Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Federasi OIDC
Bayangkan Anda membuat aplikasi yang mengakses AWS sumber daya, seperti GitHub Tindakan yang menggunakan alur kerja untuk mengakses Amazon S3 dan DynamoDB.
Saat Anda menggunakan alur kerja ini, Anda membuat permintaan ke AWS layanan yang harus ditandatangani dengan kunci AWS akses. Namun, kami **sangat** menyarankan agar Anda **tidak** menyimpan AWS kredensi jangka panjang dalam aplikasi di luar. AWS*Sebagai gantinya, konfigurasikan aplikasi Anda untuk meminta kredensi AWS keamanan sementara secara dinamis saat diperlukan menggunakan federasi OIDC.* Kredensi sementara yang disediakan memetakan ke AWS peran yang hanya memiliki izin yang diperlukan untuk melakukan tugas yang diperlukan oleh aplikasi.
Dengan federasi OIDC, Anda tidak perlu membuat kode masuk khusus atau mengelola identitas pengguna Anda sendiri. Sebagai gantinya, Anda dapat menggunakan OIDC dalam aplikasi, seperti GitHub Actions atau IdP yang kompatibel dengan OpenID [Connect (OIDC) lainnya, untuk mengautentikasi](http://openid.net/connect/). AWS Mereka menerima token otentikasi, yang dikenal sebagai JSON Web Token (JWT), dan kemudian menukar token itu untuk kredensi keamanan sementara di peta AWS itu ke peran IAM dengan izin untuk menggunakan sumber daya tertentu di Anda. Akun AWS Menggunakan IDP membantu Anda menjaga Akun AWS keamanan karena Anda tidak perlu menanamkan dan mendistribusikan kredensi keamanan jangka panjang dengan aplikasi Anda.
Federasi OIDC mendukung machine-to-machine otentikasi (seperti CI/CD saluran pipa, skrip otomatis, dan aplikasi tanpa server) dan otentikasi pengguna manusia. Untuk skenario otentikasi pengguna manusia di mana Anda perlu mengelola pendaftaran pengguna, masuk, dan profil pengguna, pertimbangkan untuk menggunakan [Amazon Cognito sebagai pialang identitas](https://aws.amazon.com/cognito/). Untuk detail tentang penggunaan Amazon Cognito dengan OIDC, lihat. [Amazon Cognito untuk aplikasi seluler](id_federation_common_scenarios.md#id_roles_providers_oidc_cognito)
**catatan**
JSON Web Tokens (JWTs) yang dikeluarkan oleh penyedia identitas OpenID Connect (OIDC) berisi waktu kedaluwarsa dalam klaim yang menentukan kapan token `exp` kedaluwarsa. IAM menyediakan jendela lima menit di luar waktu kedaluwarsa yang ditentukan dalam JWT untuk memperhitungkan kemiringan jam, seperti yang diizinkan oleh standar OpenID Connect ([OIDC](https://openid.net/specs/openid-connect-core-1_0.html)) Core 1.0. Ini berarti OIDC JWTs diterima oleh IAM setelah waktu kedaluwarsa tetapi dalam jendela lima menit ini diterima untuk evaluasi dan pemrosesan lebih lanjut.
**Topics**
+ [Sumber daya tambahan untuk federasi OIDC](#id_roles_providers_oidc_resources)
+ [Buat penyedia identitas OpenID Connect (OIDC) di IAM](id_roles_providers_create_oidc.md)
+ [Dapatkan cap jempol untuk penyedia identitas OpenID Connect](id_roles_providers_create_oidc_verify-thumbprint.md)
+ [Kontrol penyedia identitas untuk penyedia OIDC bersama](id_roles_providers_oidc_secure-by-default.md)
## Sumber daya tambahan untuk federasi OIDC
Sumber daya berikut dapat membantu Anda mempelajari lebih lanjut tentang federasi OIDC:
+ Menggunakan OpenID Connect dalam GitHub alur kerja Anda dengan Mengonfigurasi [OpenID](https://docs.github.com/en/actions/deployment/security-hardening-your-deployments/configuring-openid-connect-in-amazon-web-services) Connect di Amazon Web Services
+ [Identitas Amazon Cognito](https://docs.amplify.aws/lib/auth/advanced/q/platform/android/) *di *Amplify Libraries for Android Guide dan Amazon* [Cognito Identity di](https://docs.amplify.aws/lib/auth/advanced/q/platform/ios/) Amplify Libraries for Swift Guide.*
+ [Cara menggunakan ID eksternal saat memberikan akses ke AWS sumber daya Anda](https://aws.amazon.com/blogs/security/how-to-use-external-id-when-granting-access-to-your-aws-resources/) di *Blog AWS Keamanan* memberikan panduan tentang mengonfigurasi akses lintas akun dan federasi identitas eksternal dengan aman.