Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
AWS STS-Anmeldeinformationen vergleichen
In der folgenden Tabelle werden die Funktionen der API-Operationen in AWS STS verglichen, die temporäre Sicherheitsanmeldeinformationen zurückgeben. Weitere Informationen zu den verschiedenen Methoden, die Sie verwenden können, um temporäre Anmeldeinformationen anzufordern, indem Sie eine Rolle übernehmen, finden Sie unter Methoden, um eine Rolle zu übernehmen. Weitere Informationen zu den verschiedenen AWS STS-API-Operationen, mit denen Sie Sitzungs-Tags übergeben können, finden Sie unter Übergeben von Sitzungs-Tags in AWS STS.
Anmerkung
Sie können AWS STS-API-Aufrufe entweder an einen globalen Endpunkt oder an einen der regionalen Endpunkte senden. Wenn Sie einen Endpunkt näher bei Ihnen wählen, können Sie die Latenz verringern und verbessern Sie die Leistung Ihrer API-Aufrufe verbessern. Sie können Ihre Aufrufe auch an einen alternativen regionalen Endpunkt richten, wenn Sie nicht mehr mit dem ursprünglichen Endpunkt kommunizieren können. Wenn Sie eines der verschiedenen AWS SDKs verwenden, wählen Sie mithilfe dieser SDK-Methode eine Region aus, bevor Sie den API-Aufruf senden. Wenn Sie HTTP-API-Anforderungen manuell konstruieren, müssen Sie die Anforderung selbst an den korrekten Endpunkt richten. Weitere Informationen finden Sie im AWS STS-Abschnitt von Regionen und Endpunkte und AWS STS in einer AWS-Region verwalten.
AWS STS-API | Wer kann aufrufen? | Lebensdauer der Anmeldeinformationen (min | max | Standard) | MFA-Unterstützung¹ | Sitzungsrichtlinienunterstützung² | Einschränkungen bei den sich ergebenden temporären Anmeldeinformationen |
---|---|---|---|---|---|
AssumeRole | IAM-Benutzer oder IAM-Rolle mit vorhandenen temporären Sicherheitsanmeldeinformationen | 15 Min. | Maximale Sitzungsdauer³ | 1 Std. | Ja | Ja |
Kein Aufruf von |
AssumeRoleWithSAML | Jeder user;-Anrufer muss eine SAML-Authentifizierungsantwort übergeben, die die Authentifizierung von einem bekannten Identitätsanbieter angibt | 15 Min. | Maximale Sitzungsdauer³ | 1 Std. | Nein | Ja |
Kein Aufruf von |
AssumeRoleWithWebIdentity | Jeder Benutzer; der Anrufer muss ein OIDC-kompatibles JWT-Token übergeben, das die Authentifizierung von einem bekannten Identitätsanbieter anzeigt | 15 Min. | Maximale Sitzungsdauer³ | 1 Std. | Nein | Ja |
Kein Aufruf von |
GetFederationToken | IAM-Benutzer oder Root-Benutzer des AWS-Kontos |
IAM-Benutzer: 15 m | 36 h | 12 h Stammbenutzer: 15 Min. | 1 Stunde | 1 Stunde |
Nein | Ja |
IAM-Vorgänge können nicht mit der AWS CLI- oder AWS-API aufgerufen werden. Diese Beschränkung gilt nicht für Konsolensitzungen. Es können keine AWS STS-Vorgänge abgerufen werden, außer SSO an Konsole ist erlaubt.⁵ |
GetSessionToken | IAM-Benutzer oder Root-Benutzer des AWS-Kontos |
IAM-Benutzer: 15 m | 36 h | 12 h Stammbenutzer: 15 Min. | 1 Stunde | 1 Stunde |
Ja | Nein |
IAM-API-Operationen können nur aufgerufen werden, wenn MFA-Informationen in der Anforderung enthalten sind. AWS STS-API-Operationen (außer SSO an Konsole ist nicht erlaubt.⁶ |
¹ MFA-Unterstützung. Sie können Informationen zu einem Multi-Factor Authentication (MFA)-Gerät einschließen, wenn Sie die API-Operationen AssumeRole und GetSessionToken aufrufen. Auf diese Weise wird sichergestellt, dass die temporären Sicherheitsanmeldeinformationen, die sich aus dem API-Aufruf ergeben, nur von Benutzern verwendet werden, die mit einem MFA-Gerät authentifiziert werden. Weitere Informationen finden Sie unter Sicherer API Zugriff mit MFA.
² Sitzungsrichtlinienunterstützung. Sitzungsrichtlinien sind Richtlinien, die Sie als Parameter übergeben, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer programmgesteuert erstellen. Diese Richtlinie beschränkt die Berechtigungen der identitätsbasierten Richtlinie der Rolle oder des Benutzers, die bzw. der der Sitzung zugeordnet ist. Die resultierenden Sitzungsberechtigungen bilden die Schnittmenge der auf der Identität der Entity basierenden Richtlinien und der Sitzungsrichtlinien. Sie können mit Sitzungsrichtlinien nicht mehr Berechtigungen erteilen, als durch die identitätsbasierte Richtlinie der Rolle, die angenommen wird, zulässig sind. Weitere Informationen über Rollensitzungsberechtigungen finden Sie unter Sitzungsrichtlinien.
³ Einstellung der maximalen Sitzungsdauer. Verwenden Sie den DurationSeconds
-Parameter, um die Dauer Ihrer Rollensitzung von 900 Sekunden (15 Minuten) bis zur maximalen Sitzungsdauer für die Rolle anzugeben. Weitere Informationen dazu, wie Sie den maximalen Wert für Ihre Rolle anzeigen, finden Sie unter Aktualisieren der maximalen Sitzungsdauer für eine Rolle.
⁴ GetCallerIdentity. Für diese Operation sind keine Berechtigungen erforderlich. Wenn ein Administrator Ihrem IAM-Benutzer oder Ihrer IAM-Rolle eine Richtlinie hinzufügt, die den Zugriff auf die sts:GetCallerIdentity
-Aktion explizit verweigert, können Sie diese Operation trotzdem ausführen. Berechtigungen sind nicht erforderlich, da dieselben Informationen zurückgegeben werden, wenn einem IAM-Benutzer oder einer -Rolle der Zugriff verweigert wird. Eine Beispielantwort finden Sie unter Ich bin nicht berechtigt, Folgendes aufzuführen: iam: DeleteVirtual MFADevice.
⁵ Single Sign-On (SSO) an der Konsole. Zur Unterstützung von SSO erlaubt Ihnen AWS den Aufruf eines Verbund-Endpunkts (https://signin.aws.amazon.com/federation
) und das Übergeben von temporären Sicherheitsanmeldeinformationen. Der Endpunkt gibt ein Token zurück, das Sie verwenden können, um eine URL zu erstellen, die einen Benutzer direkt an der Konsole anmeldet, ohne dass ein Passwort erforderlich ist. Weitere Informationen hierzu finden Sie unter Aktivieren des Zugriffs von SAML 2.0-Verbundbenutzern auf AWS Management Console und How to Enable Cross-Account Access to the AWS Management Console
⁶ Nach dem Abrufen der temporären Anmeldedaten können Sie nicht auf die AWS Management Console zugreifen, indem Sie die Anmeldedaten an den Single-Sign-On-Verbund-Endpunkt übergeben. Weitere Informationen finden Sie unter Benutzerdefinierten Identity Broker-Zugriff auf die AWS Konsole aktivieren.