Comparaison des informations d’identification AWS STS
Le tableau suivant compare les fonctions des opérations d'API AWS STS qui renvoient des informations d'identification de sécurité temporaires. Pour en savoir plus sur les différentes méthodes disponibles pour demander des identifiants de sécurité temporaires en endossant un rôle, consultez Méthodes pour assumer un rôle. Pour en savoir plus sur les différentes opérations d'API AWS STS qui vous permettent de transmettre des balises de session, veuillez consulter Transmission des balises de session dans AWS STS.
Note
Vous pouvez acheminer les appels d'API AWS STS vers un point de terminaison global ou un des points de terminaison régionaux. En choisissant un point de terminaison plus proche de vous, il est possible de réduire la latence et d'améliorer les performances de vos appels d'API. Vous pouvez également diriger vos appels vers un autre point de terminaison régional si vous n'êtes plus en mesure de communiquer avec le point de terminaison initial. Si vous utilisez un des kits SDK AWS disponibles, utilisez sa méthode pour spécifier une région avant d'effectuer l'appel d'API. Si vous créez manuellement des demandes d'API HTTP, vous devez les diriger vous-même vers le point de terminaison approprié. Pour plus d'informations, consultez la section AWS STS de Régions et points de terminaison et Gestion de AWS STS dans un Région AWS.
| API AWS STS | Qui peut appeler | Durée de vie des informations d'identification (min | max | par défaut) | Prise en charge de l'authentification MFA¹ | Prise en charge de la politique de session² | Restrictions applicables aux informations d'identification temporaires générées |
|---|---|---|---|---|---|
| AssumeRole | Utilisateur IAM ou rôle IAM disposant d'informations d'identification de sécurité temporaires existantes | 15 min | Durée de session maximale³ | 1 h | Oui | Oui |
Impossible d'appeler |
| AssumeRoleWithSAML | N'importe quel utilisateur ; le principal doit transmettre une réponse d'authentification SAML qui spécifie l'authentification par un fournisseur d'identité reconnu | 15 min | Durée de session maximale³ | 1 h | Non | Oui |
Impossible d'appeler |
| AssumeRoleWithWebIdentity | Tout utilisateur ; l’appelant doit transmettre un jeton JWT conforme à l’OIDC qui atteste d’une authentification auprès d’un fournisseur d’identité connu | 15 min | Durée de session maximale³ | 1 h | Non | Oui |
Impossible d'appeler |
| GetFederationToken | Utilisateur IAM ou Utilisateur racine d'un compte AWS |
Utilisateur IAM : 15 min | 36 h | 12 h Utilisateur racine : 15 min | 1 heure | 1 heure |
Non | Oui |
Impossible d'appeler des opérations IAM à l'aide de la AWS CLI ou de l'API AWS. Cette limitation ne s'applique pas aux sessions de console. Impossible d'appeler des opérations AWS STS, à l'exception de Connexion avec authentification unique (SSO) à la console autorisée.⁵ |
| GetSessionToken | Utilisateur IAM ou Utilisateur racine d'un compte AWS |
Utilisateur IAM : 15 min | 36 h | 12 h Utilisateur racine : 15 min | 1 heure | 1 heure |
Oui | Non |
Impossible d'appeler les opérations d'API IAM si les informations MFA ne figurent pas dans la demande. Impossible d'appeler les opérations d'API AWS STS, à l'exception de Connexion avec authentification unique (SSO) à la console non autorisée.⁶ |
¹ Prise en charge de l'authentification MFA. Lorsque vous appelez les opérations d'API AssumeRole et GetSessionToken, vous pouvez inclure des informations relatives à un dispositif d'authentification multi-facteur (MFA). De cette façon, les informations d'identification de sécurité temporaires obtenues lors l'appel d'API peuvent uniquement être utilisées par des utilisateurs authentifiés à l'aide d'un dispositif MFA. Pour plus d’informations, veuillez consulter Accès sécurisé aux API avec MFA.
² Prise en charge de la politique de session. Les politiques de session sont des politiques que vous passez en tant que paramètre lorsque vous créez par programmation une session temporaire pour un rôle ou un utilisateur fédéré. Cette politique limite les autorisations à partir de la politique basée sur l'identité du rôle ou de l'utilisateur qui sont attribuées à la session. Les autorisations de la session obtenues sont une combinaison des stratégies basées sur l'identité de l'entité et des stratégies de session. Les politiques de session ne peuvent pas être utilisées pour accorder plus d'autorisations que celles autorisées par la politique basée sur l'identité du rôle endossé actuellement. Pour de plus amples informations sur les autorisations de session de rôle, veuillez consulter Politiques de session.
³ Paramètre de durée de session maximale. Utilisez le paramètre DurationSeconds pour spécifier la durée de la session de votre rôle entre 900 secondes (15 minutes) et la durée de session maximale pour le rôle. Pour savoir comment afficher la valeur maximale pour votre rôle, veuillez consulter Mettre à jour la durée de session maximale pour un rôle.
⁴ GetCallerIdentity. Aucune autorisation n'est requise pour effectuer cette opération. Si un administrateur ajoute une politique à votre utilisateur ou rôle IAM qui refuse explicitement l'accès à l'action sts:GetCallerIdentity, vous pouvez toujours effectuer cette opération. Les autorisations ne sont pas requises, car les mêmes informations sont renvoyées lorsqu'un utilisateur ou un rôle IAM se voit refuser l'accès. Pour afficher un exemple de réponse, consultez Je ne suis pas autorisé à exécuter iam:DeleteVirtualMFADevice.
⁵ Connexion avec authentification unique (SSO) à la console. Afin de prendre en charge la connexion avec authentification unique (SSO), AWS vous permet d'appeler un point de terminaison de fédération (https://signin.aws.amazon.com/federation) et de transmettre des informations d'identification de sécurité temporaires. Le point de terminaison retourne un jeton que vous pouvez utiliser pour créer une URL qui connecte directement l'utilisateur à la console, sans avoir besoin d'un mot de passe. Pour plus d'informations, consultez Activation de l'accès des utilisateurs fédérés SAML 2.0 à la AWS Management Console et How to Enable Cross-Account Access to the AWS Management Console
⁶ Une fois que vous avez récupéré vos informations d'identification temporaires, vous ne pouvez pas accéder à l’interface AWS Management Console en transmettant les informations d'identification au point de terminaison d'authentification unique de fédération. Pour en savoir plus, consultez Activation de l’accès du fournisseur d’identité personnalisé à la console AWS.
