IAM + JWT = IAM Outbound Identity Federation 💪
https://aws.amazon.com/blogs/aws/simplify-access-to-external-services-using-aws-iam-outbound-identity-federation/
С помощью IAM теперь можно логиниться в любой другой сервис, поддерживающий JWT.
Для этого нужно включить Outbound Identity Federation в IAM и в результате STS сервис в аккаунте, где это включено, будет обслуживать его уникальный эндпоинт и стандартные
По умолчанию STS генерит JWT токен, в котором есть
Но можно добавить организацию, тэги и прочее:
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_outbound_token_claims.html
Итого, нонче можно использовать IAM в любом JWT поддерживающем сервисе, что реально круто. 👍
#IAM #JWT
https://aws.amazon.com/blogs/aws/simplify-access-to-external-services-using-aws-iam-outbound-identity-federation/
С помощью IAM теперь можно логиниться в любой другой сервис, поддерживающий JWT.
Для этого нужно включить Outbound Identity Federation в IAM и в результате STS сервис в аккаунте, где это включено, будет обслуживать его уникальный эндпоинт и стандартные
/.well-known/openid-configuration и /.well-known/jwks.json.По умолчанию STS генерит JWT токен, в котором есть
claims для аккаунта, региона и роли:{
"aud": "my-app",
"sub": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole",
"https://sts.amazonaws.com/": {
"aws_account": "ACCOUNT_ID",
"source_region": "us-east-1",
"principal_id": "arn:aws:iam::ACCOUNT_ID:role/MyAppRole"
},
"iss": "https://abc12345-def4-5678-90ab-cdef12345678.tokens.sts.global.api.aws",
"exp": 1759786941,
"iat": 1759786041,
"jti": "5488e298-0a47-4c5b-80d7-6b4ab8a4cede"
}Но можно добавить организацию, тэги и прочее:
https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_outbound_token_claims.html
Итого, нонче можно использовать IAM в любом JWT поддерживающем сервисе, что реально круто. 👍
#IAM #JWT
🔥9👍2