Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sessioni di ruolo IAM con identità migliorate
[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) consente a un'applicazione di ottenere una sessione di ruolo IAM con identità migliorata. Le sessioni di ruolo con identità migliorata hanno un contesto di identità aggiunto che associa un identificatore utente a quello che richiamano. Servizio AWS Servizi AWS può cercare le appartenenze ai gruppi e gli attributi dell'utente in IAM Identity Center e utilizzarli per autorizzare l'accesso dell'utente alle risorse.
AWS le applicazioni ottengono sessioni di ruolo con identità migliorata effettuando richieste all'azione AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API e passando un'asserzione di contesto con l'identificatore dell'utente (`userId`) nel parametro della richiesta a. `ProvidedContexts` `AssumeRole` L'asserzione di contesto è ottenuta dal `idToken` reclamo ricevuto in risposta a una richiesta inviata a to. `SSO OIDC` [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Quando un' AWS applicazione utilizza una sessione di ruolo con identità avanzata per accedere a una risorsa, CloudTrail registra la `userId` sessione di avvio e l'azione intrapresa. Per ulteriori informazioni, consulta [Registrazione delle sessioni di ruolo IAM con funzionalità di identità ottimizzate](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Tipi di sessioni di ruolo IAM con identità migliorata](#types-identity-enhanced-iam-role-sessions)
+ [Registrazione delle sessioni di ruolo IAM con funzionalità di identità ottimizzate](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Tipi di sessioni di ruolo IAM con identità migliorata
AWS STS può creare due diversi tipi di sessioni di ruolo IAM con identità migliorata, a seconda dell'asserzione di contesto fornita alla richiesta. `AssumeRole` Le applicazioni che hanno ottenuto token Id da IAM Identity Center possono essere aggiunte `sts:identiy_context` (scelta consigliata) o `sts:audit_context` (supportata per la compatibilità con le versioni precedenti) alle sessioni di ruolo IAM. Una sessione di ruolo IAM con identità migliorata può avere solo una di queste asserzioni di contesto, non entrambe.
### Sessioni di ruolo IAM con identità migliorate e create con `sts:identity_context`
Quando una sessione di ruolo con identità migliorata contiene `sts:identity_context` le chiamate Servizio AWS determina se l'autorizzazione delle risorse si basa sull'utente rappresentato nella sessione di ruolo o se è basata sul ruolo. Servizi AWS che supportano l'autorizzazione basata sull'utente forniscono all'amministratore dell'applicazione i controlli per assegnare l'accesso all'utente o ai gruppi di cui l'utente è membro.
Servizi AWS che non supportano l'autorizzazione basata sull'utente ignorano il. `sts:identity_context` CloudTrail registra l'userID dell'utente IAM Identity Center con tutte le azioni intraprese dal ruolo. Per ulteriori informazioni, consulta [Registrazione delle sessioni di ruolo IAM con funzionalità di identità ottimizzate](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Per ottenere questo tipo di sessione di ruolo con identità avanzata da AWS STS, le applicazioni forniscono il valore del `sts:identity_context` campo nella richiesta utilizzando il parametro request. [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)`ProvidedContexts` Usa `arn:aws:iam::aws:contextProvider/IdentityCenter` come valore per. `ProviderArn`
Per ulteriori informazioni su come si comporta l'autorizzazione, consulta la documentazione per la ricezione Servizio AWS.
### Sessioni di ruolo IAM con identità avanzate create con `sts:audit_context`
In passato, `sts:audit_context` veniva utilizzato per consentire di Servizi AWS registrare l'identità dell'utente senza utilizzarla per prendere una decisione di autorizzazione. Servizi AWS sono ora in grado di utilizzare un unico contesto `sts:identity_context` - - per raggiungere questo obiettivo e per prendere decisioni di autorizzazione. Si consiglia di utilizzare `sts:identity_context` in tutte le nuove implementazioni la propagazione affidabile delle identità.
## Registrazione delle sessioni di ruolo IAM con funzionalità di identità ottimizzate
Quando viene effettuata una richiesta a una sessione di ruolo IAM basata sull' Servizio AWS utilizzo di un ruolo IAM con identità migliorata, l'IAM Identity Center `userId` dell'utente viene registrato nell'elemento. CloudTrail `OnBehalfOf` Il modo in cui gli eventi vengono registrati varia in base a CloudTrail . Servizio AWS Non tutti Servizi AWS registrano l'`onBehalfOf`elemento.
Di seguito è riportato un esempio di come viene registrata una richiesta effettuata a una sessione di Servizio AWS utilizzo di un ruolo con identità avanzata. CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```