AWS STS and AWS daerah Skenario umum untuk kredensial sementara Contoh aplikasi yang menggunakan kredensial sementara Sumber daya tambahan untuk kredensial sementara

Kredensi keamanan sementara di IAM

Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk membuat dan menyediakan pengguna tepercaya dengan kredenial keamanan sementara yang dapat mengontrol akses ke Anda AWS sumber daya. Kredensil keamanan sementara bekerja hampir identik dengan kredensil kunci akses jangka panjang, dengan perbedaan berikut:

Kredensial keamanan sementara bersifat jangka pendek, seperti namanya. Konfigurasi dapat berlangsung selama beberapa menit hingga beberapa jam. Setelah kredensialnya kedaluwarsa, AWS tidak lagi mengenali mereka atau mengizinkan segala jenis akses dari API permintaan yang dibuat dengan mereka.
Kredensial keamanan sementara tidak disimpan dengan pengguna tetapi dihasilkan secara dinamis dan diberikan kepada pengguna saat diminta. Ketika (atau bahkan sebelum) kredensial keamanan sementara kedaluwarsa, pengguna dapat meminta kredensial baru, selama pengguna yang memintanya masih memiliki izin untuk melakukannya.

Akibatnya, kredensil sementara memiliki keunggulan sebagai berikut dibandingkan kredensil jangka panjang:

Anda tidak perlu mendistribusikan atau menanamkan jangka panjang AWS kredensi keamanan dengan aplikasi.
Anda dapat memberikan akses ke AWS sumber daya untuk pengguna tanpa harus mendefinisikan AWS identitas untuk mereka. Kredensi sementara adalah dasar untuk peran dan federasi identitas.
Kredensi keamanan sementara memiliki masa pakai yang terbatas, jadi Anda tidak perlu memperbaruinya atau mencabutnya secara eksplisit saat tidak lagi diperlukan. Setelah kredensial keamanan sementara berakhir, kredensial tersebut tidak dapat digunakan kembali. Anda dapat menentukan berapa lama kredensial berlaku, hingga batas maksimum.

AWS STS and AWS daerah

Kredensi keamanan sementara dihasilkan oleh AWS STS. Secara default, AWS STS adalah layanan global dengan satu titik akhir dihttps://sts.amazonaws.com. Namun, Anda juga dapat memilih untuk membuat AWS STS APIpanggilan ke titik akhir di Wilayah lain yang didukung. Ini dapat mengurangi latensi (server lag) dengan mengirim permintaan ke server di Wilayah yang secara geografis lebih dekat dengan Anda. Tidak peduli dari Wilayah mana kredensial Anda berasal, mereka bekerja secara global. Untuk informasi selengkapnya, lihat Kelola AWS STS dalam sebuah Wilayah AWS.

Skenario umum untuk kredensial sementara

Kredensi sementara berguna dalam skenario yang melibatkan federasi identitas, delegasi, akses lintas akun, dan peran. IAM

Federasi identitas

Anda dapat mengelola identitas pengguna Anda di sistem eksternal di luar AWS dan memberikan pengguna yang masuk dari sistem tersebut akses untuk melakukan AWS tugas dan akses Anda AWS sumber daya. IAMmendukung dua jenis federasi identitas. Dalam kedua kasus tersebut, identitas disimpan di luar AWS. Perbedaannya adalah di mana sistem eksternal berada — di pusat data Anda atau pihak ketiga eksternal di web. Untuk membandingkan fitur kredensil keamanan sementara untuk federasi identitas, lihat. Bandingkan AWS STS kredensialnya

Untuk informasi lebih lanjut tentang penyedia identitas eksternal, lihat Penyedia dan federasi identitas.

Federasi OpenID Connect (OIDC) - Anda dapat mengizinkan pengguna masuk menggunakan penyedia identitas pihak ketiga yang terkenal seperti Login with Amazon, Facebook, Google, atau penyedia OIDC 2.0 yang kompatibel untuk aplikasi seluler atau web Anda, Anda tidak perlu membuat kode masuk khusus atau mengelola identitas pengguna Anda sendiri. Menggunakan OIDC federasi membantu Anda menjaga Akun AWS aman, karena Anda tidak perlu mendistribusikan kredensil keamanan jangka panjang, seperti kunci akses IAM pengguna, dengan aplikasi Anda. Untuk informasi selengkapnya, lihat OIDCfederasi.

AWS STS OIDCfederasi mendukung Login with Amazon, Facebook, Google, dan penyedia identitas yang kompatibel dengan OpenID Connect (OIDC).

catatan
Untuk aplikasi seluler, kami sarankan Anda menggunakan Amazon Cognito. Anda dapat menggunakan layanan ini dengan AWS SDKsuntuk pengembangan seluler untuk membuat identitas unik bagi pengguna dan mengautentikasi mereka untuk akses aman ke AWS sumber daya. Amazon Cognito mendukung penyedia identitas yang sama dengan AWS STS, dan juga mendukung akses (tamu) yang tidak diautentikasi dan memungkinkan Anda memigrasi data pengguna saat pengguna masuk. Amazon Cognito juga menyediakan API operasi untuk menyinkronkan data pengguna sehingga dipertahankan saat pengguna berpindah antar perangkat. Untuk informasi selengkapnya, lihat Otentikasi dengan Amplify di Dokumentasi Amplify.
SAMLfederasi — Anda dapat mengautentikasi pengguna di jaringan organisasi Anda, dan kemudian memberikan akses kepada pengguna tersebut AWS tanpa membuat yang baru AWS identitas untuk mereka dan mengharuskan mereka untuk masuk dengan kredenal masuk yang berbeda. Ini dikenal sebagai pendekatan masuk tunggal untuk akses sementara. AWS STS mendukung standar terbuka seperti Security Assertion Markup Language (SAML) 2.0, yang dengannya Anda dapat menggunakan Microsoft AD FS untuk memanfaatkan Microsoft Active Directory Anda. Anda juga dapat menggunakan SAML 2.0 untuk mengelola solusi Anda sendiri untuk menyatukan identitas pengguna. Untuk informasi selengkapnya, lihat SAML2.0 federasi.
- Pialang federasi khusus - Anda dapat menggunakan sistem otentikasi organisasi Anda untuk memberikan akses ke AWS sumber daya. Untuk contoh skenario, lihat Aktifkan akses broker identitas khusus ke AWS konsol.
- Federasi menggunakan SAML 2.0 — Anda dapat menggunakan sistem otentikasi organisasi Anda dan SAML memberikan akses ke AWS sumber daya. Untuk informasi lebih lanjut dan contoh skenario, lihat SAML2.0 federasi.

Peran untuk akses lintas akun

Banyak organisasi mempertahankan lebih dari satu Akun AWS. Menggunakan peran dan akses lintas akun, Anda dapat menentukan identitas pengguna dalam satu akun, dan menggunakan identitas tersebut untuk mengakses AWS sumber daya di akun lain milik organisasi Anda. Ini dikenal sebagai pendekatan pendelegasian ke akses sementara. Untuk informasi selengkapnya tentang cara membuat peran lintas akun, lihat Membuat peran untuk mendelegasikan izin ke pengguna IAM. Untuk mengetahui apakah prinsipal di akun di luar zona kepercayaan Anda (organisasi atau akun tepercaya) memiliki akses untuk mengambil peran Anda, lihat Apa itu IAM Access Analyzer? .

Peran untuk Amazon EC2

Jika Anda menjalankan aplikasi di EC2 instans Amazon dan aplikasi tersebut memerlukan akses ke AWS sumber daya, Anda dapat memberikan kredensil keamanan sementara untuk instans Anda saat Anda meluncurkannya. Kredensial keamanan sementara ini tersedia untuk semua aplikasi yang berjalan pada instans, sehingga Anda tidak perlu menyimpan kredensial jangka panjang apa pun pada instans. Untuk informasi selengkapnya, lihat Menggunakan IAM peran untuk memberikan izin ke aplikasi yang berjalan di instans Amazon EC2.

Untuk mempelajari lebih lanjut tentang EC2 kredensil peran IAM Amazon, lihat IAMperan untuk Amazon EC2 di Panduan Pengguna Amazon Elastic Compute Cloud.

Lainnya AWS layanan

Anda dapat menggunakan kredensi keamanan sementara untuk mengakses sebagian besar AWS layanan. Untuk daftar layanan yang menerima kredensial keamanan sementara, lihat AWS layanan yang bekerja dengan IAM.

Contoh aplikasi yang menggunakan kredensial sementara

Anda dapat menggunakan AWS Security Token Service (AWS STS) untuk membuat dan menyediakan pengguna tepercaya dengan kredenial keamanan sementara yang dapat mengontrol akses ke Anda AWS sumber daya. Untuk informasi lebih lanjut tentang AWS STS, lihat Kredensi keamanan sementara di IAM. Untuk melihat bagaimana Anda dapat menggunakan AWS STS untuk mengelola kredensil keamanan sementara, Anda dapat mengunduh contoh aplikasi berikut yang menerapkan skenario contoh lengkap:

Mengaktifkan Federation untuk AWS Menggunakan Windows Active DirectoryADFS,, dan SAML 2.0. Menunjukkan cara menghapus akses menggunakan federasi perusahaan ke AWS menggunakan Windows Active Directory (AD), Active Directory Federation Services (ADFS) 2.0, dan SAML (Security Assertion Markup Language) 2.0.
Aktifkan akses broker identitas khusus ke AWS konsol. Menunjukkan cara membuat proxy federasi kustom yang memungkinkan single sign-on (SSO) sehingga pengguna Active Directory yang ada dapat masuk ke AWS Management Console.
Cara Menggunakan Shibboleth untuk Single Sign-On ke AWS Management Console. . Menunjukkan cara menggunakan Shibboleth dan SAMLmemberi pengguna akses masuk tunggal () ke SSO AWS Management Console.

Sampel untuk OIDC federasi

Contoh aplikasi berikut menggambarkan cara menggunakan OIDCfederation dengan penyedia seperti Login with Amazon, Amazon Cognito, Facebook, atau Google. Anda dapat menukar otentikasi dari penyedia ini untuk sementara AWS kredensi keamanan untuk mengakses AWS layanan.

Tutorial Amazon Cognito - Kami menyarankan Anda menggunakan Amazon Cognito dengan AWS SDKsuntuk pengembangan mobile. Amazon Cognito adalah cara paling mudah untuk mengelola identitas untuk aplikasi seluler, serta menyediakan fitur tambahan seperti sinkronisasi dan identitas lintas perangkat. Untuk informasi selengkapnya tentang Amazon Cognito, lihat Otentikasi dengan Amplify di Dokumentasi Amplify.

Sumber daya tambahan untuk kredensial keamanan sementara

Skenario dan aplikasi berikut dapat memandu Anda dalam menggunakan kredensial keamanan sementara:

Bagaimana cara mengintegrasikan AWS STS SourceIdentity dengan penyedia identitas Anda. Posting ini menunjukkan kepada Anda cara mengatur AWS STS SourceIdentityatribut saat menggunakan Okta, Ping, atau OneLogin sebagai idP Anda.
OIDCfederasi. Bagian ini membahas cara mengonfigurasi IAM peran saat Anda menggunakan OIDC federasi dan. AssumeRoleWithWebIdentity API
APIAkses aman dengan MFA. Topik ini menjelaskan cara menggunakan peran untuk memerlukan otentikasi multi-faktor (MFA) untuk melindungi API tindakan sensitif di akun Anda.

Untuk informasi selengkapnya tentang kebijakan dan izin di AWS lihat topik-topik berikut:

Manajemen akses untuk AWS sumber daya
Logika evaluasi kebijakan.
Mengelola Izin Akses ke Sumber Daya Amazon S3 Anda di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.
Untuk mengetahui apakah prinsipal di akun di luar zona kepercayaan Anda (organisasi atau akun tepercaya) memiliki akses untuk mengambil peran Anda, lihat Apa itu IAM Access Analyzer? .

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Lihat SAML respons di browser

Bandingkan AWS STS kredensialnya