Kelola AWS STS dalam sebuah Wilayah AWS - AWS Identity and Access Management
Mengaktifkan dan menonaktifkan AWS STS dalam sebuah Wilayah AWSMenulis kode untuk digunakan AWS STS WilayahMengelola token sesi titik akhir global

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kelola AWS STS dalam sebuah Wilayah AWS

Titik akhir Regional adalah titik masuk dalam wilayah tertentu untuk URL AWS layanan web. AWS merekomendasikan menggunakan Regional AWS Security Token Service (AWS STS) titik akhir alih-alih titik akhir global untuk mengurangi latensi, membangun redundansi, dan meningkatkan validitas token sesi. Meskipun global (warisan) AWS STS titik akhir https://sts.amazonaws.com sangat tersedia, dihosting dalam satu AWS Wilayah, AS Timur (Virginia N.), dan seperti titik akhir lainnya, ia tidak menyediakan failover otomatis ke titik akhir di Wilayah lain.

  • Kurangi latensi — Dengan membuat AWS STS panggilan ke titik akhir yang secara geografis lebih dekat dengan layanan dan aplikasi Anda, Anda dapat mengakses AWS STS layanan dengan latensi yang lebih rendah dan waktu respons yang lebih baik.

  • Membangun redundansi — Anda dapat membatasi efek kegagalan dalam beban kerja ke sejumlah komponen terbatas dengan cakupan penahanan dampak yang dapat diprediksi. Menggunakan regional AWS STS endpoint memungkinkan Anda menyelaraskan cakupan komponen Anda dengan cakupan token sesi Anda. Untuk informasi selengkapnya tentang pilar keandalan ini, lihat Menggunakan isolasi kesalahan untuk melindungi beban kerja Anda di AWS Kerangka Well-Architected.

  • Meningkatkan validitas token sesi — Token sesi dari Regional AWS STS titik akhir berlaku di semua Wilayah AWS. Token sesi dari STS titik akhir global hanya berlaku di Wilayah AWS yang diaktifkan secara default. Jika Anda bermaksud mengaktifkan Wilayah baru untuk akun Anda, Anda dapat menggunakan token sesi dari Regional AWS STS titik akhir. Jika Anda memilih untuk menggunakan titik akhir global, Anda harus mengubah kompatibilitas Wilayah AWS STS token sesi untuk titik akhir global. Melakukannya memastikan bahwa token valid di semua Wilayah AWS.

Untuk daftar AWS STS Daerah dan titik akhirnya, lihatAWS STS Wilayah dan titik akhir.

Mengaktifkan dan menonaktifkan AWS STS dalam sebuah Wilayah AWS

Saat Anda mengaktifkan STS titik akhir untuk Wilayah, AWS STS dapat mengeluarkan kredensi sementara untuk pengguna dan peran di akun Anda yang membuat AWS STS permintaan. Kredensial tersebut kemudian dapat digunakan di setiap Wilayah yang diaktifkan secara default atau diaktifkan secara manual. Untuk Wilayah yang diaktifkan secara default, Anda harus mengaktifkan STS titik akhir Regional di akun tempat kredensi sementara dibuat. Tidak masalah apakah pengguna masuk ke akun yang sama atau akun yang berbeda saat mereka mengajukan permintaan. Untuk Wilayah yang diaktifkan secara manual, Anda harus mengaktifkan Wilayah di kedua akun yang membuat permintaan dan akun tempat kredensi sementara dibuat.

Misalnya, bayangkan pengguna di akun A ingin mengirim sts:AssumeRole API permintaan ke AWS STS Titik akhir https://sts.us-west-2.amazonaws.com regional. Permintaan adalah untuk kredensial sementara untuk peran bernama Developer di akun B. karena permintaan adalah untuk membuat kredensial untuk entitas di akun B, akun B harus mengaktifkan Wilayah us-west-2. Pengguna dari akun A (atau akun lainnya) dapat menghubungi us-west-2 AWS STS endpoint untuk meminta kredensil untuk akun B apakah Wilayah diaktifkan di akun mereka atau tidak.

catatan

Wilayah Aktif tersedia bagi semua orang yang menggunakan kredensial sementara dalam akun tersebut. Untuk mengontrol IAM pengguna atau peran mana yang dapat mengakses Wilayah, gunakan kunci aws:RequestedRegion kondisi dalam kebijakan izin Anda.

Untuk mengaktifkan atau menonaktifkan AWS STS di Wilayah yang diaktifkan secara default (konsol)

  1. Masuk sebagai pengguna root atau pengguna dengan izin untuk melakukan tugas IAM administrasi.

  2. Buka IAMkonsol dan di panel navigasi pilih Pengaturan akun.

  3. Di bagian Security Token Service (STS) Endpoints, cari Region yang ingin Anda konfigurasikan, lalu pilih Aktif atau Tidak Aktif di kolom STSstatus.

  4. Di kotak dialog yang terbuka, pilih Aktifkan atau Nonaktifkan.

Untuk Wilayah yang harus diaktifkan, kami aktifkan AWS STS secara otomatis saat Anda mengaktifkan Region. Setelah Anda mengaktifkan Region, AWS STS selalu aktif untuk Wilayah dan Anda tidak dapat menonaktifkannya. Untuk mempelajari cara mengaktifkan Wilayah yang dinonaktifkan secara default, lihat Menentukan yang Wilayah AWS Akun Anda dapat digunakan di AWS Account Management Panduan Referensi.

Menulis kode untuk digunakan AWS STS Wilayah

Setelah Anda mengaktifkan Region, Anda dapat mengarahkan AWS STS APIpanggilan ke wilayah tersebut. Cuplikan kode Java berikut menunjukkan cara mengkonfigurasi AWSSecurityTokenService objek untuk membuat permintaan ke Eropa (Milan) (eu-south-1) Wilayah.

EndpointConfiguration regionEndpointConfig = new EndpointConfiguration("https://sts.eu-south-1.amazonaws.com", "eu-south-1");
AWSSecurityTokenService stsRegionalClient = AWSSecurityTokenServiceClientBuilder.standard()
.withCredentials(credentials)
.withEndpointConfiguration(regionEndpointConfig)
.build();

AWS STS merekomendasikan agar Anda melakukan panggilan ke titik akhir Regional. Untuk mempelajari cara mengaktifkan Region secara manual, lihat Menentukan yang Wilayah AWS Akun Anda dapat digunakan di AWS Account Management Panduan Referensi.

Dalam contoh, baris pertama membuat instance EndpointConfiguration objek yang dipanggilregionEndpointConfig, melewati titik URL akhir dan Wilayah AWS sebagai parameternya.

Untuk mempelajari cara mengatur AWS STS titik akhir regional menggunakan variabel lingkungan untuk AWS SDKs, lihat AWS STS Titik akhir regional di AWS SDKsdan Panduan Referensi Alat.

Untuk semua kombinasi bahasa dan lingkungan pemrograman lainnya, lihat dokumentasi untuk yang relevan SDK.

Mengelola token sesi titik akhir global

Kebanyakan Wilayah AWS diaktifkan untuk operasi di semua Layanan AWS secara default. Wilayah tersebut secara otomatis diaktifkan untuk digunakan dengan AWS STS. Beberapa Wilayah, seperti Asia Pasifik (Hong Kong), harus diaktifkan secara manual. Untuk mempelajari lebih lanjut tentang mengaktifkan dan menonaktifkan Wilayah AWS, lihat Tentukan yang Wilayah AWS Akun Anda dapat digunakan di AWS Account Management Panduan Referensi. Saat Anda mengaktifkan ini AWS Wilayah, mereka secara otomatis diaktifkan untuk digunakan dengan AWS STS. Anda tidak dapat mengaktifkan AWS STS titik akhir untuk Wilayah yang dinonaktifkan. Token sesi yang valid di semua Wilayah AWS menyertakan lebih banyak karakter daripada token yang valid di Wilayah yang diaktifkan secara default. Mengubah pengaturan ini mungkin memengaruhi sistem yang sudah ada di mana Anda menyimpan token untuk sementara waktu.

Anda dapat mengubah pengaturan ini menggunakan AWS Management Console, AWS CLI, atau AWS API.

Untuk mengubah kesesuaian Wilayah token sesi untuk titik akhir global (konsole)

  1. Masuk sebagai pengguna root atau pengguna dengan izin untuk melakukan tugas IAM administrasi. Untuk mengubah kesesuaian token sesi, Anda harus memiliki kebijakan yang memungkinkan tindakan iam:SetSecurityTokenServicePreferences.

  2. Buka IAMkonsol. Di panel navigasi, pilih Pengaturan akun.

  3. Di bawah Security Token Service (STS) bagian Token Sesi dari STS titik akhir. Titik akhir Global menunjukkanValid only in Wilayah AWS enabled by default. Pilih Ubah.

  4. Dalam kotak dialog Ubah kompatibilitas wilayah, pilih Semua Wilayah AWS. Kemudian pilih Simpan perubahan.

    catatan

    Token sesi yang valid di semua Wilayah AWS menyertakan lebih banyak karakter daripada token yang valid di Wilayah yang diaktifkan secara default. Mengubah pengaturan ini mungkin memengaruhi sistem yang sudah ada di mana Anda menyimpan token untuk sementara waktu.

Untuk mengubah kompatibilitas Wilayah token sesi untuk titik akhir global (AWS CLI)

Atur versi token sesi. Token versi 1 hanya berlaku di Wilayah AWS yang tersedia secara default. Token ini tidak bekerja di Wilayah yang diaktifkan secara manual, seperti Asia Pasifik (Hong Kong). Token Versi 2 valid di semua Wilayah. Namun, token versi 2 memuat lebih banyak karakter dan mungkin memengaruhi sistem tempat Anda menyimpan token untuk sementara waktu.

Untuk mengubah kompatibilitas Wilayah token sesi untuk titik akhir global (AWS API)

Atur versi token sesi. Token versi 1 hanya berlaku di Wilayah AWS yang tersedia secara default. Token ini tidak bekerja di Wilayah yang diaktifkan secara manual, seperti Asia Pasifik (Hong Kong). Token Versi 2 valid di semua Wilayah. Namun, token versi 2 memuat lebih banyak karakter dan mungkin memengaruhi sistem tempat Anda menyimpan token untuk sementara waktu.