Manage (Gestione) AWS STS in un Regione AWS - AWS Identity and Access Management
Attivazione e disattivazione AWS STS in un Regione AWSScrittura di codice da utilizzare AWS STS RegioniGestione dei token di sessione emessi dall'endpoint globale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Manage (Gestione) AWS STS in un Regione AWS

Un endpoint regionale è il punto URL di ingresso all'interno di una particolare regione per un AWS servizio web. AWS consiglia di utilizzare Regional AWS Security Token Service (AWS STS) endpoint anziché l'endpoint globale per ridurre la latenza, aumentare la ridondanza e aumentare la validità del token di sessione. Sebbene sia globale (legacy) AWS STS l'endpoint https://sts.amazonaws.com è altamente disponibile, è ospitato in un unico dispositivo AWS Regione, Stati Uniti orientali (Virginia settentrionale) e, come altri endpoint, non fornisce il failover automatico sugli endpoint di altre regioni.

  • Riduci la latenza: creando AWS STS potete accedere alle chiamate verso un endpoint geograficamente più vicino ai vostri servizi e applicazioni AWS STS servizi con latenza inferiore e tempi di risposta migliori.

  • Progetta in ridondanza: puoi limitare gli effetti di un guasto all'interno di un carico di lavoro a un numero limitato di componenti con un ambito prevedibile di contenimento degli impatti. Utilizzo regionale AWS STS gli endpoints consentono di allineare l'ambito dei componenti con l'ambito dei token di sessione. Per ulteriori informazioni su questo pilastro di affidabilità, consulta Utilizzare l'isolamento dai guasti per proteggere il carico di lavoro in AWS Well-Architected Framework.

  • Aumenta la validità dei token di sessione: token di sessione di Regional AWS STS gli endpoint sono validi in tutti Regioni AWS. I token di sessione dell'STSendpoint globale sono validi solo in Regioni AWS che sono abilitati per impostazione predefinita. Se intendi abilitare una nuova regione per il tuo account, puoi utilizzare i token di sessione di Regional AWS STS endpoint. Se scegli di utilizzare l'endpoint globale, devi modificare la compatibilità regionale di AWS STS token di sessione per l'endpoint globale. In questo modo si garantisce che i token siano validi in tutti Regioni AWS.

Per un elenco di AWS STS Regioni e relativi endpoint, vediAWS STS Regioni ed endpoint.

Attivazione e disattivazione AWS STS in un Regione AWS

Quando attivi gli STS endpoint per una regione, AWS STS può rilasciare credenziali temporanee agli utenti e ai ruoli del tuo account che creano un AWS STS richiesta. Queste credenziali possono essere utilizzate in qualsiasi regione abilitata di default o manualmente. Per le regioni abilitate per impostazione predefinita, è necessario attivare l'STSendpoint regionale nell'account in cui vengono generate le credenziali temporanee. Al momento di effettuare la richiesta, non importa se un utente è autenticato sullo stesso account o su un altro account. Per le Regioni abilitate manualmente, è necessario attivare la Regione sia nell'account che effettua la richiesta sia nell'account in cui vengono generate le credenziali temporanee.

Ad esempio, immagina che un utente dell'account A desideri inviare una sts:AssumeRole API richiesta al AWS STS Endpoint https://sts.us-west-2.amazonaws.com regionale. La richiesta è per delle credenziali temporanee per il ruolo denominato Developer nell'account B. Poiché la richiesta è di creare le credenziali per un'entità nell'account B, l'account B deve attivare la regione us-west-2. Gli utenti dell'account A (o di qualsiasi altro account) possono chiamare il us-west-2 AWS STS endpoint per richiedere le credenziali per l'account B indipendentemente dal fatto che la Regione sia attivata o meno nei loro account.

Nota

Le regioni attive sono disponibili per tutti gli utenti che utilizzano credenziali provvisorie in tale account. Per controllare quali IAM utenti o ruoli possono accedere alla Regione, utilizza la chiave aws:RequestedRegion condizionale nelle tue politiche di autorizzazione.

Per attivare o disattivare AWS STS in una regione abilitata per impostazione predefinita (console)

  1. Accedi come utente root o utente con le autorizzazioni necessarie per eseguire attività di IAM amministrazione.

  2. Apri la IAMconsole e nel pannello di navigazione scegli Impostazioni account.

  3. Nella sezione Security Token Service (STS) () Endpoints, trova la regione che desideri configurare, quindi scegli Attivo o Inattivo nella colonna dello STSstato.

  4. Nella finestra di dialogo visualizzata, scegli Activate (Attiva) o Deactivate (Disattiva).

Per le regioni che devono essere abilitate, attiviamo AWS STS automaticamente quando abiliti la Regione. Dopo aver abilitato una regione, AWS STS è sempre attivo per la regione e non è possibile disattivarlo. Per ulteriori informazioni sull'attivazione delle regioni disattivate per impostazione predefinita, vedi Specificare quali Regioni AWS il tuo account può essere utilizzato in AWS Account Management Guida di riferimento.

Scrittura di codice da utilizzare AWS STS Regioni

Dopo aver attivato una regione, puoi indirizzare AWS STS APIchiamate verso quella regione. Il seguente frammento di codice Java mostra come configurare un AWSSecurityTokenService oggetto per effettuare richieste a Europe (Milan) (eu-south-1) Regione.

EndpointConfiguration regionEndpointConfig = new EndpointConfiguration("https://sts.eu-south-1.amazonaws.com", "eu-south-1");
AWSSecurityTokenService stsRegionalClient = AWSSecurityTokenServiceClientBuilder.standard()
.withCredentials(credentials)
.withEndpointConfiguration(regionEndpointConfig)
.build();

AWS STS consiglia di effettuare chiamate verso un endpoint regionale. Per informazioni su come abilitare manualmente una regione, consulta Specificare quale Regioni AWS il tuo account può essere utilizzato in AWS Account Management Guida di riferimento.

Nell'esempio, la prima riga crea un'istanza di un EndpointConfiguration oggetto chiamatoregionEndpointConfig, passando l'URLendpoint e il Regione AWS come parametri.

Per imparare a impostare AWS STS endpoint regionali che utilizzano una variabile di ambiente per AWS SDKs, vedi AWS STS Endpoint regionalizzati in AWS SDKse Guida di riferimento agli strumenti.

Per tutte le altre combinazioni di linguaggi e ambienti di programmazione, consultate la documentazione pertinente SDK.

Gestione dei token di sessione emessi dall'endpoint globale

La maggior parte Regioni AWS sono abilitati all'operatività in tutti Servizi AWS per impostazione predefinita. Queste regioni vengono attivate automaticamente per essere utilizzate con AWS STS. Alcune regioni, come Asia Pacifico (Hong Kong), devono essere abilitate manualmente. Per saperne di più sull'attivazione e la disabilitazione Regioni AWS, vedi Specificare quale Regioni AWS il tuo account può essere utilizzato in AWS Account Management Guida di riferimento. Quando li abiliti AWS Le regioni vengono attivate automaticamente per essere utilizzate con AWS STS. Non è possibile attivare il AWS STS endpoint per una regione disattivata. Token di sessione validi in tutti Regioni AWS includono più caratteri rispetto ai token validi nelle regioni abilitate per impostazione predefinita. La modifica di questa impostazione potrebbe influenzare i sistemi esistenti in cui vengono memorizzati temporaneamente i token.

È possibile modificare questa impostazione utilizzando AWS Management Console, AWS CLI, oppure AWS API.

Modificare le regioni compatibili con i token di sessione l'endpoint globale (console)

  1. Accedere come utente root o utente con le autorizzazioni necessarie per eseguire attività di IAM amministrazione. Per modificare la compatibilità dei token di sessione, è necessario disporre di una policy che consente l'operazione iam:SetSecurityTokenServicePreferences.

  2. Apri la IAMconsole. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  3. Nella sezione Security Token Service (STS), sezione Token di sessione dagli STS endpoint. L'endpoint globale indica Valid only in Regioni AWS enabled by default. Scegliere Change (Cambia).

  4. Nella finestra di dialogo Cambia la compatibilità dell'area geografica, seleziona Tutto Regioni AWS. Quindi scegli Salva modifiche.

    Nota

    Token di sessione validi in tutto Regione AWS includono più caratteri rispetto ai token validi nelle regioni abilitate per impostazione predefinita. La modifica di questa impostazione potrebbe influenzare i sistemi esistenti in cui vengono memorizzati temporaneamente i token.

Per modificare la compatibilità regionale dei token di sessione per l'endpoint globale (AWS CLI)

Imposta la versione del token di sessione. I token della versione 1 sono validi solo in Regioni AWS che sono disponibili per impostazione predefinita. Questi token non funzionano nelle regioni abilitate manualmente, ad esempio Asia Pacifico (Hong Kong). I token Versione 2 sono validi in tutte le regioni. Tuttavia, i token versione 2 sono composti da un numero maggiore di caratteri e ciò può influire sui sistemi in cui vengono memorizzati temporaneamente i token.

Per modificare la compatibilità regionale dei token di sessione per l'endpoint globale (AWS API)

Imposta la versione del token di sessione. I token della versione 1 sono validi solo in Regioni AWS che sono disponibili per impostazione predefinita. Questi token non funzionano nelle regioni abilitate manualmente, ad esempio Asia Pacifico (Hong Kong). I token Versione 2 sono validi in tutte le regioni. Tuttavia, i token versione 2 sono composti da un numero maggiore di caratteri e ciò può influire sui sistemi in cui vengono memorizzati temporaneamente i token.