Gestion de AWS STS dans un Région AWS - AWS Identity and Access Management
Activation et désactivation de AWS STS dans une Région AWSÉcriture de code pour l'utilisation de AWS STSGestion des jetons de session de point de terminaison global

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Gestion de AWS STS dans un Région AWS

Un point de terminaison régional est l’URL du point d’entrée dans une région particulière pour un service Web AWS. AWS recommande d’utiliser des points de terminaison AWS Security Token Service régionaux (AWS STS) au lieu du point de terminaison global afin de réduire la latence, d’intégrer la redondance et d’augmenter la validité des jetons de session. Bien que le point de terminaison AWS STS global (hérité) https://sts.amazonaws.com soit hautement disponible, il est hébergé dans une seule Région AWS, USA Est (Virginie du Nord), et comme les autres points de terminaison, il n’assure pas le basculement automatique vers les points de terminaison situés dans d’autres régions.

  • Réduire la latence : en acheminant vos appels AWS STS vers un point de terminaison géographiquement plus proche de vos services et applications, il est possible d'accéder aux services AWS STS avec une latence moins élevée et des temps de réponse plus courts.

  • Intégrer de la redondance : vous pouvez limiter les effets d'une défaillance au sein d'une charge de travail à un nombre limité de composants avec une portée prévisible de maîtrise des impacts. L'utilisation de points de terminaison AWS STS régionaux vous permet d'aligner la portée de vos composants sur celle de vos jetons de session. Pour plus d'informations sur ce pilier de fiabilité, consultez Utilisation de l'isolation des défaillances pour protéger votre charge de travail dans le cadre AWS Well-Architected.

  • Increase session token validity (Augmenter la validité du jeton de session) : les jetons de session des points de terminaison AWS STS régionaux sont valides dans toutes les Régions AWS. Les jetons de session des points de terminaison STS globaux sont valides uniquement dans les Régions AWS qui sont activées par défaut. Si vous avez l'intention d'activer une nouvelle région pour votre compte, vous pouvez utiliser des jetons de session à partir de points de terminaison AWS STS régionaux. Si vous choisissez d'utiliser le point de terminaison global, vous devez modifier la compatibilité régionale des jetons de session AWS STS pour le point de terminaison global. Cela garantit que les jetons sont valides dans toutes les Régions AWS.

Pour obtenir une liste des Régions AWS STS et de leurs points de terminaison, consultez Régions et points de terminaison AWS STS.

Activation et désactivation de AWS STS dans une Région AWS

Lorsque vous activez des points de terminaison STS pour une région, AWS STS peut émettre des informations d'identification temporaires pour les utilisateurs et rôles de votre compte qui font une demandeAWS STS. Ces informations d'identification peuvent ensuite être utilisées dans n'importe quelle région activée par défaut ou activée manuellement. Pour les régions activées par défaut, vous devez activer le point de terminaison STS régional sur le compte où les informations d'identification temporaires sont générées. Peu importe si un utilisateur est connecté au même compte ou à un compte différent lorsqu'il fait la demande. Pour les régions activées manuellement, vous devez activer la région à la fois sur le compte qui effectue la demande et sur le compte où les informations d'identification temporaires sont générées.

Par exemple, un utilisateur du compte A veut envoyer une demande d'API sts:AssumeRole au point de terminaison AWS STS régional https://sts.us-west-2.amazonaws.com. La demande concerne les informations d'identification temporaires du rôle nommé Developer dans le compte B. Étant donné qu'il s'agit d'une demande de création d'informations d'identification pour une entité du compte B, ce compte doit activer la région us-west-2. Les utilisateurs du compte A (ou de tout autre compte) peuvent appeler le point de terminaison AWS STS us-west-2 pour demander les informations d’identification pour le compte B, que la région soit activée ou non dans leurs comptes.

Note

Les régions actives sont disponibles pour chaque personne qui utilise des informations d'identification temporaires de ce compte. Pour contrôler les utilisateurs ou rôles IAM qui peuvent accéder à la région, utilisez la clé de condition aws:RequestedRegion dans vos politiques d'autorisations.

Pour activer ou désactiver AWS STS dans une région qui est activée par défaut (console)

  1. Connectez-vous en tant qu'utilisateur root ou utilisateur IAM avec les autorisations pour effectuer des tâches d'administration d'IAM.

  2. Ouvrez la console IAM, puis dans le panneau de navigation, sélectionnez Account settings (Paramètres du compte).

  3. Dans la section Security Token Service (STS) Points de terminaison, recherchez la région que vous souhaitez configurer, puis choisissez Active ou Inactive dans la colonne d'état STS.

  4. Dans la boîte de dialogue qui s'ouvre, choisissez Activate ou Deactivate (Activer ou Désactiver).

Pour les régions qui doivent être activées, nous activons automatiquement AWS STSlorsque vous activez la région. Une fois que vous avez activé une région, AWS STS est toujours actif pour la région et vous ne pouvez pas le désactiver. Pour en savoir plus sur l’activation des régions qui sont désactivées par défaut, consultez la section Spécification des Régions AWS que votre compte peut utiliser dans le Guide de référence AWS Account Management.

Écriture de code pour l'utilisation de AWS STS

Une fois que vous avez activé une région, vous pouvez diriger les appels d'API AWS STS vers cette région. L’extrait de code Java suivant illustre comment configurer un objet AWSSecurityTokenService pour effectuer des requêtes vers la région Europe (Milan) (eu-south-1).

EndpointConfiguration regionEndpointConfig = new EndpointConfiguration("https://sts.eu-south-1.amazonaws.com", "eu-south-1");
AWSSecurityTokenService stsRegionalClient = AWSSecurityTokenServiceClientBuilder.standard()
.withCredentials(credentials)
.withEndpointConfiguration(regionEndpointConfig)
.build();

AWS STS vous recommande d'effectuer des appels vers un point de terminaison régional. Pour savoir comment activer manuellement une région, consultez la section Spécification des Régions AWS que votre compte peut utiliser dans le Guide de référence AWS Account Management.

Dans l'exemple, la première ligne instancie un objet EndpointConfiguration appelé regionEndpointConfig, en transmettant l'URL du point de terminaison et la Région AWS comme paramètres.

Pour apprendre à configurerAWS STSpoints de terminaison régionaux utilisant une variable d'environnement pourAWSKits SDK, consultezAWS STSPoints de terminaison régionalisésdans leAWSGuide de référence des SDK et des outils.

Pour toutes les autres combinaisons de langage et d'environnement de programmation, reportez-vous à la documentation du kit SDK approprié.

Gestion des jetons de session de point de terminaison global

La plupart des Régions AWS sont activées pour les opérations dans tous les Services AWS par défaut. Ces régions sont automatiquement activées pour une utilisation avec AWS STS. Certaines régions, telles que l'Asie-Pacifique (Hong Kong), doivent être activées manuellement. Pour en savoir plus sur l’activation et la désactivation des Régions AWS, consultez la section Spécification des Régions AWS que votre compte peut utiliser dans le Guide de référence AWS Account Management. Lorsque vous activez ces régions AWS, elles sont automatiquement activées pour une utilisation avec AWS STS. Vous ne pouvez pas activer le point de terminaison AWS STS pour une région qui est désactivée. Les jetons de session qui sont valides dans toutes les Régions AWS incluent d’autres caractères que les jetons qui sont valides dans les régions qui sont activées par défaut. La modification de ce paramètre peut avoir un impact sur les systèmes existants où vous stockez temporairement les jetons.

Vous pouvez modifier ce paramètre à l'aide des outils AWS Management Console, AWS CLI ou de l'API AWS.

Pour modifier la compatibilité régionale des jetons de session pour le point de terminaison global (console)

  1. Connectez-vous en tant qu'utilisateur root ou utilisateur IAM avec les autorisations pour effectuer des tâches d'administration d'IAM. Pour modifier la compatibilité des jetons de session, vous devez posséder une politique qui autorise l'action iam:SetSecurityTokenServicePreferences.

  2. Ouvrez la console IAM. Dans le panneau de navigation, choisissez Paramètres du compte.

  3. Dans la section Security Token Service (STS), Jetons de session provenant des points de terminaison STS. Le point de terminaison global indique Valid only in Régions AWS enabled by default. Choisissez Change (Modifier).

  4. Dans la boîte de dialogue Modifier la compatibilité des régionsy, sélectionnez Toutes les Régions AWS . Ensuite, choisissez Enregistrer les modifications.

    Note

    Les jetons de session qui sont valides dans toutes les Région AWS incluent d’autres caractères que les jetons qui sont valides dans les régions qui sont activées par défaut. La modification de ce paramètre peut avoir un impact sur les systèmes existants où vous stockez temporairement les jetons.

Pour modifier la compatibilité régionale des jetons de session pour le point de terminaison global (AWS CLI)

Définissez la version du jeton de session. Les jetons de la version 1 sont valides uniquement dans les Régions AWS qui sont disponibles par défaut. Ces jetons ne fonctionnent pas dans les régions activées manuellement, par exemple, Asie-Pacifique (Hong Kong). Les jetons de la version 2 sont valides dans toutes les régions. Toutefois, les jetons de version 2 incluent plus de caractères et peuvent avoir un impact sur les systèmes où vous stockez temporairement les jetons.

Pour modifier la compatibilité régionale des jetons de session pour le point de terminaison global (API AWS)

Définissez la version du jeton de session. Les jetons de la version 1 sont valides uniquement dans les Régions AWS qui sont disponibles par défaut. Ces jetons ne fonctionnent pas dans les régions activées manuellement, par exemple, Asie-Pacifique (Hong Kong). Les jetons de la version 2 sont valides dans toutes les régions. Toutefois, les jetons de version 2 incluent plus de caractères et peuvent avoir un impact sur les systèmes où vous stockez temporairement les jetons.