Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comparez les AWS STS informations d'identification
Le tableau suivant compare les caractéristiques des API opérations AWS STS renvoyant des informations d'identification de sécurité temporaires. Pour en savoir plus sur les différentes méthodes disponibles pour demander des identifiants de sécurité temporaires en endossant un rôle, consultez Méthodes pour assumer un rôle. Pour en savoir plus sur les différentes AWS STS API opérations qui vous permettent de transmettre des balises de session, consultezTransmettez les tags de session AWS STS.
Note
Vous pouvez envoyer des AWS STS API appels vers un point de terminaison mondial ou vers l'un des points de terminaison régionaux. Si vous choisissez un terminal plus proche de chez vous, vous pouvez réduire la latence et améliorer les performances de vos API appels. Vous pouvez également diriger vos appels vers un autre point de terminaison régional si vous n'êtes plus en mesure de communiquer avec le point de terminaison initial. Si vous utilisez l'une des différentes méthodes AWS SDKs, utilisez cette SDK méthode pour spécifier une région avant de passer l'APIappel. Si vous créez des HTTP API demandes manuellement, vous devez les diriger vous-même vers le point de terminaison approprié. Pour plus d'informations, consultez la section AWS STS de Régions et points de terminaison et Gérer AWS STS dans un Région AWS.
| AWS STS API | Qui peut appeler | Durée de vie des informations d'identification (min | max | par défaut) | MFAassistance ¹ | Prise en charge de la politique de session² | Restrictions applicables aux informations d'identification temporaires générées |
|---|---|---|---|---|---|
| AssumeRole | IAMutilisateur ou IAM rôle avec des informations d'identification de sécurité temporaires existantes | 15 min | Durée de session maximale³ | 1 h | Oui | Oui |
Impossible d'appeler |
| AssumeRoleWithSAML | Tout utilisateur ; l'appelant doit transmettre une réponse SAML d'authentification indiquant qu'il s'est authentifié auprès d'un fournisseur d'identité connu | 15 min | Durée de session maximale³ | 1 h | Non | Oui |
Impossible d'appeler |
| AssumeRoleWithWebIdentity | Tout utilisateur ; l'appelant doit transmettre un JWT jeton OIDC conforme qui indique l'authentification auprès d'un fournisseur d'identité connu | 15 min | Durée de session maximale³ | 1 h | Non | Oui |
Impossible d'appeler |
| GetFederationToken | IAMutilisateur ou Utilisateur racine d'un compte AWS |
IAMutilisateur : 15 m | 36 h | 12 h Utilisateur racine : 15 min | 1 heure | 1 heure |
Non | Oui |
Impossible d'appeler IAM des opérations à l'aide du AWS CLI ou AWS API. Cette limitation ne s'applique pas aux sessions de console. Impossible d'appeler AWS STS les opérations sauf SSOla connexion à la console est autorisée.⁵ |
| GetSessionToken | IAMutilisateur ou Utilisateur racine d'un compte AWS |
IAMutilisateur : 15 m | 36 h | 12 h Utilisateur racine : 15 min | 1 heure | 1 heure |
Oui | Non |
Impossible d'appeler IAM API les opérations à moins que MFA des informations ne soient incluses dans la demande. Impossible d'appeler AWS STS API les opérations sauf SSOil n'est pas autorisé à accéder à la console. |
¹ MFAassistance. Vous pouvez inclure des informations sur un dispositif d'authentification multifactorielle (MFA) lorsque vous appelez les GetSessionToken API opérations AssumeRole et. Cela garantit que les informations d'identification de sécurité temporaires résultant de l'APIappel ne peuvent être utilisées que par les utilisateurs authentifiés auprès d'un MFA appareil. Pour de plus amples informations, veuillez consulter APIAccès sécurisé avec MFA.
² Prise en charge de la politique de session. Les politiques de session sont des politiques que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Cette politique limite les autorisations à partir de la politique basée sur l'identité du rôle ou de l'utilisateur qui sont attribuées à la session. Les autorisations de la session obtenues sont une combinaison des stratégies basées sur l'identité de l'entité et des stratégies de session. Les politiques de session ne peuvent pas être utilisées pour accorder plus d'autorisations que celles autorisées par la politique basée sur l'identité du rôle endossé actuellement. Pour de plus amples informations sur les autorisations de session de rôle, veuillez consulter Politiques de session.
³ Paramètre de durée de session maximale. Utilisez le paramètre DurationSeconds pour spécifier la durée de la session de votre rôle entre 900 secondes (15 minutes) et la durée de session maximale pour le rôle. Pour savoir comment afficher la valeur maximale pour votre rôle, veuillez consulter Mettre à jour la durée maximale de session pour un rôle.
⁴ GetCallerIdentity. Aucune autorisation n'est requise pour effectuer cette opération. Si un administrateur ajoute une politique à votre IAM utilisateur ou à votre rôle qui refuse explicitement l'accès à l'sts:GetCallerIdentityaction, vous pouvez toujours effectuer cette opération. Les autorisations ne sont pas requises car les mêmes informations sont renvoyées lorsqu'un IAM utilisateur ou un rôle se voit refuser l'accès. Pour afficher un exemple de réponse, consultez Je ne suis pas autorisé à exécuter : iam : DeleteVirtual MFADevice.
⁵ Authentification unique (SSO) sur la console. Pour le supportSSO, vous AWS pouvez appeler un point de terminaison de fédération (https://signin.aws.amazon.com/federation) et transmettre des informations d'identification de sécurité temporaires. Le point de terminaison renvoie un jeton que vous pouvez utiliser pour créer un jeton URL qui connecte un utilisateur directement à la console sans avoir besoin de mot de passe. Pour plus d'informations, consultez Permettre aux utilisateurs fédérés SAML 2.0 d'accéder au AWS Management Console la section Comment activer l'accès multicompte à la console de AWS gestion
⁶ Une fois que vous avez récupéré vos informations d'identification temporaires, vous ne pouvez pas accéder à l’interface AWS Management Console en transmettant les informations d'identification au point de terminaison d'authentification unique de fédération. Pour de plus amples informations, veuillez consulter Permettre à un courtier d'identité personnalisé d'accéder à la AWS console.
