本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
比較 AWS STS 憑證
下表比較 AWS STS 中 API 操作的功能,其會傳回暫時性安全憑證。若要了解可用來在擔任角色時請求暫時性安全憑證的不同方法,請參閱擔任角色的方法。若要了解讓您傳遞工作階段標籤的不同 AWS STS API 操作,請參閱在 AWS STS 中傳遞工作階段標籤。
注意
您可以將 AWS STS API 呼叫傳送到全域端點或其中一個區域端點。如果您選擇比較靠近您的端點,您可以減少延遲並改善您的 API 呼叫的效能。如果可以不再與原始端點通訊,您也可以選擇將您的呼叫導向至其他區域性端點。如果您使用的是各種 AWS 開發套件之一,則使用該 SDK 的方法來指定區域,之後再進行 API 呼叫。如果您手動建構 HTTP API 請求,則必須您自己將請求直接導向到正確的端點。如需詳細資訊,請參閱區域與端點的 AWS STS 一節和 在 AWS STS 中管理 AWS 區域。
| AWS STS API | 誰可以呼叫 | 憑證存留期 (最小 | 最大 | 預設) | MFA 支援¹ | 工作階段政策支援² | 產生的暫時憑證限制 |
|---|---|---|---|---|---|
| AssumeRole | 具現有暫時性安全憑證的 IAM 使用者或 IAM 角色 | 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時 | 是 | 是 |
無法呼叫 |
| AssumeRoleWithSAML | 任何使用者;呼叫者必須傳遞 SAML 身分驗證回應,指出通過已知身分提供者的身分驗證 | 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時 | 否 | 是 |
無法呼叫 |
| AssumeRoleWithWebIdentity | 任何使用者;發起人必須傳遞符合 OIDC 規範的 JWT 權杖,指出通過已知身分提供者的驗證 | 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時 | 否 | 是 |
無法呼叫 |
| GetFederationToken | IAM 使用者或 AWS 帳戶根使用者 |
IAM 使用者:15 分鐘 | 36 小時 | 12 小時 根使用者:15 分鐘 | 1 小時 | 1 小時 |
否 | 是 |
無法使用 AWS CLI 或 AWS API 呼叫 IAM 操作。此限制不適用主控台工作階段。 無法呼叫 AWS STS 以外的 允許 SSO 到主控台。⁵ |
| GetSessionToken | IAM 使用者或 AWS 帳戶根使用者 |
IAM 使用者:15 分鐘 | 36 小時 | 12 小時 根使用者:15 分鐘 | 1 小時 | 1 小時 |
是 | 否 |
除非請求包含 MFA 資訊,否則無法呼叫 IAM API 操作。 無法直接呼叫 AWS STS API 操作, 不允許 SSO 到主控台。⁶ |
¹ MFA 支援。您可以在您呼叫 AssumeRole 和 GetSessionToken API 操作時,包含有關 多重要素驗證 (MFA) 裝置的資訊。這可確保 API 呼叫所產生的暫時性安全憑證,僅可由使用 MFA 裝置進行身分驗證的使用者使用。如需詳細資訊,請參閱 透過 MFA 實現安全的 API 存取。
² 工作階段政策支援。工作階段政策是一種政策,且您會在以程式設計方式建立角色或聯合身分使用者的臨時工作階段時,做為參數進行傳遞。這個政策會限制工作階段獲派自角色或使用者之以身分為基礎政策的許可。所產生工作階段的許可會是實體的身分類型政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策。
³ 最大工作階段持續時間設定。使用 DurationSeconds 參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 更新角色的最大工作階段持續時間。
⁴ GetCallerIdentity。執行此操作不需要任何許可。如果管理員將明確拒絕存取 sts:GetCallerIdentity 動作的政策新增到 IAM 使用者或角色,您仍然可以執行此操作。不需要許可,因為當 IAM 使用者或角色被拒絕存取時,會傳回相同的資訊。若要檢視範例回應,請參閱 我未獲得授權,不得執行:iam:DeleteVirtualMFADevice。
⁵ Single sign-on (SSO) 至主控台。為了支援 SSO,AWS 可讓您呼叫聯合端點 (https://signin.aws.amazon.com/federation),以及傳遞暫時安全憑證。端點會傳回權杖,您可用來建構 URL,直接將使用者登入主控台,而不需要密碼。如需詳細資訊,請參閱 讓 SAML 2.0 聯合身分使用者存取 AWS Management Console 和 AWS 安全部落格中的如何啟用跨帳戶存取 AWS 管理主控台
⁶ 在您擷取暫時憑證後,您無法透過將憑證傳遞到聯合單一登入端點,來存取 AWS Management Console。如需詳細資訊,請參閱啟用 AWS 主控台的自訂身分代理程式存取。
