ให้ข้อมูลรับรองที่กำหนดให้หมดอายุหลังจากช่วงเวลาหนึ่ง

ในขั้นตอนสุดท้ายแอปของคุณจะได้รับการตอบกลับจาก STS ซึ่งมีข้อมูลการเข้าถึงสำหรับทรัพยากร DynamoDB ประกอบด้วยข้อมูลรับรองการเข้าถึงเวลาหมดอายุบทบาทและ ID บทบาท