Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Bandingkan AWS STS kredensialnya
Tabel berikut membandingkan fitur API operasi AWS STS yang mengembalikan kredensi keamanan sementara. Untuk mempelajari tentang berbagai metode yang dapat Anda gunakan untuk meminta kredensial keamanan sementara dengan mengambil peran, lihat Metode untuk mengambil peran. Untuk mempelajari tentang berbagai AWS STS API operasi yang memungkinkan Anda melewati tag sesi, lihatLulus tag sesi di AWS STS.
catatan
Anda dapat mengirim AWS STS API panggilan ke titik akhir global atau ke salah satu titik akhir Regional. Jika Anda memilih titik akhir yang lebih dekat dengan Anda, Anda dapat mengurangi latensi dan meningkatkan kinerja panggilan AndaAPI. Anda juga dapat memilih untuk mengarahkan panggilan Anda ke titik akhir Regional alternatif jika Anda tidak lagi dapat berkomunikasi dengan titik akhir awal. Jika Anda menggunakan salah satu dari berbagai AWS SDKs, maka gunakan SDK metode itu untuk menentukan Wilayah sebelum Anda melakukan API panggilan. Jika Anda membuat HTTP API permintaan secara manual, maka Anda harus mengarahkan permintaan ke titik akhir yang benar sendiri. Untuk informasi lebih lanjut, lihat bagian AWS STS dari Wilayah dan Titik Akhir dan Kelola AWS STS dalam sebuah Wilayah AWS.
| AWS STS API | Siapa yang bisa menelepon | Masa pakai kredensi (min | maks | default) | MFAdukungan ¹ | Dukungan kebijakan sesi² | Pembatasan pada kredensi sementara yang dihasilkan |
|---|---|---|---|---|---|
| AssumeRole | IAMpengguna atau IAM peran dengan kredensi keamanan sementara yang ada | 15 m | Pengaturan durasi sesi maksimum³ | 1 jam | Ya | Ya |
Tidak bisa menelepon |
| AssumeRoleWithSAML | Setiap pengguna; penelepon harus melewati respons SAML otentikasi yang menunjukkan otentikasi dari penyedia identitas yang dikenal | 15 m | Pengaturan durasi sesi maksimum³ | 1 jam | Tidak | Ya |
Tidak bisa menelepon |
| AssumeRoleWithWebIdentity | Setiap pengguna; penelepon harus melewati JWT token yang OIDC sesuai yang menunjukkan otentikasi dari penyedia identitas yang dikenal | 15 m | Pengaturan durasi sesi maksimum³ | 1 jam | Tidak | Ya |
Tidak bisa menelepon |
| GetFederationToken | IAMpengguna atau Pengguna root akun AWS |
IAMpengguna: 15 m | 36 jam | 12 jam Pengguna root: 15 m | 1 jam | 1 jam |
Tidak | Ya |
Tidak dapat memanggil IAM operasi menggunakan AWS CLI atau AWS API. Batasan ini tidak berlaku untuk sesi konsol. Tidak dapat memanggil AWS STS operasi kecuali SSOke konsol diizinkan.1 |
| GetSessionToken | IAMpengguna atau Pengguna root akun AWS |
IAMpengguna: 15 m | 36 jam | 12 jam Pengguna root: 15 m | 1 jam | 1 jam |
Ya | Tidak |
Tidak dapat memanggil IAM API operasi kecuali MFA informasi disertakan dengan permintaan. Tidak dapat memanggil AWS STS API operasi kecuali SSOke konsol tidak diizinkan.1 |
¹ MFAdukungan. Anda dapat menyertakan informasi tentang perangkat otentikasi multi-faktor (MFA) saat Anda memanggil AssumeRole dan GetSessionToken API operasi. Ini memastikan bahwa kredenal keamanan sementara yang dihasilkan dari API panggilan hanya dapat digunakan oleh pengguna yang diautentikasi dengan perangkat. MFA Untuk informasi selengkapnya, lihat APIAkses aman dengan MFA.
² Dukungan kebijakan sesi. Kebijakan sesi adalah kebijakan yang Anda jalankan sebagai parameter saat Anda secara terprogram membuat sesi sementara untuk peran atau pengguna federasi. Kebijakan ini membatasi izin dari peran atau kebijakan berbasis identitas pengguna yang ditetapkan untuk sesi. Izin sesi yang dihasilkan adalah titik pertemuan antara kebijakan berbasis identitas entitas dan kebijakan sesi. Kebijakan sesi tidak dapat digunakan untuk memberikan lebih banyak izin daripada yang diizinkan oleh kebijakan berbasis identitas dari peran yang sedang diasumsikan. Untuk informasi lebih lanjut tentang izin sesi peran, lihat Kebijakan sesi.
³ Pengaturan durasi sesi maksimum. Gunakan parameter DurationSeconds untuk menentukan durasi sesi peran Anda dari 900 detik (15 menit) hingga pengaturan durasi sesi maksimum untuk peran tersebut. Untuk mempelajari cara melihat nilai maksimum untuk peran Anda, lihat Memperbarui durasi sesi maksimum untuk peran.
GetCallerIdentity. Tidak ada izin yang diperlukan untuk melakukan operasi ini. Jika administrator menambahkan kebijakan ke IAM pengguna atau peran Anda yang secara eksplisit menolak akses ke sts:GetCallerIdentity tindakan, Anda masih dapat melakukan operasi ini. Izin tidak diperlukan karena informasi yang sama dikembalikan ketika IAM pengguna atau peran ditolak aksesnya. Untuk melihat contoh tanggapan, lihat Saya tidak berwenang untuk melakukan: iam: DeleteVirtual MFADevice.
Single sign-on (SSO) ke konsol. Untuk mendukungSSO, Anda AWS dapat memanggil federasi endpoint (https://signin.aws.amazon.com/federation) dan meneruskan kredensi keamanan sementara. Titik akhir mengembalikan token yang dapat Anda gunakan untuk membuat tanda tangan URL pengguna langsung ke konsol tanpa memerlukan kata sandi. Untuk informasi selengkapnya, lihat Mengaktifkan pengguna federasi SAMP 2.0 untuk mengakses AWS Management Console dan Cara Mengaktifkan Akses Lintas Akun ke Konsol AWS Manajemen
⁶ Setelah Anda mendapatkan kredensial sementara Anda, Anda tidak dapat mengakses Konsol Manajemen AWS Management Console dengan meneruskan kredensial ke titik akhir masuk tunggal gabungan. Untuk informasi selengkapnya, lihat Aktifkan akses broker identitas khusus ke AWS konsol.
