Puede acceder a los servicios de IAM y AWS STS mediante programación con la API de consulta. Las solicitudes de la API de consultas son solicitudes HTTPS que deben contener un parámetro Action que indique la acción que se va a realizar. IAM y AWS STS admiten solicitudes GET y POST para todas las acciones. Es decir, la API no requiere que utilice GET para algunas acciones y POST para otras. Sin embargo, las solicitudes GET están sujetas al tamaño de limitación de una URL, aunque este límite depende del navegador, que suele ser un límite de 2048 bytes. Por lo tanto, para las solicitudes de la API de consultas que requieran tamaños más grandes, debe utilizar una solicitud POST.
La respuesta es un documento XML. Para obtener más información acerca de la respuesta, consulte las páginas de cada acción en la Referencia de API de IAM o en la Referencia de API AWS Security Token Service.
sugerencia
En lugar de hacer llamadas directas a las operaciones de la API de IAM o AWS STS, puede utilizar uno de los SDK de AWS. Los SDK de AWS constan de bibliotecas y código de muestra para diversos lenguajes de programación y plataformas (Java, Ruby, .NET, iOS, Android, etc.). Los SDK proporcionan una forma cómoda de crear acceso mediante programación a IAM y AWS. Por ejemplo, los SDK se encargan de tareas como firmar solicitudes criptográficamente (véase más abajo), administrar los errores y reintentar las solicitudes de forma automática. Para obtener información sobre los SDK de AWS, incluido cómo descargarlos e instalarlos, consulte la página Herramientas para Amazon Web Services
Para obtener más información acerca de las acciones y los errores de la API, consulte la Referencia de la API de IAM o la Referencia de la API de AWS Security Token Service.
puntos de conexión
IAM y AWS STS tienen cada uno un único punto de enlace global:
importante
AWS STS también admite el envío de solicitudes a puntos de conexión regionales además del punto de conexión global. AWS recomienda utilizar puntos de conexión regionales en lugar de puntos de conexión globales para reducir la latencia, crear redundancia y aumentar la validez del token de sesión. Para poder utilizar AWS STS en una región, primero debe activar STS en esa región para su Cuenta de AWS. Para obtener más información sobre cómo activar regiones adicionales de AWS STS, consulte Administración de AWS STS en una Región de AWS.
Para obtener más información acerca de los puntos de enlace de AWS y las regiones de todos los servicios, consulte Puntos de enlace y cuotas de servicio en la Referencia general de AWS.
HTTPS obligatorio
Dado que la API de consultas devuelve información confidencial como, por ejemplo, credenciales de seguridad, debe utilizar HTTPS con todas las solicitudes de la API.
Firma de solicitudes de la API de IAM
Las solicitudes deben firmarse con un ID de clave de acceso y una clave de acceso secreta. Es absolutamente recomendable que no utilice las credenciales de su usuario Usuario raíz de la cuenta de AWS para el trabajo diario con IAM. Puede utilizar las credenciales de un usuario de IAM o utilizar AWS STS para generar credenciales de seguridad temporales.
Para firmar las solicitudes de la API, le recomendamos que utilice la versión 4 Signature de AWS. Para obtener más información cómo utilizar Signature Version 4, vaya a Proceso de firma de Signature Version 4 en la Referencia general de AWS.
Si necesita utilizar Signature Version 2, encontrará información sobre este proceso de firma en la Referencia general de AWS.
Para más información, consulte los siguientes temas:
-
Credenciales de seguridad de AWS. Ofrece información general sobre los tipos de credenciales que se utiliza para obtener acceso a AWS.
-
Prácticas recomendadas de seguridad en IAM. Presenta una lista de sugerencias para utilizar el servicio de IAM para ayudar a proteger sus recursos de AWS.
-
Credenciales de seguridad temporales en IAM. Describe cómo crear y utilizar credenciales de seguridad temporales.
