DynamoDB-Web Identity Federation

Web Identity Federationを使用すると、大規模なユーザーグループの認証と承認を簡素化できます。 個々のアカウントの作成をスキップし、ユーザーにIDプロバイダーへのログインを要求して、一時的な資格情報またはトークンを取得することができます。 AWS Security Token Service（STS）を使用して認証情報を管理します。 アプリケーションはこれらのトークンを使用してサービスと対話します。

Web Identity Federationは、Amazon、Google、Facebookなどの他のIDプロバイダーもサポートしています。

機能-使用中、Web Identity Federationはユーザーとアプリの認証のために最初にIDプロバイダーを呼び出し、プロバイダーはトークンを返します。 これにより、アプリはAWS STSを呼び出し、入力用のトークンを渡します。 STSはアプリを承認し、一時的なアクセス認証情報を付与します。これにより、アプリはIAMロールを使用し、ポリシーに基づいてリソースにアクセスできます。

Web Identity Federationの実装

あなたは使用する前に次の3つのステップを実行する必要があります-

• サポートされているサードパーティのIDプロバイダーを使用して、開発者として登録します。
• アプリケーションをプロバイダーに登録して、アプリIDを取得します。
• ポリシーの添付を含む、単一または複数のIAMロールを作成します。 アプリごとにプロバイダーごとにロールを使用する必要があります。

IAMロールの1つがWeb Identity Federationを使用すると仮定します。 その後、アプリは3段階のプロセスを実行する必要があります-

• 認証
• 資格情報の取得
• リソースアクセス

最初のステップでは、アプリは独自のインターフェイスを使用してプロバイダーを呼び出し、トークンプロセスを管理します。

次に、ステップ2はトークンを管理し、アプリが AssumeRoleWithWebIdentity リクエストをAWS STSに送信することを要求します。 リクエストは、最初のトークン、プロバイダーアプリID、およびIAMロールのARNを保持します。 STSは、一定期間後に期限切れになるように設定された資格情報を提供します。

最後のステップで、アプリはDynamoDBリソースのアクセス情報を含む応答をSTSから受け取ります。 アクセス資格情報、有効期限、ロール、ロールIDで構成されます。