Kredensial keamanan sementara di IAM - AWS Identity and Access Management
AWS STS dan AWS daerahSkenario umum untuk kredensial sementara

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kredensial keamanan sementara di IAM

Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk membuat dan menyediakan kredenal keamanan sementara kepada pengguna tepercaya yang dapat mengontrol akses ke sumber daya Anda AWS . Kredensil keamanan sementara bekerja hampir identik dengan kredensil kunci akses jangka panjang, dengan perbedaan berikut:

  • Kredensial keamanan sementara bersifat jangka pendek, seperti namanya. Konfigurasi dapat berlangsung selama beberapa menit hingga beberapa jam. Setelah kredensil kedaluwarsa, AWS tidak lagi mengenalinya atau mengizinkan segala jenis akses dari permintaan API yang dibuat dengannya.

  • Kredensial keamanan sementara tidak disimpan dengan pengguna tetapi dihasilkan secara dinamis dan diberikan kepada pengguna saat diminta. Ketika (atau bahkan sebelum) kredensial keamanan sementara kedaluwarsa, pengguna dapat meminta kredensial baru, selama pengguna yang memintanya masih memiliki izin untuk melakukannya.

Akibatnya, kredensil sementara memiliki keunggulan sebagai berikut dibandingkan kredensil jangka panjang:

  • Anda tidak perlu mendistribusikan atau menanamkan kredensil AWS keamanan jangka panjang dengan aplikasi.

  • Anda dapat memberikan akses ke AWS sumber daya Anda kepada pengguna tanpa harus menentukan AWS identitas untuk mereka. Kredensi sementara adalah dasar untuk peran dan federasi identitas.

  • Kredensi keamanan sementara memiliki masa pakai yang terbatas, jadi Anda tidak perlu memperbaruinya atau mencabutnya secara eksplisit saat tidak lagi diperlukan. Setelah kredensial keamanan sementara berakhir, kredensial tersebut tidak dapat digunakan kembali. Anda dapat menentukan berapa lama kredensial berlaku, hingga batas maksimum.

AWS STS dan AWS daerah

Kredensial keamanan sementara dihasilkan oleh AWS STS. Secara default, AWS STS adalah layanan global dengan titik akhir tunggal dihttps://sts.amazonaws.com. Namun, Anda juga dapat memilih untuk melakukan panggilan AWS STS API ke titik akhir di Wilayah lain yang didukung. Ini dapat mengurangi latensi (server lag) dengan mengirim permintaan ke server di Wilayah yang secara geografis lebih dekat dengan Anda. Tidak peduli dari Wilayah mana kredensial Anda berasal, mereka bekerja secara global. Untuk informasi selengkapnya, lihat Mengelola AWS STS dalam Wilayah AWS.

Skenario umum untuk kredensial sementara

Kredensial sementara berguna dalam skenario yang melibatkan federasi identitas, pendelegasian, akses lintas akun, dan peran IAM.

Federasi identitas

Anda dapat mengelola identitas pengguna di sistem eksternal di luar AWS dan memberi pengguna yang masuk dari sistem tersebut akses untuk melakukan AWS tugas dan mengakses AWS sumber daya Anda. IAM mendukung dua jenis federasi identitas. Dalam kedua kasus, identitas disimpan di luar. AWS Perbedaannya adalah tempat sistem eksternal berada—di pusat data Anda atau pihak ketiga eksternal di web. Untuk informasi lebih lanjut tentang penyedia identitas eksternal, lihat Penyedia dan federasi identitas.

  • Federasi SAFL — Anda dapat mengautentikasi pengguna di jaringan organisasi Anda, dan kemudian memberikan akses kepada pengguna tersebut AWS tanpa membuat AWS identitas baru untuk mereka dan mengharuskan mereka untuk masuk dengan kredenal masuk yang berbeda. Ini dikenal sebagai pendekatan masuk tunggal untuk akses sementara. AWS STS mendukung standar terbuka seperti Security Assertion Markup Language (SAFL) 2.0, yang dengannya Anda dapat menggunakan Microsoft AD FS untuk memanfaatkan Microsoft Active Directory Anda. Anda juga dapat menggunakan SAML 2.0 untuk mengelola solusi Anda sendiri untuk memfederasi identitas pengguna. Untuk informasi selengkapnya, lihat Federasi SAML 2.0.

    • Pialang federasi khusus — Anda dapat menggunakan sistem otentikasi organisasi Anda untuk memberikan akses ke AWS sumber daya. Untuk contoh skenario, lihat Mengaktifkan akses broker identitas khusus ke konsol AWS.

    • Federasi menggunakan SAFL 2.0 — Anda dapat menggunakan sistem otentikasi organisasi Anda dan SALL untuk memberikan akses ke sumber daya. AWS Untuk informasi lebih lanjut dan contoh skenario, lihat Federasi SAML 2.0.

  • Federasi OpenID Connect (OIDC) - Anda dapat mengizinkan pengguna masuk menggunakan penyedia identitas pihak ketiga yang terkenal seperti Login with Amazon, Facebook, Google, atau penyedia yang kompatibel dengan OIDC 2.0 untuk aplikasi seluler atau web Anda, Anda tidak perlu membuat kode masuk khusus atau mengelola identitas pengguna Anda sendiri. Menggunakan federasi OIDC membantu Anda menjaga Akun AWS keamanan Anda, karena Anda tidak perlu mendistribusikan kredensil keamanan jangka panjang, seperti kunci akses pengguna IAM, dengan aplikasi Anda. Untuk informasi selengkapnya, lihat Federasi OIDC.

    AWS STS Federasi OIDC mendukung Login with Amazon, Facebook, Google, dan penyedia identitas yang kompatibel dengan OpenID Connect (OIDC).

    catatan

    Untuk aplikasi seluler, kami sarankan Anda menggunakan Amazon Cognito. Anda dapat menggunakan layanan ini dengan AWS SDK untuk pengembangan seluler untuk membuat identitas unik bagi pengguna dan mengautentikasi mereka untuk akses aman ke sumber daya Anda. AWS Amazon Cognito mendukung penyedia identitas yang sama dengan AWS STS, dan juga mendukung akses (tamu) yang tidak diautentikasi dan memungkinkan Anda memigrasikan data pengguna saat pengguna masuk. Amazon Cognito juga menyediakan operasi API untuk mensinkronisasi data pengguna sehingga data terjaga saat pengguna berpindah antar perangkat. Untuk informasi selengkapnya, lihat Otentikasi dengan Amplify di Dokumentasi Amplify.

Peran untuk akses lintas akun

Banyak organisasi mempertahankan lebih dari satu Akun AWS. Dengan menggunakan peran dan akses lintas akun, Anda dapat menentukan identitas pengguna dalam satu akun, dan menggunakan identitas tersebut untuk mengakses sumber daya AWS di akun lain yang menjadi bagian dari organisasi Anda. Ini dikenal sebagai pendekatan pendelegasian ke akses sementara. Untuk informasi selengkapnya tentang cara membuat peran lintas akun, lihat Membuat peran untuk mendelegasikan izin kepada pengguna IAM. Untuk mempelajari apakah prinsipal dalam akun di luar zona kepercayaan (organisasi atau akun terpercaya) memiliki akses untuk mengasumsikan peran Anda, lihat Apa yang dimaksud dengan IAM Access Analyzer?.

Peran untuk Amazon EC2

Jika Anda menjalankan aplikasi di instans Amazon EC2 dan aplikasi tersebut memerlukan akses ke AWS sumber daya, Anda dapat memberikan kredensil keamanan sementara ke instans saat meluncurkannya. Kredensial keamanan sementara ini tersedia untuk semua aplikasi yang berjalan pada instans, sehingga Anda tidak perlu menyimpan kredensial jangka panjang apa pun pada instans. Untuk informasi selengkapnya, lihat Menggunakan peran IAM untuk memberikan izin pada aplikasi yang berjalan di instans Amazon EC2..

AWS Layanan lainnya

Anda dapat menggunakan kredensil keamanan sementara untuk mengakses sebagian besar AWS layanan. Untuk daftar layanan yang menerima kredensial keamanan sementara, lihat AWS layanan yang bekerja dengan IAM.