Gestire AWS STS in un Regione AWS - AWS Identity and Access Management
Attivazione e disattivazione di AWS STS in una regione Regione AWSScrittura di codice per l'utilizzo di regioni AWS STSGestione dei token di sessione emessi dall'endpoint globale

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Gestire AWS STS in un Regione AWS

Un endpoint regionale è l'URL del punto di ingresso all'interno di una particolare regione per un servizio Web AWS. AWSconsiglia di utilizzare gli endpoint regionali AWS Security Token Service (AWS STS) invece di quelli globali per ridurre la latenza, creare ridondanza e aumentare la validità del token di sessione. Sebbene l'endpoint AWS STS globale (legacy) https://sts.amazonaws.com sia altamente disponibile, è ospitato in un'unica regione AWS, Stati Uniti orientali (Virginia settentrionale) e, come altri endpoint, non fornisce il failover automatico sugli endpoint di altre regioni.

  • Ridurre la latenza: effettuando le chiamate AWS STS a un endpoint geograficamente più vicino ai tuoi servizi e applicazioni, puoi accedere ai servizi AWS STS con una latenza inferiore e tempi di risposta migliori.

  • Progetta in ridondanza: puoi limitare gli effetti di un guasto all'interno di un carico di lavoro a un numero limitato di componenti con un ambito prevedibile di contenimento degli impatti. L'utilizzo degli endpoint AWS STS regionali consente di allineare l'ambito dei componenti all'ambito dei token di sessione. Per ulteriori informazioni su questo pilastro di affidabilità, consulta Uso dell'isolamento dei guasti per proteggere il carico di lavoro in Framework AWS Well-Architected.

  • Estensione della validità del token di sessione: i token di sessione emessi dagli endpoint AWS STS regionali sono validi in tutte le Regioni AWS. Per impostazione predefinita, i token di sessione emessi dall'endpoint STS globale sono validi solo nelle Regioni AWS abilitate. Se si intende abilitare una nuova regione per l'account, è possibile usare i token di sessione emessi dagli endpoint AWS STS regionali. Se si sceglie di utilizzare l'endpoint globale, è necessario modificare la regione di compatibilità dei token di sessione AWS STS dell'endpoint globale. In questo modo i token sono validi in tutte le Regioni AWS.

Per un elenco di regioni AWS STS e dei relativi endpoint, consulta AWS STS Regioni ed endpoint.

Attivazione e disattivazione di AWS STS in una regione Regione AWS

Quando si abilitano gli endpoint STS per una regione, AWS STS è in grado di emettere credenziali provvisorie per gli utenti e i ruoli nell'account che effettua una richiesta AWS STS. Queste credenziali possono essere utilizzate in qualsiasi regione abilitata di default o manualmente. Per le Regioni abilitate per impostazione predefinita, è necessario attivare l'endpoint STS della Regione nell'account in cui vengono generate le credenziali provvisorie. Al momento di effettuare la richiesta, non importa se un utente è autenticato sullo stesso account o su un altro account. Per le Regioni abilitate manualmente, è necessario attivare la Regione sia nell'account che effettua la richiesta sia nell'account in cui vengono generate le credenziali temporanee.

Immagina ad esempio che un utente nell'account A desideri inviare una richiesta API sts:AssumeRole all'endpoint regionale AWS STS https://sts.us-west-2.amazonaws.com. La richiesta è per delle credenziali temporanee per il ruolo denominato Developer nell'account B. Poiché la richiesta è di creare le credenziali per un'entità nell'account B, l'account B deve attivare la regione us-west-2. Gli utenti dell'account A (o di qualsiasi altro account) possono chiamare l'endpoint us-west-2 AWS STS per richiedere le credenziali per l'account B, che la regione sia attivata o meno nel loro account.

Nota

Le regioni attive sono disponibili per tutti gli utenti che utilizzano credenziali provvisorie in tale account. Per controllare quali utenti o ruoli IAM possono accedere alla regione, utilizza la chiave di condizione aws:RequestedRegion nelle tue policy di autorizzazione.

Attivare o disattivare AWS STS in una regione che è abilitata di default (console)

  1. Accedi come utente root o come utente con le autorizzazioni per eseguire attività di amministrazione di IAM.

  2. Apri la console IAM e, nel pannello di navigazione, seleziona Impostazioni account.

  3. Nella sezione Endpoint di Security Token Service (STS), trova la regione che desideri configurare, quindi scegli Active (Attiva) o Inactive (Inattiva) nella colonna STS status (Stato STS).

  4. Nella finestra di dialogo visualizzata, scegli Activate (Attiva) o Deactivate (Disattiva).

Per le regioni che devono essere abilitate, il servizio AWS STS viene attivato automaticamente quando abiliti la regione. Dopo aver abilitato una regione, AWS STS è sempre attivo per la regione e non è possibile disattivarlo. Per ulteriori informazioni sull'abilitazione di una regione disabilitata per impostazione predefinita, consulta Specificare le Regioni AWS che il tuo account può utilizzare nella Guida di riferimento a AWS Account Management.

Scrittura di codice per l'utilizzo di regioni AWS STS

Dopo aver attivato una regione, è possibile indirizzare le chiamate alle API AWS STS verso quella regione. Il frammento di codice Java seguente mostra come configurare un oggetto AWSSecurityTokenService affinché effettui richieste alla regione Europa (Milano) (eu-south-1).

EndpointConfiguration regionEndpointConfig = new EndpointConfiguration("https://sts.eu-south-1.amazonaws.com", "eu-south-1");
AWSSecurityTokenService stsRegionalClient = AWSSecurityTokenServiceClientBuilder.standard()
.withCredentials(credentials)
.withEndpointConfiguration(regionEndpointConfig)
.build();

AWS STS consiglia di effettuare chiamate a un endpoint regionale. Per scoprire come abilitare manualmente una regione, consulta Specificare le Regioni AWS che il tuo account può utilizzare nella Guida di riferimento a AWS Account Management.

Nell'esempio, la prima riga crea un'istanza di un oggetto EndpointConfiguration chiamata regionEndpointConfig, passando l'URL dell'endpoint e la Regione AWS come parametri.

Per informazioni su come impostare gli endpoint regionali AWS STS che utilizzano una variabile di ambiente per gli SDK AWS, consulta Endpoint con regioni AWS STS nella Guida di riferimento per gli SDK e gli strumenti AWS.

Per tutte le altre combinazioni di linguaggio e ambiente di programmazione, consulta la documentazione dell'SDK pertinente.

Gestione dei token di sessione emessi dall'endpoint globale

Per impostazione predefinita, la maggior parte delle regioni Regioni AWS è abilitata per le operazioni di tutti i Servizi AWS. Tali regioni vengono automaticamente abilitate per l'uso con AWS STS. Alcune regioni, ad esempio Asia Pacifico (Hong Kong), devono essere abilitate manualmente. Per ulteriori informazioni sull'abilitazione e la disabilitazione di Regioni AWS, consulta Specificare le Regioni AWS che il tuo account può utilizzare nella Guida di riferimento a AWS Account Management. Quando si abilitano queste regioni AWS, esse sono automaticamente abilitate all'uso con AWS STS. Non è possibile attivare l'endpoint AWS STS per una regione in cui è disabilitato. I token di sessione che sono validi in tutte le Regioni AWS includono un numero maggiore di caratteri rispetto a quelli dei token validi nelle regioni in cui sono abilitati per impostazione predefinita. La modifica di questa impostazione potrebbe influenzare i sistemi esistenti in cui vengono memorizzati temporaneamente i token.

È possibile modificare questa impostazione utilizzando la AWS Management Console, la AWS CLI o le API di AWS.

Modificare le regioni compatibili con i token di sessione l'endpoint globale (console)

  1. Accedi come utente root o come utente con le autorizzazioni per eseguire attività di amministrazione di IAM. Per modificare la compatibilità dei token di sessione, è necessario disporre di una policy che consente l'operazione iam:SetSecurityTokenServicePreferences.

  2. Apri la console IAM. Nel riquadro di navigazione, scegliere Account settings (Impostazioni account).

  3. Nella sezione Security Token Service (STS) Token di sessione dagli endpoint STS. L'endpoint globale indica Valid only in Regioni AWS enabled by default. Scegliere Change (Cambia).

  4. Nella finestra di dialogo Modifica la compatibilità tra regioni, seleziona Tutte le Regioni AWS. Selezionare quindi Save changes (Salva modifiche).

    Nota

    I token di sessione che sono validi in tutte le Regione AWS includono un numero maggiore di caratteri rispetto a quelli dei token validi nelle regioni in cui sono abilitati per impostazione predefinita. La modifica di questa impostazione potrebbe influenzare i sistemi esistenti in cui vengono memorizzati temporaneamente i token.

Modificare le regioni compatibili con i token di sessione l'endpoint globale (AWS CLI)

Imposta la versione del token di sessione. Per impostazione predefinita, i token versione 1 sono validi solo nelle Regioni AWS che sono disponibili. Questi token non funzionano nelle regioni abilitate manualmente, ad esempio Asia Pacifico (Hong Kong). I token Versione 2 sono validi in tutte le regioni. Tuttavia, i token versione 2 sono composti da un numero maggiore di caratteri e ciò può influire sui sistemi in cui vengono memorizzati temporaneamente i token.

Modificare le regioni compatibili con i token di sessione l'endpoint globale (API AWS)

Imposta la versione del token di sessione. Per impostazione predefinita, i token versione 1 sono validi solo nelle Regioni AWS che sono disponibili. Questi token non funzionano nelle regioni abilitate manualmente, ad esempio Asia Pacifico (Hong Kong). I token Versione 2 sono validi in tutte le regioni. Tuttavia, i token versione 2 sono composti da un numero maggiore di caratteri e ciò può influire sui sistemi in cui vengono memorizzati temporaneamente i token.