Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS STS Referenzen vergleichen
In der folgenden Tabelle werden die Funktionen der API Vorgänge verglichen AWS STS , bei denen temporäre Sicherheitsanmeldeinformationen zurückgegeben werden. Weitere Informationen zu den verschiedenen Methoden, die Sie verwenden können, um temporäre Anmeldeinformationen anzufordern, indem Sie eine Rolle übernehmen, finden Sie unter Methoden, um eine Rolle zu übernehmen. Informationen zu den verschiedenen AWS STS API Vorgängen, mit denen Sie Sitzungs-Tags übergeben können, finden Sie unterSitzungs-Tags übergeben AWS STS.
Anmerkung
Sie können AWS STS API Anrufe entweder an einen globalen Endpunkt oder an einen der regionalen Endpunkte senden. Wenn Sie einen Endpunkt in Ihrer Nähe wählen, können Sie die Latenz reduzieren und die Leistung Ihrer API Anrufe verbessern. Sie können Ihre Aufrufe auch an einen alternativen regionalen Endpunkt richten, wenn Sie nicht mehr mit dem ursprünglichen Endpunkt kommunizieren können. Wenn Sie einen der verschiedenen verwenden AWS SDKs, verwenden Sie diese SDK Methode, um eine Region anzugeben, bevor Sie den API Anruf tätigen. Wenn Sie HTTP API Anfragen manuell erstellen, müssen Sie die Anfrage selbst an den richtigen Endpunkt weiterleiten. Weitere Informationen finden Sie im AWS STS -Abschnitt von Regionen und Endpunkte und Verwalten AWS STS in einem AWS-Region.
| AWS STS API | Wer kann aufrufen? | Lebensdauer der Anmeldeinformationen (min | max | Standard) | MFAUnterstützung ¹ | Sitzungsrichtlinienunterstützung² | Einschränkungen bei den sich ergebenden temporären Anmeldeinformationen |
|---|---|---|---|---|---|
| AssumeRole | IAMBenutzer oder IAM Rolle mit vorhandenen temporären Sicherheitsanmeldedaten | 15 Min. | Maximale Sitzungsdauer³ | 1 Std. | Ja | Ja |
Kein Aufruf von |
| AssumeRoleWithSAML | Jeder Benutzer oder Anrufer muss eine SAML Authentifizierungsantwort übergeben, die auf die Authentifizierung durch einen bekannten Identitätsanbieter hinweist | 15 Min. | Maximale Sitzungsdauer³ | 1 Std. | Nein | Ja |
Kein Aufruf von |
| AssumeRoleWithWebIdentity | Jeder Benutzer oder Anrufer muss ein OIDC konformes JWT Token übergeben, das auf die Authentifizierung durch einen bekannten Identitätsanbieter hinweist | 15 Min. | Maximale Sitzungsdauer³ | 1 Std. | Nein | Ja |
Kein Aufruf von |
| GetFederationToken | IAMBenutzer oder Root-Benutzer des AWS-Kontos |
IAMBenutzer: 15 m | 36 h | 12 h Stammbenutzer: 15 Min. | 1 Stunde | 1 Stunde |
Nein | Ja |
IAMOperationen können nicht mit AWS CLI oder aufgerufen AWS API werden. Diese Beschränkung gilt nicht für Konsolensitzungen. Es können keine AWS STS Operationen außer SSOzur Konsole ist erlaubt.¹ |
| GetSessionToken | IAMBenutzer oder Root-Benutzer des AWS-Kontos |
IAMBenutzer: 15 m | 36 h | 12 h Stammbenutzer: 15 Min. | 1 Stunde | 1 Stunde |
Ja | Nein |
IAMAPIOperationen können nur aufgerufen werden, wenn die Anfrage MFA Informationen enthält. AWS STS APIOperationen außer SSOzur Konsole zu gehen ist nicht erlaubt.356 |
¹ Unterstützung. MFA Sie können Informationen über ein Gerät mit Multi-Faktor-Authentifizierung (MFA) angeben, wenn Sie die GetSessionToken API Funktionen AssumeRole und aufrufen. Dadurch wird sichergestellt, dass die temporären Sicherheitsanmeldedaten, die sich aus dem API Anruf ergeben, nur von Benutzern verwendet werden können, die mit einem MFA Gerät authentifiziert sind. Weitere Informationen finden Sie unter Sicherer API Zugriff mit MFA.
² Sitzungsrichtlinienunterstützung. Sitzungsrichtlinien sind Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer programmgesteuert erstellen. Diese Richtlinie beschränkt die Berechtigungen der identitätsbasierten Richtlinie der Rolle oder des Benutzers, die bzw. der der Sitzung zugeordnet ist. Die resultierenden Sitzungsberechtigungen bilden die Schnittmenge der auf der Identität der Entity basierenden Richtlinien und der Sitzungsrichtlinien. Sie können mit Sitzungsrichtlinien nicht mehr Berechtigungen erteilen, als durch die identitätsbasierte Richtlinie der Rolle, die angenommen wird, zulässig sind. Weitere Informationen über Rollensitzungsberechtigungen finden Sie unter Sitzungsrichtlinien.
³ Einstellung der maximalen Sitzungsdauer. Verwenden Sie den DurationSeconds-Parameter, um die Dauer Ihrer Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle anzugeben. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter Aktualisieren Sie die maximale Sitzungsdauer für eine Rolle.
² GetCallerIdentity. Für diese Operation sind keine Berechtigungen erforderlich. Wenn ein Administrator Ihrem IAM Benutzer oder Ihrer Rolle eine Richtlinie hinzufügt, die den Zugriff auf die sts:GetCallerIdentity Aktion ausdrücklich verweigert, können Sie diesen Vorgang trotzdem ausführen. Berechtigungen sind nicht erforderlich, da dieselben Informationen zurückgegeben werden, wenn einem IAM Benutzer oder einer Rolle der Zugriff verweigert wird. Eine Beispielantwort finden Sie unter Ich bin nicht berechtigt, Folgendes aufzuführen: iam: DeleteVirtual MFADevice.
¹ Single Sign-On (SSO) für die Konsole. Zur Unterstützung SSO AWS können Sie einen Verbundendpunkt (https://signin.aws.amazon.com/federation) aufrufen und temporäre Sicherheitsanmeldedaten übergeben. Der Endpunkt gibt ein Token zurück, mit dem Sie ein Token erstellen könnenURL, das einen Benutzer direkt an der Konsole anmeldet, ohne dass ein Passwort erforderlich ist. Weitere Informationen finden Sie unter Aktivieren des Zugriffs von SAML 2.0-Verbundbenutzern auf AWS Management Console und So aktivieren Sie den kontoübergreifenden Zugriff auf die AWS Managementkonsole
⁶ Nach dem Abrufen der temporären Anmeldedaten können Sie nicht auf die AWS Management Console zugreifen, indem Sie die Anmeldedaten an den Single-Sign-On-Verbund-Endpunkt übergeben. Weitere Informationen finden Sie unter Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren.
