

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Identity-enhanced Sesi peran IAM
<a name="trustedidentitypropagation-identity-enhanced-iam-role-sessions"></a>

[AWS Security Token Service](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_sts-comparison.html)(STS) memungkinkan aplikasi untuk mendapatkan sesi peran IAM yang ditingkatkan identitas. Identity-enhanced sesi peran memiliki konteks identitas tambahan yang membawa pengenal pengguna ke Layanan AWS yang dipanggilnya. Layanan AWS dapat mencari keanggotaan grup dan atribut pengguna di IAM Identity Center dan menggunakannya untuk mengotorisasi akses pengguna ke sumber daya.

AWS aplikasi memperoleh sesi peran yang disempurnakan identitas dengan membuat permintaan ke tindakan AWS STS [AssumeRole](https://docs.aws.amazon.com//STS/latest/APIReference/API_AssumeRole.html)API dan meneruskan pernyataan konteks dengan identifier (`userId`) pengguna dalam parameter permintaan ke`ProvidedContexts`. `AssumeRole` Pernyataan konteks diperoleh dari `idToken` klaim yang diterima sebagai tanggapan atas permintaan untuk`SSO OIDC`. [https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/API_CreateTokenWithIAM.html) Saat AWS aplikasi menggunakan sesi peran yang disempurnakan identitas untuk mengakses sumber daya, CloudTrail mencatat, sesi inisiasi`userId`, dan tindakan yang diambil. Untuk informasi selengkapnya, lihat [Identity-enhanced Pencatatan sesi peran IAM](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

**Topics**
+ [Jenis sesi peran IAM yang ditingkatkan identitas](#types-identity-enhanced-iam-role-sessions)
+ [Identity-enhanced Pencatatan sesi peran IAM](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging)

## Jenis sesi peran IAM yang ditingkatkan identitas
<a name="types-identity-enhanced-iam-role-sessions"></a>

AWS STS dapat membuat dua jenis sesi peran IAM yang ditingkatkan identitas, tergantung pada pernyataan konteks yang diberikan pada permintaan. `AssumeRole` Aplikasi yang telah memperoleh token Id dari IAM Identity Center dapat menambahkan `sts:identiy_context` (disarankan) atau `sts:audit_context` (Didukung untuk kompatibilitas mundur) ke sesi peran IAM. Sesi peran IAM yang ditingkatkan identitas hanya dapat memiliki satu dari pernyataan konteks ini, bukan keduanya.

### Identity-enhanced `Sesi peran IAM dibuat dengan sts:identity_context`
<a name="role_session_sts_identity_context"></a>

Ketika sesi peran yang ditingkatkan identitas berisi panggilan `sts:identity_context` Layanan AWS menentukan apakah otorisasi sumber daya didasarkan pada pengguna yang diwakili dalam sesi peran, atau jika didasarkan pada peran. Layanan AWS yang mendukung otorisasi berbasis pengguna memberikan administrator aplikasi dengan kontrol untuk menetapkan akses ke pengguna atau ke grup di mana pengguna menjadi anggota. 

Layanan AWS yang tidak mendukung otorisasi berbasis pengguna mengabaikan. `sts:identity_context` CloudTrail mencatat userID pengguna Pusat Identitas IAM dengan semua tindakan yang diambil oleh peran tersebut. Untuk informasi selengkapnya, lihat [Identity-enhanced Pencatatan sesi peran IAM](#trustedidentitypropagation-identity-enhanced-iam-role-session-logging).

Untuk mendapatkan jenis sesi peran yang ditingkatkan identitas ini AWS STS, aplikasi memberikan nilai `sts:identity_context` bidang dalam [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)permintaan menggunakan parameter permintaan. `ProvidedContexts` Gunakan `arn:aws:iam::aws:contextProvider/IdentityCenter` sebagai nilai untuk`ProviderArn`.

Untuk informasi selengkapnya tentang bagaimana otorisasi berperilaku, lihat dokumentasi untuk penerima. Layanan AWS

### Identity-enhanced `Sesi peran IAM dibuat dengan sts:audit_context`
<a name="role_session_sts_audit_context"></a>

Di masa `sts:audit_context` lalu, digunakan untuk memungkinkan Layanan AWS untuk mencatat identitas pengguna tanpa menggunakannya untuk membuat keputusan otorisasi. Layanan AWS sekarang dapat menggunakan satu konteks - `sts:identity_context` - untuk mencapai hal ini serta untuk membuat keputusan otorisasi. Kami merekomendasikan penggunaan `sts:identity_context` di semua penyebaran baru propagasi identitas tepercaya.

## Identity-enhanced Pencatatan sesi peran IAM
<a name="trustedidentitypropagation-identity-enhanced-iam-role-session-logging"></a>

Ketika permintaan dibuat untuk Layanan AWS menggunakan sesi peran IAM yang disempurnakan identitas, Pusat Identitas IAM pengguna `userId` dicatat dalam elemen. CloudTrail `OnBehalfOf` Cara di mana peristiwa login CloudTrail bervariasi berdasarkan Layanan AWS. Tidak semua Layanan AWS mencatat `onBehalfOf` elemen.

Berikut ini adalah contoh bagaimana permintaan yang dibuat untuk Layanan AWS menggunakan sesi peran yang disempurnakan identitas masuk. CloudTrail

```
"userIdentity": {
      "type": "AssumedRole",
      "principalId": "AROAEXAMPLE:MyRole",
      "arn": "arn:aws:sts::111111111111:assumed-role/MyRole/MySession",
      "accountId": "111111111111",
      "accessKeyId": "ASIAEXAMPLE",
      "sessionContext": {
        "sessionIssuer": {
            "type": "Role",
            "principalId": "AROAEXAMPLE",
            "arn": "arn:aws:iam::111111111111:role/MyRole",
            "accountId": "111111111111",
            "userName": "MyRole"
        },
        "attributes": {
            "creationDate": "2023-12-12T13:55:22Z",
            "mfaAuthenticated": "false"
        }
    },
    "onBehalfOf": {
        "userId": "11111111-1111-1111-1111-1111111111",
        "identityStoreArn": "arn:aws:identitystore::111111111111:identitystore/d-111111111"
    }
}
```