Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Confronta le credenziali AWS STS
La tabella seguente confronta le caratteristiche delle operazioni API in AWS STS che restituiscono credenziali di sicurezza temporanee. Per informazioni sui diversi metodi che si possono utilizzare per richiedere le credenziali di sicurezza temporanee assumendo un ruolo, consultare Metodi per assumere un ruolo. Per informazioni sulle diverse operazioni API di AWS STS che consentono di passare i tag di sessione, consultare Passare i tag di sessione in AWS STS.
Nota
È possibile inviare chiamate API AWS STS a un endpoint globale o a uno degli endpoint regionali. Se si seleziona un endpoint vicino, è possibile ridurre la latenza e migliorare le prestazioni delle chiamate API. Se non è più possibile comunicare con l'endpoint originale è anche possibile scegliere di indirizzare le chiamate verso un endpoint regionale alternativo. Se stai utilizzando uno dei vari SDK AWS, utilizza il metodo dell'SDK per specificare una regione prima di effettuare la chiamata API. Se costruiscono manualmente richieste API HTTP, è necessario indirizzare la richiesta all'endpoint corretto. Per ulteriori informazioni, consulta la sezione AWS STS relativa alle regioni e agli endpoint e la sezione Gestire AWS STS in un Regione AWS.
| API AWS STS | Chi può chiamare | Ciclo di vita delle credenziali (minimo | massimo | predefinito) | Supporto MFA¹ | Supporto di policy di sessione² | Restrizioni per le credenziali provvisorie risultanti |
|---|---|---|---|---|---|
| AssumeRole | Utente IAM o ruolo IAM con credenziali di sicurezza temporanee esistenti | 15 min | Impostazione durata massima della sessione³ | 1 ora | Sì | Sì |
Non è possibile chiamare |
| AssumeRoleWithSAML | Qualsiasi intermediario utente deve passare una risposta di autenticazione SAML che indica l'autenticazione da un provider di identità noto | 15 min | Impostazione durata massima della sessione³ | 1 ora | No | Sì |
Non è possibile chiamare |
| AssumeRoleWithWebIdentity | Qualsiasi utente; il chiamante deve passare un token JWT conforme a OIDC che indica l'autenticazione da un provider di identità noto | 15 min | Impostazione durata massima della sessione³ | 1 ora | No | Sì |
Non è possibile chiamare |
| GetFederationToken | Utente IAM o Utente root dell'account AWS |
Utente IAM: 15 m | 36 ore | 12 ore Utente root: 15 m | 1 ora | 1 ora |
No | Sì |
Non è possibile chiamare le operazioni IAM utilizzando la AWS CLI o l'API AWS. Questa limitazione non si applica alle sessioni della console. Non è possibile invocare le operazioni di AWS STS tranne L'accesso SSO alla console è consentito.⁵ |
| GetSessionToken | Utente IAM o Utente root dell'account AWS |
Utente IAM: 15 m | 36 ore | 12 ore Utente root: 15 m | 1 ora | 1 ora |
Sì | No |
Impossibile chiamare le operazioni API IAM a meno che le informazioni di MFA siano incluse con la richiesta. Non può richiamare le operazioni API AWS STS a eccezione di L'accesso SSO alla console non è consentito.⁶ |
¹ Supporto MFA. È possibile includere informazioni su un dispositivo con multi-factor authentication (MFA) quando si chiamano le operazioni API AssumeRole e GetSessionToken. In questo modo le credenziali di sicurezza provvisorie risultanti dalla chiamata API possono essere utilizzate solo dagli utenti autenticati con un dispositivo MFA. Per ulteriori informazioni, consulta APIAccesso sicuro con MFA.
² Supporto per la policy di sessione. Le policy di sessione sono policy che si passano come parametro quando si crea in modo programmatico una sessione temporanea per un ruolo o un utente federato. Questa policy limita le autorizzazioni dalla policy basata su identità del ruolo o dell'utente che sono assegnate alla sessione. Le autorizzazioni della sessione risultanti sono l'intersezione delle policy basate sull'identità dell'entità e delle policy di sessione. Le policy di sessione non possono essere utilizzate per concedere autorizzazioni maggiori rispetto a quelle consentite dalla policy basata sull'identità del ruolo che viene assunto. Per ulteriori informazioni sulle autorizzazioni della sessione del ruolo, consulta Policy di sessione.
³ Impostazione della durata massima della sessione. Utilizzare il parametro DurationSeconds per specificare la durata della sessione del ruolo da 900 secondi (15 minuti) fino all'impostazione di durata massima della sessione per il ruolo. Per informazioni su come visualizzare il valore massimo per il ruolo, consulta Aggiornamento della durata massima della sessione per un ruolo.
⁴ GetCallerIdentity. Non sono necessarie autorizzazioni per eseguire questa operazione. Se un amministratore aggiunge una policy al tuo utente o ruolo IAM che nega esplicitamente l'accesso all'operazione sts:GetCallerIdentity, puoi comunque eseguire questa operazione. Le autorizzazioni non sono necessarie perché le stesse informazioni vengono restituite quando a un utente o ruolo IAM viene negato l'accesso. Per visualizzare un esempio di risposta, consulta Non sono autorizzato a eseguire: iam: DeleteVirtual MFADevice.
⁵ Accesso Single Sign-On (SSO) alla console. Per il supporto di SSO, AWS consente di chiamare un endpoint di federazione (https://signin.aws.amazon.com/federation) e inoltrare le credenziali di sicurezza temporanee. L'endpoint restituisce un token che è possibile utilizzare per creare un URL che effettua l'accesso di un utente direttamente nella console senza richiedere una password. Per ulteriori informazioni, consulta Consentire agli utenti federati SAML 2.0 di accedere a AWS Management Console e la sezione relativa alla procedura di abilitazione dell'accesso su più account alla console di gestione AWS
⁶ Dopo aver recuperato le credenziali provvisorie, non è possibile accedere alla AWS Management Console inoltrando le credenziali all'endpoint Single Sign-On della federazione. Per ulteriori informazioni, consulta Abilita l'accesso personalizzato del broker di identità alla AWS console.
