Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Assumer un rôle avec l'identité Web ou OpenID Connect pour l'authentification et les outils AWS SDKs
<a name="access-assume-role-web"></a>

Assumer un rôle implique l'utilisation d'un ensemble d'informations d'identification de sécurité temporaires pour accéder à AWS des ressources auxquelles vous n'auriez peut-être pas accès autrement. Ces informations d'identification temporaires incluent un ID de clé d'accès, une clé d'accès secrète et un jeton de sécurité. Pour en savoir plus sur les demandes d'API AWS Security Token Service (AWS STS), consultez la section [Actions](https://docs.aws.amazon.com/STS/latest/APIReference/API_Operations.html) de la *référence AWS Security Token Service d'API*. 

Pour configurer votre SDK ou votre outil afin qu'il assume un rôle, vous devez d'abord créer ou identifier un *rôle* spécifique à assumer. Les rôles IAM sont identifiés de manière unique par un rôle Amazon Resource Name ([ARN](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)). Les rôles établissent des relations de confiance avec une autre entité. L'entité de confiance qui utilise le rôle peut être un fournisseur d'identité Web, OpenID Connect (OIDC) ou une fédération SAML. Pour en savoir plus sur les rôles IAM, consultez la section [Méthodes pour assumer un rôle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) dans le Guide de l'*utilisateur IAM*. 

Une fois le rôle IAM configuré dans votre SDK, s'il est configuré pour faire confiance à votre fournisseur d'identité, vous pouvez configurer davantage votre SDK pour qu'il assume ce rôle afin d'obtenir des informations d'identification temporaires. AWS 

**Note**  
Il est recommandé d' AWS utiliser des points de terminaison régionaux dans la mesure du possible et de configurer votre[Région AWS](feature-region.md). 

## Fédérez avec l'identité Web ou OpenID Connect
<a name="webidentity"></a>

Vous pouvez utiliser les jetons Web JSON (JWTs) provenant de fournisseurs d'identité publics, tels que Login With Amazon, Facebook, Google pour obtenir des AWS informations d'identification temporaires`AssumeRoleWithWebIdentity`. Selon la manière dont ils sont utilisés, ils JWTs peuvent être appelés jetons d'identification ou jetons d'accès. Vous pouvez également utiliser des JWTs documents émis par des fournisseurs d'identité (IdPs) compatibles avec le protocole de découverte de l'OIDC, tels que EntraId ou PingFederate.

Si vous utilisez Amazon Elastic Kubernetes Service, cette fonctionnalité permet de spécifier différents rôles IAM pour chacun de vos comptes de service dans un cluster Amazon EKS. Cette fonctionnalité de Kubernetes est distribuée JWTs à vos pods, qui sont ensuite utilisés par ce fournisseur d'informations d'identification pour obtenir des informations d'identification temporaires. AWS Pour plus d'informations sur cette configuration Amazon EKS, consultez la section [Rôles IAM pour les comptes de service](https://docs.aws.amazon.com/eks/latest/userguide/iam-roles-for-service-accounts.html) dans le **guide de l'utilisateur Amazon EKS**. Toutefois, pour une option plus simple, nous vous recommandons d'utiliser [Amazon EKS Pod Identities](https://docs.aws.amazon.com/eks/latest/userguide/pod-identities.html) à la place si votre [SDK le prend en charge](feature-container-credentials.md#feature-container-credentials-sdk-compat).

### Étape 1 : configurer un fournisseur d'identité et un rôle IAM
<a name="webidentity_step1"></a>

Pour configurer la fédération avec un IdP externe, utilisez un fournisseur d'identité IAM pour fournir des AWS informations sur l'IdP externe et sa configuration. Cela établit la *confiance* entre votre Compte AWS IdP et l'IdP externe. Avant de configurer le SDK pour utiliser le jeton Web JSON (JWT) pour l'authentification, vous devez d'abord configurer le fournisseur d'identité (IdP) et le rôle IAM utilisé pour y accéder. Pour les configurer, consultez la section [Création d'un rôle pour l'identité Web ou OpenID Connect Federation (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-idp_oidc.html) dans le guide de l'utilisateur *IAM*.

### Étape 2 : Configuration du SDK ou de l'outil
<a name="webidentity_step2"></a>

Configurez le SDK ou l'outil pour utiliser un jeton Web JSON (JWT) à des AWS STS fins d'authentification. 

Lorsque vous le spécifiez dans un profil, le SDK ou l'outil lance automatiquement l'appel d' AWS STS [https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html)API correspondant pour vous. Pour récupérer et utiliser des informations d'identification temporaires à l'aide de la fédération d'identité Web, spécifiez les valeurs de configuration suivantes dans le AWS `config` fichier partagé. Pour plus de détails sur chacun de ces paramètres, consultez la [Paramètres du fournisseur d'informations d'identification du rôle](feature-assume-role-credentials.md#feature-assume-role-credentials-settings) section. 
+ `role_arn`- À partir du rôle IAM que vous avez créé à l'étape 1
+ `web_identity_token_file`- Depuis l'IdP externe
+ (Facultatif) `duration_seconds` 
+ (Facultatif) `role_session_name` 

Voici un exemple de configuration de `config` fichier partagé pour assumer un rôle avec une identité Web :

```
[profile web-identity]
role_arn=arn:aws:iam::123456789012:role/my-role-name
web_identity_token_file=/path/to/a/token
```

**Note**  
Pour les applications mobiles, pensez à utiliser Amazon Cognito. Amazon Cognito agit en tant que courtier d'identité et effectue une grande partie du travail de fédération à votre place. Cependant, le fournisseur d'identité Amazon Cognito n'est pas inclus dans les bibliothèques principales de SDKs and tools comme les autres fournisseurs d'identité. Pour accéder à l'API Amazon Cognito, incluez le client du service Amazon Cognito dans la version ou les bibliothèques de votre SDK ou outil. Pour une utilisation avec AWS SDKs, consultez les [exemples de code](https://docs.aws.amazon.com/cognito/latest/developerguide/service_code_examples.html) dans le manuel *Amazon Cognito Developer Guide*.

Pour plus de détails sur tous les paramètres du fournisseur d'informations d'identification d'assumer un rôle, consultez [Assumer le rôle de fournisseur d'informations d'identification](feature-assume-role-credentials.md) ce guide.