Comparación de credenciales AWS STS
La siguiente tabla compara las características de las operaciones de la API de AWS STS que devuelven credenciales de seguridad temporales. Para obtener más información sobre los distintos métodos que puede utilizar para solicitar credenciales de seguridad temporales asumiendo un rol, consulte Métodos para asumir un rol. Para obtener información sobre las diferentes operaciones de API de AWS STS que le permiten pasar etiquetas de sesión, consulte Transferencia de etiquetas de sesión en AWS STS.
nota
Puede enviar llamadas a la API de AWS STS tanto a un punto de enlace global como a uno de los puntos de enlace regionales. Si elige el punto de enlace más cercano, puede reducir la latencia y mejorar el rendimiento de las llamadas a la API. También puede elegir enviar sus llamadas a un punto de enlace regional alternativo si ya no puede comunicarse con el punto de enlace original. Si utiliza uno de los distintos SDK de AWS, utilice el método del SDK para especificar una región antes de realizar la llamada a la API. Si va realiza manualmente solicitudes de API HTTP, debe enviar usted mismo la solicitud al punto de conexión correcto. Para obtener más información, consulte la AWS STS sección de Regiones y puntos de enlace y Administración de AWS STS en una Región de AWS.
| API de AWS STS | Quién puede llamar | Duración de las credenciales (mín | máx | predeterminada) | Soporte de MFA¹ | Compatibilidad con políticas de sesión² | Restricciones aplicables a las credenciales temporales obtenidas |
|---|---|---|---|---|---|
| AssumeRole | Usuario de IAM o rol de IAM con credenciales de seguridad temporales existentes | 15 min | configuración de la duración máxima de la sesión³ | 1 h | Sí | Sí |
No se puede llamar a |
| AssumeRoleWithSAML | Cualquier usuario: el intermediario debe transmitir una respuesta de autenticación de SAML que indique la autenticación de un proveedor de identidad conocido | 15 min | configuración de la duración máxima de la sesión³ | 1 h | No | Sí |
No se puede llamar a |
| AssumeRoleWithWebIdentity | Cualquier usuario; la persona que llama debe pasar un token JWT compatible con OIDC que indique la autenticación de un proveedor de identidad conocido | 15 min | configuración de la duración máxima de la sesión³ | 1 h | No | Sí |
No se puede llamar a |
| GetFederationToken | Usuario de IAM o Usuario raíz de la cuenta de AWS |
Usuario de IAM: 15 m | 36 h | 12 h Usuario raíz: 15 m | 1 h | 1 h |
No | Sí |
No se puede llamar a operaciones de IAM mediante AWS CLI o la API de AWS. Esta limitación no se aplica a las sesiones de consola. No se puede llamar a operaciones de AWS STS excepto Se permite el inicio de sesión único (SSO) en la consola.⁵ |
| GetSessionToken | Usuario de IAM o Usuario raíz de la cuenta de AWS |
Usuario de IAM: 15 m | 36 h | 12 h Usuario raíz: 15 m | 1 h | 1 h |
Sí | No |
No se puede llamar a las operaciones de API de IAM, a no ser que se incluya en la solicitud la información de MFA. No se puede llamar a las operaciones de API de AWS STS excepto No se permite el inicio de sesión único (SSO) en la consola.⁶ |
¹ Compatibilidad con MFA. Puede incluir información acerca del dispositivo de autenticación multifactor (MFA) cuando llama a las operaciones de API AssumeRole y GetSessionToken. De este modo, se garantiza que las credenciales de seguridad temporales que se derivan de la llamada a la API solo las puedan utilizar los usuarios que se autentiquen con un dispositivo MFA. Para obtener más información, consulte Acceso seguro a la API con MFA.
² Soporte con políticas de sesión. Las políticas de sesión son políticas avanzadas que se pasan como parámetro cuando se crea una sesión temporal mediante programación para un rol o un usuario federado. Esta política limita los permisos de la política basada en identidad del rol o usuario que se asignan a la sesión. Los permisos de la sesión resultantes son la intersección de las políticas basadas en identidades de la entidad y las políticas de la sesión. Las políticas de sesión no se pueden utilizar para conceder más permisos que los permitidos por la política basada en identidades del rol que se asume. Para obtener más información sobre los permisos de sesión de un rol, consulte Políticas de sesión.
³ Configuración de la duración máxima de la sesión. Use el parámetro DurationSeconds para especificar la duración de la sesión de rol, que puede oscilar entre 900 segundos (15 minutos) y el valor de la duración máxima de la sesión especificado para el rol. Para obtener información sobre cómo ver el valor máximo para el rol, consulte Actualizar la duración máxima de la sesión para un rol.
⁴ GetCallerIdentity. No se requieren permisos para realizar esta operación. Si un administrador añade una política a su usuario o rol de IAM que deniega explícitamente el acceso a la acción sts:GetCallerIdentity, puede realizar esta operación. Los permisos no son necesarios porque se devuelve la misma información cuando se deniega el acceso a un usuario o rol de IAM. Para ver un ejemplo de respuesta, consulte No tengo autorización para realizar la operación iam:DeleteVirtualMFADevice.
⁵ .⁶. Para facilitar el inicio de sesión único (SSO), AWS le permite llamar a un punto de enlace de federación (https://signin.aws.amazon.com/federation) y transmitir las credenciales de seguridad temporales. El punto de enlace devuelve un token que puede utilizar para crear una dirección URL con la que un usuario inicia sesión directamente en la consola sin necesidad de una contraseña. Para obtener más información, consulte Concesión de acceso a la AWS Management Console a los usuarios federados SAML 2.0 y How to Enable Cross-Account Access to the AWS Management Console
⁶ Tras recuperar las credenciales temporales, no puede acceder a la AWS Management Console transmitiendo las credenciales al punto de enlace de inicio de sesión único de la federación. Para obtener más información, consulte Permitir el acceso del agente de identidades personalizadas a la consola de AWS.
