Confronta le AWS STS credenziali - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Confronta le AWS STS credenziali

La tabella seguente confronta le caratteristiche delle API operazioni AWS STS che restituiscono credenziali di sicurezza temporanee. Per informazioni sui diversi metodi che si possono utilizzare per richiedere le credenziali di sicurezza temporanee assumendo un ruolo, consultare Metodi per assumere un ruolo. Per ulteriori informazioni sulle diverse AWS STS API operazioni che consentono di passare i tag di sessione, consulta. Passa i tag di sessione AWS STS

Nota

È possibile inviare AWS STS API chiamate a un endpoint globale o a uno degli endpoint regionali. Se scegli un endpoint più vicino a te, puoi ridurre la latenza e migliorare le prestazioni delle chiamate. API Se non è più possibile comunicare con l'endpoint originale è anche possibile scegliere di indirizzare le chiamate verso un endpoint regionale alternativo. Se utilizzi uno dei vari AWS SDKs, usa quel SDK metodo per specificare una regione prima di effettuare la API chiamata. Se crei HTTP API richieste manualmente, devi indirizzare tu stesso la richiesta all'endpoint corretto. Per ulteriori informazioni, consulta la sezione AWS STS relativa alle regioni e agli endpoint e la sezione Manage (Gestione) AWS STS in un Regione AWS.

AWS STS API Chi può chiamare Ciclo di vita delle credenziali (minimo | massimo | predefinito) MFAsupporto ¹ Supporto di policy di sessione² Restrizioni per le credenziali provvisorie risultanti
AssumeRole IAMutente o IAM ruolo con credenziali di sicurezza temporanee esistenti 15 min | Impostazione durata massima della sessione³ | 1 ora

Non è possibile chiamare GetFederationToken o GetSessionToken.

AssumeRoleWithSAML Qualsiasi utente o chiamante deve trasmettere una risposta di autenticazione che indichi SAML l'autenticazione da parte di un provider di identità noto 15 min | Impostazione durata massima della sessione³ | 1 ora No

Non è possibile chiamare GetFederationToken o GetSessionToken.

AssumeRoleWithWebIdentity Qualsiasi utente o chiamante deve passare un JWT token OIDC conforme che indichi l'autenticazione da parte di un provider di identità noto 15 min | Impostazione durata massima della sessione³ | 1 ora No

Non è possibile chiamare GetFederationToken o GetSessionToken.

GetFederationToken IAMutente o Utente root dell'account AWS

IAMutente: 15 m | 36 ore | 12 ore

Utente root: 15 m | 1 ora | 1 ora

No

Impossibile chiamare IAM le operazioni utilizzando AWS CLI o AWS API. Questa limitazione non si applica alle sessioni della console.

Impossibile chiamare AWS STS le operazioni tranne GetCallerIdentity .4

SSOè consentita la connessione alla console.

GetSessionToken IAMutente o Utente root dell'account AWS

IAMutente: 15 m | 36 ore | 12 ore

Utente root: 15 m | 1 ora | 1 ora

No

Non è possibile IAM API effettuare chiamate a meno che MFA le informazioni non siano incluse nella richiesta.

Impossibile chiamare AWS STS API le operazioni tranne AssumeRole oGetCallerIdentity.

SSOla connessione alla console non è consentita.

¹ supporto. MFA Puoi includere informazioni su un dispositivo di autenticazione a più fattori (MFA) quando chiami le GetSessionToken API operazioni AssumeRole and. Ciò garantisce che le credenziali di sicurezza temporanee risultanti dalla API chiamata possano essere utilizzate solo dagli utenti autenticati con un dispositivo. MFA Per ulteriori informazioni, consulta APIAccesso sicuro con MFA.

² Supporto per la policy di sessione. Le policy di sessione sono policy che si passano come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Questa policy limita le autorizzazioni dalla policy basata su identità del ruolo o dell'utente che sono assegnate alla sessione. Le autorizzazioni della sessione risultanti sono l'intersezione delle policy basate sull'identità dell'entità e delle policy di sessione. Le policy di sessione non possono essere utilizzate per concedere autorizzazioni maggiori rispetto a quelle consentite dalla policy basata sull'identità del ruolo che viene assunto. Per ulteriori informazioni sulle autorizzazioni della sessione del ruolo, consulta Policy di sessione.

³ Impostazione della durata massima della sessione. Utilizzare il parametro DurationSeconds per specificare la durata della sessione del ruolo da 900 secondi (15 minuti) fino all'impostazione di durata massima della sessione per il ruolo. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta Aggiornare la durata massima della sessione per un ruolo.

3. GetCallerIdentity Non sono necessarie autorizzazioni per eseguire questa operazione. Se un amministratore aggiunge una politica all'IAMutente o al ruolo che nega esplicitamente l'accesso all'sts:GetCallerIdentityazione, puoi comunque eseguire questa operazione. Le autorizzazioni non sono necessarie perché le stesse informazioni vengono restituite quando a un IAM utente o a un ruolo viene negato l'accesso. Per visualizzare un esempio di risposta, consulta Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice.

Single Sign-on (SSO) alla console. Per il supportoSSO, AWS consente di chiamare un endpoint federativo (https://signin.aws.amazon.com/federation) e passare credenziali di sicurezza temporanee. L'endpoint restituisce un token che è possibile utilizzare per creare un account URL che consente all'utente di accedere direttamente alla console senza richiedere una password. Per ulteriori informazioni, consulta Consentire agli utenti federati SAML 2.0 di accedere a AWS Management Console e Come abilitare l'accesso tra più account alla console di AWS gestione nel blog sulla AWS sicurezza.

⁶ Dopo aver recuperato le credenziali provvisorie, non è possibile accedere alla AWS Management Console inoltrando le credenziali all'endpoint Single Sign-On della federazione. Per ulteriori informazioni, consulta Abilita l'accesso personalizzato del broker di identità alla AWS console.