AWS STS esempi di utilizzo di Tools for PowerShell

I seguenti esempi di codice mostrano come eseguire azioni e implementare scenari comuni utilizzando AWS Tools for PowerShell with AWS STS.

Le operazioni sono estratti di codice da programmi più grandi e devono essere eseguite nel contesto. Mentre le azioni mostrano come richiamare le singole funzioni di servizio, è possibile visualizzare le azioni nel loro contesto negli scenari correlati.

Ogni esempio include un collegamento al codice sorgente completo, in cui è possibile trovare istruzioni su come configurare ed eseguire il codice nel contesto.

Argomenti

Azioni

Azioni

Il seguente esempio di codice mostra come utilizzareConvert-STSAuthorizationMessage.

Strumenti per PowerShell

Esempio 1: decodifica le informazioni aggiuntive contenute nel contenuto del messaggio codificato fornito e restituito in risposta a una richiesta. Le informazioni aggiuntive sono codificate perché i dettagli dello stato di autorizzazione possono costituire informazioni privilegiate che l'utente che ha richiesto l'azione non dovrebbe vedere.


Convert-STSAuthorizationMessage -EncodedMessage "...encoded message..."

Per API i dettagli, vedere DecodeAuthorizationMessagein AWS Tools for PowerShell Cmdlet Reference.

Il seguente esempio di codice mostra come utilizzare. Get-STSFederationToken

Strumenti per PowerShell

Esempio 1: richiede un token federato valido per un'ora utilizzando «Bob» come nome dell'utente federato. Questo nome può essere usato per fare riferimento al nome utente federato in una policy basata sulle risorse (ad esempio una bucket policy di Amazon S3). La IAM politica fornita, in JSON formato, viene utilizzata per definire le autorizzazioni disponibili per l'utente. IAM La politica fornita non può concedere più autorizzazioni di quelle concesse all'utente richiedente, e le autorizzazioni finali per l'utente federato sono il set più restrittivo in base all'intersezione tra la politica passata e la politica dell'utente. IAM


Get-STSFederationToken -Name "Bob" -Policy "...JSON policy..." -DurationInSeconds 3600

Per i API dettagli, vedere in Cmdlet Reference. GetFederationTokenAWS Tools for PowerShell

Il seguente esempio di codice mostra come utilizzare. Get-STSSessionToken

Strumenti per PowerShell

Esempio 1: restituisce un'Amazon.RuntimeAWSCredentialsistanza contenente credenziali temporanee valide per un determinato periodo di tempo. Le credenziali utilizzate per richiedere credenziali temporanee vengono dedotte dalle impostazioni predefinite correnti della shell. Per specificare altre credenziali, utilizzate i parametri - o - /. ProfileName AccessKey SecretKey


Get-STSSessionToken

Output:


AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....

Esempio 2: restituisce un'Amazon.RuntimeAWSCredentialsistanza contenente credenziali temporanee valide per un'ora. Le credenziali utilizzate per effettuare la richiesta vengono ottenute dal profilo specificato.


Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile

Output:


AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....

Esempio 3: restituisce un'Amazon.RuntimeAWSCredentialsistanza contenente credenziali temporanee valide per un'ora utilizzando il numero di identificazione del MFA dispositivo associato all'account le cui credenziali sono specificate nel profilo 'myprofilename' e il valore fornito dal dispositivo.


Get-STSSessionToken -DurationInSeconds 3600 -ProfileName myprofile -SerialNumber YourMFADeviceSerialNumber -TokenCode 123456

Output:


AccessKeyId                             Expiration                              SecretAccessKey                        SessionToken
-----------                             ----------                              ---------------                        ------------
EXAMPLEACCESSKEYID                      2/16/2015 9:12:28 PM                    examplesecretaccesskey...              SamPleTokeN.....

Per i API dettagli, vedere in Cmdlet Reference. GetSessionTokenAWS Tools for PowerShell

Il seguente esempio di codice mostra come utilizzare. Use-STSRole

Strumenti per PowerShell

Esempio 1: restituisce un set di credenziali temporanee (chiave di accesso, chiave segreta e token di sessione) che possono essere utilizzate per un'ora per accedere a AWS risorse a cui l'utente richiedente potrebbe normalmente non avere accesso. Le credenziali restituite hanno le autorizzazioni consentite dalla politica di accesso del ruolo assunto e dalla politica fornita (non è possibile utilizzare la politica fornita per concedere autorizzazioni superiori a quelle definite dalla politica di accesso del ruolo assunto).


Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -Policy "...JSON policy..." -DurationInSeconds 3600

Esempio 2: restituisce un set di credenziali temporanee, valide per un'ora, con le stesse autorizzazioni definite nella politica di accesso del ruolo assunto.


Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600

Esempio 3: restituisce un set di credenziali temporanee che forniscono il numero di serie e il token generato da una delle credenziali utente MFA associate utilizzate per eseguire il cmdlet.


Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -SerialNumber "GAHT12345678" -TokenCode "123456"

Esempio 4: restituisce un set di credenziali temporanee che hanno assunto un ruolo definito in un account cliente. Per ogni ruolo che la terza parte può assumere, l'account cliente deve creare un ruolo utilizzando un identificatore che deve essere passato nel ExternalId parametro - ogni volta che viene assunto il ruolo.


Use-STSRole -RoleSessionName "Bob" -RoleArn "arn:aws:iam::123456789012:role/demo" -DurationInSeconds 3600 -ExternalId "ABC123"

Per API i dettagli, vedere AssumeRolein AWS Tools for PowerShell Cmdlet Reference.

Il seguente esempio di codice mostra come utilizzare. Use-STSWebIdentityRole

Strumenti per PowerShell

Esempio 1: restituisce un set temporaneo di credenziali, valido per un'ora, per un utente che è stato autenticato con il provider di identità Login with Amazon. Le credenziali presuppongono la politica di accesso associata al ruolo identificato dal ruolo. ARN Facoltativamente, è possibile passare una JSON policy al parametro -Policy che perfeziona ulteriormente le autorizzazioni di accesso (non è possibile concedere più autorizzazioni di quelle disponibili nelle autorizzazioni associate al ruolo). Il valore fornito a - WebIdentityToken è l'identificatore utente univoco restituito dal provider di identità.


Use-STSWebIdentityRole -DurationInSeconds 3600 -ProviderId "www.amazon.com" -RoleSessionName "app1" -RoleArn "arn:aws:iam::123456789012:role/FederatedWebIdentityRole" -WebIdentityToken "Atza...DVI0r1"

Per API i dettagli, vedere AssumeRoleWithWebIdentityin AWS Tools for PowerShell Cmdlet Reference.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Amazon SQS

AWS Support