Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Sesi peran IAM yang ditingkatkan identitas
<a name="trustedidentitypropagation-identity-enhanced-iam-role-sessions"></a>

[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) memungkinkan aplikasi untuk mendapatkan sesi peran IAM yang ditingkatkan identitas. Sesi peran yang disempurnakan identitas memiliki konteks identitas tambahan yang membawa pengenal pengguna ke panggilan yang dipanggilnya. Layanan AWS Layanan AWS dapat mencari keanggotaan grup dan atribut pengguna di IAM Identity Center dan menggunakannya untuk mengotorisasi akses pengguna ke sumber daya.

AWS aplikasi memperoleh sesi peran yang disempurnakan identitas dengan membuat permintaan ke tindakan AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API dan meneruskan pernyataan konteks dengan identifier (`userId`) pengguna dalam parameter permintaan ke`ProvidedContexts`. `AssumeRole` Pernyataan konteks diperoleh dari `idToken` klaim yang diterima sebagai tanggapan atas permintaan untuk`SSO OIDC`. [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Saat AWS aplikasi menggunakan sesi peran yang disempurnakan identitas untuk mengakses sumber daya, CloudTrail mencatat, sesi inisiasi`userId`, dan tindakan yang diambil. Untuk informasi selengkapnya, lihat [Pencatatan sesi peran IAM yang ditingkatkan identitas](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

**Topics**
+ [Jenis sesi peran IAM yang ditingkatkan identitas](#types-identity-enhanced-iam-role-sessions)
+ [Pencatatan sesi peran IAM yang ditingkatkan identitas](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)

## Jenis sesi peran IAM yang ditingkatkan identitas
<a name="types-identity-enhanced-iam-role-sessions"></a>

AWS STS dapat membuat dua jenis sesi peran IAM yang ditingkatkan identitas, tergantung pada pernyataan konteks yang diberikan pada permintaan. `AssumeRole` Aplikasi yang telah memperoleh token Id dari IAM Identity Center dapat menambahkan `sts:identiy_context` (disarankan) atau `sts:audit_context` (Didukung untuk kompatibilitas mundur) ke sesi peran IAM. Sesi peran IAM yang ditingkatkan identitas hanya dapat memiliki satu dari pernyataan konteks ini, bukan keduanya.

### Sesi peran IAM yang ditingkatkan identitas dibuat dengan `sts:identity_context`
<a name="role_session_sts_identity_context"></a>

Ketika sesi peran yang ditingkatkan identitas berisi panggilan `sts:identity_context` Layanan AWS menentukan apakah otorisasi sumber daya didasarkan pada pengguna yang diwakili dalam sesi peran, atau jika itu didasarkan pada peran. Layanan AWS yang mendukung otorisasi berbasis pengguna memberikan administrator aplikasi dengan kontrol untuk menetapkan akses ke pengguna atau ke grup di mana pengguna menjadi anggota. 

Layanan AWS yang tidak mendukung otorisasi berbasis pengguna mengabaikan. `sts:identity_context` CloudTrail mencatat userID pengguna Pusat Identitas IAM dengan semua tindakan yang diambil oleh peran tersebut. Untuk informasi selengkapnya, lihat [Pencatatan sesi peran IAM yang ditingkatkan identitas](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

Untuk mendapatkan jenis sesi peran yang ditingkatkan identitas ini AWS STS, aplikasi memberikan nilai `sts:identity_context` bidang dalam [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)permintaan menggunakan parameter permintaan. `ProvidedContexts` Gunakan `arn:aws:iam::aws:contextProvider/IdentityCenter` sebagai nilai untuk`ProviderArn`.

Untuk informasi selengkapnya tentang bagaimana otorisasi berperilaku, lihat dokumentasi untuk penerima. Layanan AWS

### Sesi peran IAM yang ditingkatkan identitas dibuat dengan `sts:audit_context`
<a name="role_session_sts_audit_context"></a>

Di masa `sts:audit_context` lalu, digunakan untuk memungkinkan Layanan AWS untuk mencatat identitas pengguna tanpa menggunakannya untuk membuat keputusan otorisasi. Layanan AWS sekarang dapat menggunakan satu konteks - `sts:identity_context` - untuk mencapai hal ini serta untuk membuat keputusan otorisasi. Kami merekomendasikan penggunaan `sts:identity_context` di semua penyebaran baru propagasi identitas tepercaya.

## Pencatatan sesi peran IAM yang ditingkatkan identitas
<a name="trustedidentitypropagation-identity-enhanced-iam-role-session-logging"></a>

Ketika permintaan dibuat untuk Layanan AWS menggunakan sesi peran IAM yang disempurnakan identitas, Pusat Identitas IAM pengguna `userId` dicatat dalam elemen. CloudTrail `OnBehalfOf` Cara di mana peristiwa login CloudTrail bervariasi berdasarkan Layanan AWS. Tidak semua Layanan AWS mencatat `onBehalfOf` elemen.

Berikut ini adalah contoh bagaimana permintaan yang dibuat untuk Layanan AWS menggunakan sesi peran yang disempurnakan identitas masuk. CloudTrail

```
"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}
```