As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Sessões de perfil do IAM aprimoradas com identidade
O [AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html) (STS) permite que uma aplicação obtenha uma sessão de perfil do IAM de identidade avançada. As sessões de função aprimorada com identidade têm um contexto de identidade adicional que carrega um identificador de usuário para AWS service (Serviço da AWS) aquele que ela chama. Serviços da AWS pode pesquisar as associações de grupo e os atributos do usuário no IAM Identity Center e usá-los para autorizar o acesso do usuário aos recursos.
AWS os aplicativos obtêm sessões de função aprimoradas com identidade fazendo solicitações à ação da AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API e transmitindo uma declaração de contexto com o identificador do usuário (`userId`) no `ProvidedContexts` parâmetro da solicitação para. `AssumeRole` A declaração de contexto é obtida da reivindicação `idToken` recebida em resposta a uma solicitação a `SSO OIDC` para [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html). Quando um AWS aplicativo usa uma sessão de função com identidade aprimorada para acessar um recurso, CloudTrail registra `userId` a sessão inicial e a ação realizada. Para obter mais informações, consulte [Registro em log de sessão de perfil do IAM aprimorado com identidade](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
**Topics**
+ [Tipos de sessões de perfil do IAM aprimoradas com identidade](#types-identity-enhanced-iam-role-sessions)
+ [Registro em log de sessão de perfil do IAM aprimorado com identidade](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)
## Tipos de sessões de perfil do IAM aprimoradas com identidade
AWS STS pode criar dois tipos diferentes de sessões de função do IAM com identidade aprimorada, dependendo da afirmação de contexto fornecida à solicitação. `AssumeRole` As aplicações que obtiveram tokens de ID do IAM Identity Center podem adicionar `sts:identiy_context` (recomendado) ou `sts:audit_context` (compatível em versões anteriores) às sessões de perfil do IAM. Uma sessão de perfil do IAM de identidade avançada só pode ter uma dessas asserções de contexto, não ambas.
### Sessões de perfil do IAM aprimoradas com identidade criadas com o `sts:identity_context`
Quando uma sessão de perfil de identidade avançada contém `sts:identity_context`, o AWS service (Serviço da AWS) chamado determina se a autorização do recurso é baseada no usuário representado na sessão de perfil ou se é baseada no perfil. O Serviços da AWS que oferece suporte à autorização baseada no usuário fornece ao administrador da aplicação controles para atribuir acesso ao usuário ou aos grupos dos quais o usuário é membro.
Serviços da AWS que não oferecem suporte à autorização baseada no usuário, desconsidere o. `sts:identity_context` CloudTrail registra o UserID do usuário do IAM Identity Center com todas as ações realizadas pela função. Para obter mais informações, consulte [Registro em log de sessão de perfil do IAM aprimorado com identidade](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).
Para obter esse tipo de sessão de função com identidade aprimorada AWS STS, os aplicativos fornecem o valor do `sts:identity_context` campo na [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)solicitação usando o parâmetro de `ProvidedContexts` solicitação. Use `arn:aws:iam::aws:contextProvider/IdentityCenter` como valor de `ProviderArn`.
Para obter mais informações sobre como a autorização se comporta, consulte a documentação do recebimento. AWS service (Serviço da AWS)
### Sessões de perfil do IAM aprimoradas com identidade criadas com o `sts:audit_context`
No passado, `sts:audit_context` era usado para permitir registrar Serviços da AWS a identidade do usuário sem usá-la para tomar uma decisão de autorização. Serviços da AWS agora são capazes de usar um único contexto - `sts:identity_context` - para conseguir isso, bem como para tomar decisões de autorização. Recomendamos usar `sts:identity_context` em todas as novas implantações de propagação de identidade confiável.
## Registro em log de sessão de perfil do IAM aprimorado com identidade
Quando uma solicitação é feita para AWS service (Serviço da AWS) usar uma sessão de função do IAM com identidade aprimorada, o IAM Identity Center do usuário `userId` é conectado ao elemento CloudTrail . `OnBehalfOf` A forma como os eventos são registrados CloudTrail varia de acordo com o. AWS service (Serviço da AWS) Nem todos os Serviços da AWS registram em log o elemento `onBehalfOf`.
Veja a seguir um exemplo de como uma solicitação feita a uma AWS service (Serviço da AWS) sessão de função com identidade aprimorada é registrada. CloudTrail
```
"userIdentity": {
"type": "AssumedRole",
"principalId": "AROAEXAMPLE:MyRole",
"arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
"accountId": "111111111111",
"accessKeyId": "ASIAEXAMPLE",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "AROAEXAMPLE",
"arn": "arn:aws:iam::111111111111:role/MyRole",
"accountId": "111111111111",
"userName": "MyRole"
},
"attributes": {
"creationDate": "2023-12-12T13:55:22Z",
"mfaAuthenticated": "false"
}
},
"onBehalfOf": {
"userId": "11111111-1111-1111-1111-1111111111",
"identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
}
}
```