Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM-Rollensitzungen mit verbesserter Identität
Das [AWS -Security-Token-Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) ermöglicht es einer Anwendung, eine identitätserweiterte IAM-Rollensitzung abzurufen. Rollensitzungen mit erweiterter Identität verfügen über einen zusätzlichen Identitätskontext, der dem aufgerufenen eine Benutzerkennung beifügt. AWS-Service AWS-Services kann die Gruppenmitgliedschaften und Attribute des Benutzers in IAM Identity Center nachschlagen und sie verwenden, um den Zugriff des Benutzers auf Ressourcen zu autorisieren.
AWS Anwendungen rufen Rollensitzungen mit erweiterter Identität ab, indem sie Anfragen an die AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API-Aktion stellen und eine Kontext-Assertion mit der Benutzerkennung (`userId`) im Parameter der `ProvidedContexts` Anfrage an übergeben. `AssumeRole` Die Kontext-Assertion wird aus dem `idToken` Anspruch abgerufen, der als Antwort auf eine Anfrage an eingegangen ist. `SSO OIDC` [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Wenn eine AWS Anwendung eine Rollensitzung mit erweiterter Identität für den Zugriff auf eine Ressource verwendet, werden die `userId` initiierende Sitzung und die ausgeführte Aktion CloudTrail protokolliert. Weitere Informationen finden Sie unter [Protokollierung von IAM-Rollensitzungen mit verbesserter Identität](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Arten von IAM-Rollensitzungen mit erweiterter Identität](#types-identity-enhanced-iam-role-sessions)
+ [Protokollierung von IAM-Rollensitzungen mit verbesserter Identität](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Arten von IAM-Rollensitzungen mit erweiterter Identität
AWS STS kann zwei verschiedene Typen von IAM-Rollensitzungen mit erweiterter Identität erstellen, je nachdem, welche Kontext-Assertion in der Anfrage angegeben wurde. `AssumeRole` Anwendungen, die ID-Token von IAM Identity Center erhalten haben, können IAM-Rollensitzungen hinzufügen `sts:identiy_context` (empfohlen) oder `sts:audit_context` (aus Gründen der Abwärtskompatibilität unterstützt). Eine IAM-Rollensitzung mit erweiterter Identität kann nur eine dieser Kontext-Assertionen haben, nicht beide.
### IAM-Rollensitzungen mit verbesserter Identität, erstellt mit `sts:identity_context`
Wenn eine Rollensitzung mit erweiterter Identität `sts:identity_context` die aufgerufenen enthält, wird AWS-Service bestimmt, ob die Ressourcenautorisierung auf dem Benutzer basiert, der in der Rollensitzung vertreten ist, oder ob sie auf der Rolle basiert. AWS-Services Diese unterstützen die benutzerbasierte Autorisierung und bieten dem Administrator der Anwendung die Möglichkeit, dem Benutzer oder Gruppen, denen der Benutzer angehört, Zugriff zuzuweisen.
AWS-Services die keine benutzerbasierte Autorisierung unterstützen, ignorieren die. `sts:identity_context` CloudTrail protokolliert die userId des IAM Identity Center-Benutzers mit allen von der Rolle ausgeführten Aktionen. Weitere Informationen finden Sie unter [Protokollierung von IAM-Rollensitzungen mit verbesserter Identität](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Um diese Art von Rollensitzung mit erweiterter Identität abzurufen AWS STS, stellen Anwendungen den Wert des `sts:identity_context` Felds in der [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)Anfrage mithilfe des Anforderungsparameters bereit. `ProvidedContexts` Verwenden Sie `arn:aws:iam::aws:contextProvider/IdentityCenter` ihn als Wert für. `ProviderArn`
Weitere Informationen zum Verhalten der Autorisierung finden Sie in der Dokumentation zum Empfang AWS-Service.
### IAM-Rollensitzungen mit verbesserter Identität, erstellt mit `sts:audit_context`
In der Vergangenheit `sts:audit_context` wurde es verwendet, um die Benutzeridentität AWS-Services zu protokollieren, ohne sie für eine Autorisierungsentscheidung zu verwenden. AWS-Services sind nun in der Lage, einen einzigen Kontext zu `sts:identity_context` verwenden, um dies zu erreichen und Autorisierungsentscheidungen zu treffen. Wir empfehlen die Verwendung von Trusted Identity Propagation `sts:identity_context` in allen neuen Bereitstellungen.
## Protokollierung von IAM-Rollensitzungen mit verbesserter Identität
Wenn eine Anfrage an eine Sitzung gestellt wird, die eine identitätserweiterte IAM-Rollensitzung AWS-Service verwendet, wird das IAM Identity Center `userId` des Benutzers im Element angemeldet. CloudTrail `OnBehalfOf` Die Art und Weise, wie Ereignisse angemeldet werden, CloudTrail hängt vom ab. AWS-Service Nicht alle AWS-Services protokollieren das `onBehalfOf` Element.
Im Folgenden finden Sie ein Beispiel dafür, wie eine Anfrage an eine Sitzung AWS-Service mit erweiterter Identität gesendet wird, angemeldet wird. CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```