AWS STS-Anmeldeinformationen vergleichen - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS STS-Anmeldeinformationen vergleichen

In der folgenden Tabelle werden die Funktionen der API-Operationen in AWS STS verglichen, die temporäre Sicherheitsanmeldeinformationen zurückgeben. Weitere Informationen zu den verschiedenen Methoden, die Sie verwenden können, um temporäre Anmeldeinformationen anzufordern, indem Sie eine Rolle übernehmen, finden Sie unter Methoden, um eine Rolle zu übernehmen. Weitere Informationen zu den verschiedenen AWS STS-API-Operationen, mit denen Sie Sitzungs-Tags übergeben können, finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.

Anmerkung

Sie können AWS STS-API-Aufrufe entweder an einen globalen Endpunkt oder an einen der regionalen Endpunkte senden. Wenn Sie einen Endpunkt näher bei Ihnen wählen, können Sie die Latenz verringern und verbessern Sie die Leistung Ihrer API-Aufrufe verbessern. Sie können Ihre Aufrufe auch an einen alternativen regionalen Endpunkt richten, wenn Sie nicht mehr mit dem ursprünglichen Endpunkt kommunizieren können. Wenn Sie eines der verschiedenen AWS SDKs verwenden, wählen Sie mithilfe dieser SDK-Methode eine Region aus, bevor Sie den API-Aufruf senden. Wenn Sie HTTP-API-Anforderungen manuell konstruieren, müssen Sie die Anforderung selbst an den korrekten Endpunkt richten. Weitere Informationen finden Sie im AWS STS-Abschnitt von Regionen und Endpunkte und AWS STS in einer AWS-Region verwalten.

AWS STS-API Wer kann aufrufen? Lebensdauer der Anmeldeinformationen (min | max | Standard) MFA-Unterstützung¹ Sitzungsrichtlinienunterstützung² Einschränkungen bei den sich ergebenden temporären Anmeldeinformationen
AssumeRole IAM-Benutzer oder IAM-Rolle mit vorhandenen temporären Sicherheitsanmeldeinformationen 15 Min. | Maximale Sitzungsdauer³ | 1 Std. Ja Ja

Kein Aufruf von GetFederationToken oder GetSessionToken.

AssumeRoleWithSAML Jeder user;-Anrufer muss eine SAML-Authentifizierungsantwort übergeben, die die Authentifizierung von einem bekannten Identitätsanbieter angibt 15 Min. | Maximale Sitzungsdauer³ | 1 Std. Nein Ja

Kein Aufruf von GetFederationToken oder GetSessionToken.

AssumeRoleWithWebIdentity Jeder Benutzer; der Anrufer muss ein OIDC-kompatibles JWT-Token übergeben, das die Authentifizierung von einem bekannten Identitätsanbieter anzeigt 15 Min. | Maximale Sitzungsdauer³ | 1 Std. Nein Ja

Kein Aufruf von GetFederationToken oder GetSessionToken.

GetFederationToken IAM-Benutzer oder Root-Benutzer des AWS-Kontos

IAM-Benutzer: 15 m | 36 h | 12 h

Stammbenutzer: 15 Min. | 1 Stunde | 1 Stunde

Nein Ja

IAM-Vorgänge können nicht mit der AWS CLI- oder AWS-API aufgerufen werden. Diese Beschränkung gilt nicht für Konsolensitzungen.

Es können keine AWS STS-Vorgänge abgerufen werden, außer GetCallerIdentity.⁴

SSO an Konsole ist erlaubt.⁵

GetSessionToken IAM-Benutzer oder Root-Benutzer des AWS-Kontos

IAM-Benutzer: 15 m | 36 h | 12 h

Stammbenutzer: 15 Min. | 1 Stunde | 1 Stunde

Ja Nein

IAM-API-Operationen können nur aufgerufen werden, wenn MFA-Informationen in der Anforderung enthalten sind.

AWS STS-API-Operationen (außer AssumeRole und GetCallerIdentity) können nicht aufgerufen werden.

SSO an Konsole ist nicht erlaubt.⁶

¹ MFA-Unterstützung. Sie können Informationen zu einem Multi-Factor Authentication (MFA)-Gerät einschließen, wenn Sie die API-Operationen AssumeRole und GetSessionToken aufrufen. Auf diese Weise wird sichergestellt, dass die temporären Sicherheitsanmeldeinformationen, die sich aus dem API-Aufruf ergeben, nur von Benutzern verwendet werden, die mit einem MFA-Gerät authentifiziert werden. Weitere Informationen finden Sie unter Sicherer API Zugriff mit MFA.

² Sitzungsrichtlinienunterstützung. Sitzungsrichtlinien sind Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer programmgesteuert erstellen. Diese Richtlinie beschränkt die Berechtigungen der identitätsbasierten Richtlinie der Rolle oder des Benutzers, die bzw. der der Sitzung zugeordnet ist. Die resultierenden Sitzungsberechtigungen bilden die Schnittmenge der auf der Identität der Entity basierenden Richtlinien und der Sitzungsrichtlinien. Sie können mit Sitzungsrichtlinien nicht mehr Berechtigungen erteilen, als durch die identitätsbasierte Richtlinie der Rolle, die angenommen wird, zulässig sind. Weitere Informationen über Rollensitzungsberechtigungen finden Sie unter Sitzungsrichtlinien.

³ Einstellung der maximalen Sitzungsdauer. Verwenden Sie den DurationSeconds-Parameter, um die Dauer Ihrer Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle anzugeben. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter Aktualisieren der maximalen Sitzungsdauer für eine Rolle.

GetCallerIdentity. Für diese Operation sind keine Berechtigungen erforderlich. Wenn ein Administrator Ihrem IAM-Benutzer oder Ihrer IAM-Rolle eine Richtlinie hinzufügt, die den Zugriff auf die sts:GetCallerIdentity-Aktion explizit verweigert, können Sie diese Operation trotzdem ausführen. Berechtigungen sind nicht erforderlich, da dieselben Informationen zurückgegeben werden, wenn einem IAM-Benutzer oder einer -Rolle der Zugriff verweigert wird. Eine Beispielantwort finden Sie unter Ich bin nicht berechtigt, Folgendes aufzuführen: iam: DeleteVirtual MFADevice.

Single Sign-On (SSO) an der Konsole. Zur Unterstützung von SSO erlaubt Ihnen AWS den Aufruf eines Verbund-Endpunkts (https://signin.aws.amazon.com/federation) und das Übergeben von temporären Sicherheitsanmeldeinformationen. Der Endpunkt gibt ein Token zurück, das Sie verwenden können, um eine URL zu erstellen, die einen Benutzer direkt an der Konsole anmeldet, ohne dass ein Passwort erforderlich ist. Weitere Informationen hierzu finden Sie unter Aktivieren des Zugriffs von SAML 2.0-Verbundbenutzern auf AWS Management Console und How to Enable Cross-Account Access to the AWS Management Console im AWS-Blog zur Sicherheit.

⁶ Nach dem Abrufen der temporären Anmeldedaten können Sie nicht auf die AWS Management Console zugreifen, indem Sie die Anmeldedaten an den Single-Sign-On-Verbund-Endpunkt übergeben. Weitere Informationen finden Sie unter Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren.