AWS STS in einer AWS-Region verwalten - AWS Identitäts- und Zugriffsverwaltung
Aktivieren und Deaktivieren von AWS STS in einer AWS-RegionSchreiben von Code zum Verwenden von AWS STS-RegionenVerwalten von Sitzungstoken des globalen Endpunkts

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS STS in einer AWS-Region verwalten

Ein regionaler Endpunkt ist die URL des Einstiegspunkts in einer bestimmten Region für einen AWS-Web-Service. AWS empfiehlt die Verwendung regionaler AWS Security Token Service (AWS STS) Endpunkte anstelle des globalen Endpunkts, um die Latenz zu verringern, Redundanz einzubauen und die Gültigkeit des Sitzungs-Tokens zu erhöhen. Obwohl der globale (Legacy) AWS STS-Endpunkt https://sts.amazonaws.com hochverfügbar ist, wird er in einer einzigen AWS-Region, USA-Ost (Nord-Virginia), gehostet und bietet wie andere Endpunkte kein automatisches Failover für Endpunkten in anderen Regionen.

  • Reduzierung der Latenz – Indem Sie Ihre AWS STS-Aufrufe an einen Endpunkt senden, der sich geografisch näher an Ihren Services und Anwendungen befindet, können Sie mit kürzerer Latenz und besseren Reaktionszeiten auf AWS STS-Services zugreifen.

  • Integrierte Redundanz – Sie können die Auswirkungen eines Fehlers innerhalb eines Workloads auf eine begrenzte Anzahl von Komponenten mit einem vorhersehbaren Umfang der Auswirkungen einschränken. Durch die Verwendung regionaler AWS STS-Endpunkte können Sie den Umfang Ihrer Komponenten an den Umfang Ihrer Sitzungs-Token anpassen. Weitere Informationen zu dieser Zuverlässigkeitssäule finden Sie unter Verwendung der Fehlerisolierung zum Schutz Ihres Workloads im AWS-Well-Architected-Framework.

  • Gültigkeit von Sitzungstoken erhöhen – Sitzungstoken von regionalen AWS STS-Endpunkten sind in allen AWS-Regionen gültig. Sitzungstoken vom globalen STS-Endpunkt sind nur in den AWS-Regionen gültig, die standardmäßig aktiviert sind. Wenn Sie eine neue Region für Ihr Konto aktivieren möchten, können Sie Sitzungstoken von regionalen AWS STS-Endpunkten verwenden. Wenn Sie den globalen Endpunkt verwenden möchten, müssen Sie die Vereinbarkeit der Region für AWS STS für die Sitzungstoken des globalen Endpunkts ändern. Auf diese Weise wird sichergestellt, dass Token in allen AWS-Regionen gültig sind.

Eine Liste der AWS STS-Regionen und ihrer Endpunkte finden Sie unter Regionen und Endpunkte von AWS STS.

Aktivieren und Deaktivieren von AWS STS in einer AWS-Region

Wenn Sie STS-Endpunkte für eine Region aktivieren, kann AWS STS temporäre Anmeldedaten für Benutzer und Rollen in Ihrem Konto ausgeben, die eine AWS STS-Anforderung senden. Diese Anmeldedaten können dann in einer beliebigen Region verwendet werden, die standardmäßig oder manuell aktiviert ist. Für Regionen, die standardmäßig aktiviert sind, müssen Sie den regionalen STS-Endpunkt in dem Konto aktivieren, in dem die temporären Anmeldeinformationen generiert werden. Es spielt beim Senden der Anforderung keine Rolle, ob ein Benutzer bei diesem oder einem anderen Konto angemeldet ist. Bei Regionen, die manuell aktiviert werden, müssen Sie die Region sowohl in dem Konto, das die Anforderung stellt, als auch in dem Konto, in dem die temporären Anmeldeinformationen generiert werden, aktivieren.

Beispiel: Ein Benutzer aus Konto A möchte die API-Anforderung sts:AssumeRole an den regionalen AWS STS-Endpunkt https://sts.us-west-2.amazonaws.com senden. Die Anforderung gilt für die temporären Anmeldeinformationen für die Rolle Developer in Konto B. Da die Anforderung zum Erstellen von Anmeldeinformationen für eine Entität des Kontos B gesendet wird, muss Konto B die Region us-west-2 aktivieren. Benutzer aus Konto A (oder einem anderen Konto) können den Endpunkt us-west-2 AWS STS aufrufen, um Anmeldeinformationen für Konto B anzufordern. Dabei spielt es keine Rolle, ob die Region in ihren Konten aktiviert ist oder nicht.

Anmerkung

Aktive Regionen stehen allen Benutzern zur Verfügung, die temporäre Anmeldedaten in diesem Konto verwendet. Um zu steuern, welche IAM-Benutzer oder Rollen auf die Region zugreifen können, verwenden Sie den Bedingungsschlüssel aws:RequestedRegion in Ihren Berechtigungsrichtlinien.

So aktivieren oder deaktivieren Sie AWS STS in einer Region, die standardmäßig aktiviert ist (Konsole)

  1. Melden Sie sich als Root-Benutzer oder als IAM-Benutzer mit der Berechtigung zur Durchführung von IAM-Verwaltungsaufgaben an.

  2. Öffnen Sie die IAM-Konsole und wählen Sie im Navigationsbereich Kontoeinstellungen.

  3. Suchen Sie im Abschnitt Security Token Service (STS) Endpoints (Endpunkte) nach der Region, die Sie konfigurieren möchten, und wählen Sie dann in der Spalte STS status (STS-Status) Active (Aktiv) oder Inactive (Inaktiv) aus.

  4. Wählen Sie in dem sich öffnenden Dialogfeld Activate (Aktivieren) oder Deactivate (Deaktivieren).

Für Regionen, die aktiviert sein müssen, aktivieren wir AWS STS automatisch, wenn Sie die Region aktivieren. Nachdem Sie eine Region aktiviert haben, bleibt AWS STS für die Region immer aktiv und Sie können es nicht deaktivieren. Informationen zum Aktivieren von standardmäßig deaktivierten Regionen finden unter Festlegen der AWS-Regionen, die Ihr Konto verwenden kann im AWS Account Management-Referenzhandbuch.

Schreiben von Code zum Verwenden von AWS STS-Regionen

Nachdem Sie eine Region aktiviert haben, können Sie AWS STS-API-Aufrufe an diese Region weiterleiten. Der folgende Java-Codeausschnitt zeigt, wie ein AWSSecurityTokenService-Objekt so konfiguriert wird, dass es Anfragen an die Region Europa (Mailand) (eu-south-1) stellt.

EndpointConfiguration regionEndpointConfig = new EndpointConfiguration("https://sts.eu-south-1.amazonaws.com", "eu-south-1");
AWSSecurityTokenService stsRegionalClient = AWSSecurityTokenServiceClientBuilder.standard()
.withCredentials(credentials)
.withEndpointConfiguration(regionEndpointConfig)
.build();

AWS STS empfiehlt, dass Sie Anrufe an einen regionalen Endpunkt tätigen. Informationen zur manuellen Aktivierung einer Region finden Sie unter unter Festlegen der AWS-Regionen, die Ihr Konto verwenden kann im AWS Account Management -Referenzhandbuch.

In diesem Beispiel instanziiert die erste Zeile ein EndpointConfiguration-Objekt namens regionEndpointConfig, wobei die URL des Endpunkts und die AWS-Region als Parameter übergeben werden.

Informationen zum Festlegen von AWS STS-regionalen Endpunkten mithilfe einer Umgebungsvariablen für AWS-SDKs finden Sie unter AWS STS-regionalisierte Endpunkte im AWS-Referenzhandbuch für SDKs und Tools.

Angaben zu allen anderen Sprach- und Programmierumgebungskombinationen finden Sie in der Dokumentation des entsprechenden SDK.

Verwalten von Sitzungstoken des globalen Endpunkts

Die meisten AWS-Regionen-Regionen sind standardmäßig für Operationen in allen AWS-Services aktiviert. Diese Regionen sind für die Verwendung mit AWS STS automatisch aktiviert. Einige Regionen, wie z. B. Asien-Pazifik (Hongkong), müssen manuell aktiviert werden. Weitere Informationen zum Aktivieren und Deaktivieren von AWS-Regionen finden Sie unter Festlegen, welche AWS-Regionen Ihr Konto verwenden kann im AWS Account Management-Referenzhandbuch. Wenn Sie diese AWS-Regionen aktivieren, werden sie automatisch für die Verwendung mit AWS STS aktiviert. Sie können den AWS STS-Endpunkt nicht für eine Region aktivieren, die deaktiviert ist. Sitzungs-Token, die in allen AWS-Regionen gültig sind, enthalten mehr Zeichen als Token, die in Regionen gültig sind, die standardmäßig aktiviert sind. Das Ändern dieser Einstellung kann sich auf vorhandene Systeme auswirken, in denen Sie Token vorübergehend speichern.

Sie können diese Einstellung mit der AWS Management Console, der AWS CLI oder der AWS-API ändern.

So ändern Sie die Vereinbarkeit der Region für die Sitzungstoken des globalen Endpunkts (Konsole)

  1. Melden Sie sich als Root-Benutzer oder als IAM-Benutzer mit der Berechtigung zur Durchführung von IAM-Verwaltungsaufgaben an. Um die Vereinbarkeit der Sitzungstoken zu ändern, benötigen Sie eine Richtlinie, die die iam:SetSecurityTokenServicePreferences-Aktion zulässt.

  2. Öffnen Sie die IAM-Konsole. Wählen Sie im Navigationsbereich Account Settings (Kontoeinstellungen).

  3. Im Abschnitt Security Token Service (STS) finden Sie Sitzungstoken von den STS-Endpunkten. Der globale Endpunkt gibt Valid only in AWS-Regionen enabled by default an. Wählen Sie Change.

  4. Wählen Sie im Dialogfeld Regionskompatibilität ändern die Option Alle AWS-Regionen. Wählen Sie dann Save changes (Änderungen speichern).

    Anmerkung

    Sitzungs-Token, die in allen AWS-Region gültig sind, enthalten mehr Zeichen als Token, die in Regionen gültig sind, die standardmäßig aktiviert sind. Das Ändern dieser Einstellung kann sich auf vorhandene Systeme auswirken, in denen Sie Token vorübergehend speichern.

So ändern Sie die Vereinbarkeit der Region für die Sitzungstoken des globalen Endpunkts (AWS CLI)

Legen Sie die Version des Sitzungs-Tokens fest. Token der Version 1 sind nur in AWS-Regionen gültig, die standardmäßig verfügbar sind. Diese Token funktionieren icht in manuell aktivierten Regionen, wie z. B. Asien-Pazifik (Hongkong), nicht. Token der Version 2 sind in allen Regionen gültig. Token der Version 2 enthalten jedoch mehr Zeichen und können sich auf Systeme auswirken, in denen Sie Token vorübergehend speichern.

So ändern Sie die Vereinbarkeit der Region für die Sitzungstoken des globalen Endpunkts (AWS-API)

Legen Sie die Version des Sitzungs-Tokens fest. Token der Version 1 sind nur in AWS-Regionen gültig, die standardmäßig verfügbar sind. Diese Token funktionieren icht in manuell aktivierten Regionen, wie z. B. Asien-Pazifik (Hongkong), nicht. Token der Version 2 sind in allen Regionen gültig. Token der Version 2 enthalten jedoch mehr Zeichen und können sich auf Systeme auswirken, in denen Sie Token vorübergehend speichern.