Dynamodb 简明教程

DynamoDB - Web Identity Federation

Web Identity Federation 允许你简化对大型用户组进行的身份验证和授权。你可以跳过创建单独帐户,并要求用户登录身份提供程序以获取临时证书或令牌。它使用 AWS Security Token Service (STS) 来管理证书。应用程序使用这些令牌与服务进行交互。

Web Identity Federation 还支持其他身份提供程序,如亚马逊、Google 和 Facebook。

Function − 在使用中,Web Identity Federation 首先调用身份提供程序进行用户和应用程序身份验证,然后提供程序返回令牌。这会导致应用程序调用 AWS STS 并传递令牌作为输入。STS 授权该应用程序并授予其临时访问证书,这允许应用程序使用 IAM 身份并基于策略访问资源。

Implementing Web Identity Federation

在使用前,你必须执行以下三个步骤 −

  1. 使用支持的第三方身份提供程序作为开发人员进行注册。

  2. 使用该提供程序注册你的应用程序,以获取应用程序 ID。

  3. 创建单一或多个 IAM 身份,包括策略附件。你必须为每个提供程序使用一个应用程序的身份。

预先设置一个 IAM 身份以使用 Web Identity Federation。然后你的应用程序必须执行三步流程 −

  1. Authentication

  2. Credential acquisition

  3. Resource Access

在第一步中,你的应用程序使用它自己接口调用提供程序,然后管理令牌处理过程。

然后,步骤2管理令牌,要求您的应用程序向AWS STS发送请求。该请求包含第一个令牌、提供应用ID和IAM角色的ARN。STS提供在一定时间后到期的凭据设置。

在最后一步中,您的应用程序收到来自STS的答复,其中包含DynamoDB资源的访问信息。它由访问凭证、到期时间、角色和角色ID组成。