Validação Aprimorada de Reivindicações de Identidade
A AWS anunciou uma expansão significativa nas capacidades do Serviço de Token de Segurança (STS – Security Token Service). Agora, o STS suporta validação de reivindicações específicas selecionadas de provedores de identidade externos, incluindo Google, GitHub, CircleCI e Oracle Cloud Infrastructure (OCI).
Essa nova funcionalidade integra-se às políticas de confiança de funções IAM (Gerenciamento de Identidade e Acesso) e políticas de controle de recursos, permitindo federação OpenID Connect (OIDC) para dentro da AWS através da API AssumeRoleWithWebIdentity.
Como Funciona
Controle de Acesso Granular
Com essa capacidade expandida, é possível referenciar reivindicações customizadas como chaves de condição nas políticas de confiança de funções IAM e nas políticas de controle de recursos. Isso significa que arquitetos e administradores de segurança podem implementar controle de acesso muito mais fino para identidades federadas.
Estabelecimento de Perímetros de Dados
A validação granular dessas reivindicações facilita o estabelecimento de perímetros de dados — conceito importante em arquiteturas de segurança em nuvem que definem limites claros de acesso com base em contexto e origem das identidades.
Construindo sobre Fundações Sólidas
Essa melhoria expande as capacidades já existentes de federação OIDC do IAM. Anteriormente, a AWS já oferecia a possibilidade de conceder credenciais temporárias do AWS a usuários autenticados através de provedores de identidade externos compatíveis com OIDC. Agora, com suporte a validação de reivindicações específicas de cada provedor, a segurança e a flexibilidade dessa abordagem avançam consideravelmente.
Disponibilidade e Documentação
A AWS disponibilizou essa funcionalidade em todas as regiões comerciais. Para implementar essa capacidade, os administradores podem consultar a documentação sobre as chaves disponíveis para federação OIDC no Guia do Usuário IAM, que fornece a lista completa de reivindicações suportadas e orientações sobre como utilizá-las em políticas de confiança de funções IAM e políticas de controle de recursos.
Perspectiva para Arquitetos e Administradores
Essa melhoria é particularmente relevante para organizações que utilizam múltiplos provedores de identidade e buscam implementar modelos de acesso mais seguros e específicos por contexto. A capacidade de validar reivindicações específicas de cada provedor (Google, GitHub, CircleCI, OCI) reduz a necessidade de lógica customizada adicional e oferece um caminho mais direto para construir perímetros de segurança bem definidos em ambientes multi-provedor.
Fonte
AWS STS now supports validation of select identity provider specific claims from Google, GitHub, CircleCI and OCI (https://aws.amazon.com/about-aws/whats-new/2026/01/aws-sts-supports-validation-identity-provider-claims)
Leave a Reply