比較 AWS STS 認證 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

比較 AWS STS 認證

下表比較傳回暫時安全登入資料 AWS STS 之API作業的功能。若要了解可用來在擔任角色時請求暫時性安全憑證的不同方法,請參閱假定角色的方法。若要瞭解可讓您傳遞工 AWS STS API作階段標籤的不同作業,請參閱在 中傳遞工作階段標籤 AWS STS

注意

您可以將 AWS STS API呼叫傳送至全域端點或其中一個區域端點。如果您選擇離您更近的端點,則可以減少延遲並提高API通話效能。如果可以不再與原始端點通訊,您也可以選擇將您的呼叫導向至其他區域性端點。如果您使用的是其中一種 AWS SDKs,請在API撥打電話之前使用該SDK方法來指定 Region。如果您手動建構要HTTPAPI求,則必須自行將要求導向至正確的端點。如需詳細資訊,請參閱區域與端點的AWS STS 一節Manage (管理) AWS STS 在一個 AWS 區域

AWS STS API 誰可以呼叫 憑證存留期 (最小 | 最大 | 預設) MFA支援 ¹ 工作階段政策支援² 產生的暫時憑證限制
AssumeRole IAM具有現有臨時安全認證的使用者或IAM角色 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時

無法呼叫 GetFederationTokenGetSessionToken

AssumeRoleWithSAML 任何使用者;呼叫者必須傳遞SAML驗證回應,指出來自已知身分提供者的驗證 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時

無法呼叫 GetFederationTokenGetSessionToken

AssumeRoleWithWebIdentity 任何使用者;呼叫者必須傳遞OIDC合規的 JWT Token,以指示來自已知身分提供者的驗證 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時

無法呼叫 GetFederationTokenGetSessionToken

GetFederationToken IAM使用者或 AWS 帳戶根使用者

IAM用戶:15 米 | 36 小時

根使用者:15 分鐘 | 1 小時 | 1 小時

無法使用 AWS CLI 或呼叫IAM作業 AWS API。此限制不適用主控台工作階段。

無法調用除 GetCallerIdentity .以外的 AWS STS 操作

SSO允許控制台。

GetSessionToken IAM使用者或 AWS 帳戶根使用者

IAM用戶:15 米 | 36 小時

根使用者:15 分鐘 | 1 小時 | 1 小時

除非請求中包含MFA信息,否則無法調用IAMAPI操作。

除了AssumeRole或之外,無法呼叫 AWS STS API作業GetCallerIdentity

SSO不允許控制台。

¹ MFA支援服務。當您呼叫 AssumeRole 和 GetSessionToken API作業時,您可以包含多因素驗證 (MFA) 裝置的相關資訊。這可確保API呼叫產生的臨時安全登入資料只能由經過MFA裝置驗證的使用者使用。如需詳細資訊,請參閱使用安全API存取 MFA

² 工作階段政策支援。工作階段政策是一種政策,且您會在以程式設計方式建立角色或聯合身分使用者的臨時工作階段時,做為參數進行傳遞。這個政策會限制工作階段獲派自角色或使用者之以身分為基礎政策的許可。所產生工作階段的許可會是實體的身分類型政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策

³ 最大工作階段持續時間設定。使用 DurationSeconds 參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 更新角色的工作階段持續時間上限

GetCallerIdentity. 執行此操作不需要任何許可。如果系統管理員將原則新增至您的IAM使用者或角色,明確拒絕存取sts:GetCallerIdentity動作,您仍然可以執行此作業。不需要權限,因為當IAM使用者或角色遭到拒絕存取時,會傳回相同的資訊。若要檢視範例回應,請參閱 我無權執行:iam:DeleteVirtualMFADevice

單點登錄(SSO)到控制台。若要支援SSO, AWS 可讓您呼叫同盟端點 (https://signin.aws.amazon.com/federation) 並傳遞臨時安全登入資料。端點返回一個令牌,您可以用它來構建一URL個直接將用戶簽署到控制台,而無需密碼。如需詳細資訊,請參閱 AWS 安全性部落格中的啟用 SAML 2.0 聯合身分的使用者存取 AWS Management Console如何啟用 AWS 管理主控台的跨帳戶存取

⁶ 在您擷取暫時憑證後,您無法透過將憑證傳遞到聯合單一登入端點,來存取 AWS Management Console 。如需詳細資訊,請參閱啟用自訂身分識別代理存取主 AWS 控台