請求臨時安全憑證 - AWS Identity and Access Management
AWS STS 與 AWS 區域搭配使用要求認證 AssumeRole要求認證 AssumeRoleWithWebIdentity要求認證 AssumeRoleWith SAML要求認證 GetFederationToken要求認證 GetSessionToken

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

請求臨時安全憑證

若要要求臨時安全登入資料,您可以在中使用 AWS Security Token Service (AWS STS) 作業 AWS API。這些作業包括建立並為受信任的使用者提供可控制資源存取權的臨時安全登入 AWS 資料的作業。如需有關的更多資訊 AWS STS,請參閱臨時安全登入資料 IAM。若要了解可用來在擔任角色時請求暫時性安全憑證的不同方法,請參閱假定角色的方法

若要呼叫作API業,您可以使用其中一個 AWS SDKs. 可用SDKs於各種程式設計語言和環境,包括 Java、. NET, Python, 紅寶石, 安卓, 和 iOS. 負責處理諸如密碼編譯簽名請求,必要SDKs時重試請求以及處理錯誤響應等任務。您也可以使用「AWS Security Token Service API參考」中所述的「 AWS STS 查詢API」。最後,兩個指令行工具支援這些 AWS STS 指令:AWS Command Line Interface、和 AWS Tools for Windows PowerShell.

這些 AWS STS API作業會建立新的工作階段,其中包含存取 key pair 和工作階段 Token 的臨時安全認證。存取金鑰對包含存取金鑰 ID 和秘密金鑰。使用者 (或使用者執行的應用程式) 可以使用這些憑證來存取您的資源。您可以建立角色工作階段,並使用作業以程式設計方式傳遞工作階段原則和工 AWS STS API作 所產生工作階段許可會是角色的以身分為基礎的政策和工作階段政策的交集。如需有關工作階段政策的詳細資訊,請參閱 工作階段政策。如需有關工作階段標籤的詳細資訊,請參閱 在 中傳遞工作階段標籤 AWS STS

注意

AWS STS API操作返回的會話令牌的大小不固定。我們強烈建議您不對大小上限做出任何假設。一般權杖大小小於 4096 個位元組,但有可能會不同。

AWS STS 與 AWS 區域搭配使用

您可以將 AWS STS API呼叫傳送至全域端點或其中一個區域端點。如果您選擇離您更近的端點,則可以減少延遲並提高API通話效能。如果可以不再與原始端點通訊,您也可以選擇將您的呼叫導向至其他區域性端點。如果您使用的是其中一種 AWS SDKs,請在API撥打電話之前使用該SDK方法來指定 Region。如果您手動建構要HTTPAPI求,則必須自行將要求導向至正確的端點。如需詳細資訊,請參閱區域與端點的AWS STS 一節Manage (管理) AWS STS 在一個 AWS 區域

以下是您可以用來取得暫時登入資料的API作業,以便在您的 AWS 環境和應用程式中使用。

透過自訂身分代理人要求跨帳戶委派和聯合的認證

AssumeRoleAPI作業對於允許現有IAM使用者存取他們尚未擁有存取權限的 AWS 資源非常有用。例如,使用者可能需要存取另一個 AWS 帳戶中的資源。作為暫時取得特權存取的方法也很有用,例如,提供多重要素驗證 ()。MFA您必須API使用活動憑據調用此信息。若要了解誰可以呼叫此操作,請參閱 比較 AWS STS 認證。如需詳細資訊,請參閱 建立角色以將許可委派給 IAM 使用者使用安全API存取 MFA

透過自訂身分代理人要求跨帳戶委派和聯合的臨時安全登入資料

  1. 使用您的 AWS 安全憑證進行驗證。必須使用有效的 AWS 安全憑證進行此呼叫。

  2. 呼叫 AssumeRole 操作。

以下範例顯示使用 AssumeRole 的範例請求及回應。此範例請求假設指定時間內的 demo 角色具有已包含的工作階段政策工作階段標籤外部 ID來源身分。產生的工作階段名為 John-session

範例請求
https://sts.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRole
&RoleSessionName=John-session
&RoleArn=arn:aws::iam::123456789012:role/demo
&Policy=%7B%22Version%22%3A%222012-10-17%22%2C%22Statement%22%3A%5B%7B%22Sid%22%3A%20%22Stmt1%22%2C%22Effect%22%3A%20%22Allow%22%2C%22Action%22%3A%20%22s3%3A*%22%2C%22Resource%22%3A%20%22*%22%7D%5D%7D
&DurationSeconds=1800
&Tags.member.1.Key=Project
&Tags.member.1.Value=Pegasus
&Tags.member.2.Key=Cost-Center
&Tags.member.2.Value=12345
&ExternalId=123ABC
&SourceIdentity=DevUser123
&AUTHPARAMS

上述範例中顯示的原則值是下列原則的URL編碼版本:

{"Version":"2012-10-17","Statement":[{"Sid":"Stmt1","Effect":"Allow","Action":"s3:*","Resource":"*"}]}

範例中的 AUTHPARAMS 參數是簽章的預留位置。簽章是您必須包含在 AWS HTTPAPI要求中的驗證資訊。我們建議您使用建立AWS SDKs要API求,而這樣做的一個好處就是為您簽署SDKs處理要求。如果您必須手動建立和簽署API請求,AWS 請參閱中的「使用簽名版本 4 簽署請求」Amazon Web Services 一般參考以瞭解如何簽署請求。

除了臨時安全登入資料之外,回應還包括聯合身分使用者的 Amazon 資源名稱 (ARN) 和登入資料的到期時間。

範例 回應範例
<AssumeRoleResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<AssumeRoleResult>
<SourceIdentity>DevUser123</SourceIdentity>
<Credentials>
  <SessionToken>
   AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW
   LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
   QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
   9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
   +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==
  </SessionToken>
  <SecretAccessKey>
   wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
  </SecretAccessKey>
  <Expiration>2019-07-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
</Credentials>
<AssumedRoleUser>
  <Arn>arn:aws:sts::123456789012:assumed-role/demo/John</Arn>
  <AssumedRoleId>ARO123EXAMPLE123:John</AssumedRoleId>
</AssumedRoleUser>
<PackedPolicySize>8</PackedPolicySize>
</AssumeRoleResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</AssumeRoleResponse>
注意

AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有單獨限制的封裝二進位格式。即使您的純文字符合其他需求,您的請求也可能因不符限制而失敗。PackedPolicySize 回應元素會按百分比指出請求的政策和標籤與大小上限的距離。

透過OIDC提供者要求認證

AssumeRoleWithWebIdentityAPI作業會針對透過公用身分識別提供者驗證的聯合身分使用者傳回一組臨時安全性登入資料。公共身份提供商的例子包括使用亞馬遜,Facebook,谷歌或任何 OpenID Connect(OIDC)兼容的身份提供商進行登錄。使用此操作意味著您的用戶不需要自己的IAM身份 AWS 或身份。如需詳細資訊,請參閱OIDC联邦

注意

建議您不要直接撥打電話AssumeRoleWithWebIdentity,而是使用 Amazon Cognito 和 Amazon Cognito 登入資料提供者搭配進行行動開 AWS SDKs發。如需詳細資訊,請參閱 Amplify 文件 中的 Amplify 身分驗證

如果您不是使用 Amazon Cognito,則呼叫 AWS STS的 AssumeRoleWithWebIdentity 動作。

  1. 呼叫 AssumeRoleWithWebIdentity 操作。

    這是未簽署的呼叫,表示您不需要在提出要求之前驗證 AWS 安全性憑證。

    注意

    AssumeRoleWithWebIdentity 呼叫未簽署 (加密)。因此,如果請求是透過信任的媒介傳輸,您應該只包含選用的工作階段政策。在這種情況下,有人可以更改政策以移除限制。

  2. 打電話時AssumeRoleWithWebIdentity, AWS 驗證令牌的真實性。例如,視提供者而定, AWS 可能會呼叫提供者,並包含應用程式已傳遞的權杖。假設身份提供程序驗證令牌, AWS 則將以下信息返回給您:

    • 一組暫時性安全憑證。這些包含存取金鑰 ID、私密存取金鑰和工作階段權杖。

    • 角色 ID 和假ARN定角色的。

    • SubjectFromWebIdentityToken 值,其中包含唯一的使用者 ID。

  3. 使用回應中傳回的臨時安全登入資料來撥 AWS API打電話。這與使用長期安全登入資料 AWS API撥打電話相同的程序。不同之處在於,您必須包含會話令牌,該令牌可以 AWS 驗證臨時安全憑據是否有效。

您的應用程式應該快取憑證。預設情況下,如上所述,憑證在一小時後到期。如果您未在中使用 A mazonSTSCredentials Provider 操作 AWS SDK,則由您和您的應用程序AssumeRoleWithWebIdentity再次調用。呼叫此操作,或取得一組新的暫時性安全憑證,之後舊的憑證才會過期。

透過 SAML 2.0 身分識別提供者要求認證

AssumeRoleWithSAMLAPI作業會針對已由組織現有身分識別系統驗證的聯合身分使用者傳回一組臨時安全登入資料。用戶還必須使用 SAML2.0(安全斷言標記語言)將身份驗證和授權信息傳遞給 AWS。這SAML項API作業在已整合其識別系統 (例如 Windows 作用中目錄或開啟LDAP) 與可產生宣告的軟體的組織非常有用。這種整合會提供有關使用者身分和許可 (例如 Active Directory Federation Services 或 Shibboleth) 的資訊。如需詳細資訊,請參閱SAML联邦

  1. 呼叫 AssumeRoleWithSAML 操作。

    這是未簽署的呼叫,表示您不需要在提出要求之前驗證 AWS 安全性憑證。

    注意

    AssumeRoleWithSAML 呼叫未簽署 (加密)。因此,如果請求是透過信任的媒介傳輸,您應該只包含選用的工作階段政策。在這種情況下,有人可以更改政策以移除限制。

  2. 當你打電話時AssumeRoleWithSAML, AWS 驗證SAML斷言的真實性。假設身分識別提供者驗證宣告, AWS 則會將下列資訊傳回給您:

    • 一組暫時性安全憑證。這些包含存取金鑰 ID、私密存取金鑰和工作階段權杖。

    • 角色 ID 和假ARN定角色的。

    • 包含SAML宣告之SubjectConfirmationData元素之Recipient屬性值的值。Audience

    • 包含SAML宣告之Issuer元素值的值。Issuer

    • 包含從值、 AWS 帳戶 ID 和SAML提供者易記名稱建立的雜湊Issuer值的NameQualifier元素。當結合 Subject 元素時,他們可唯一識別聯合身分使用者。

    • 包含SAML宣告NameID元素中元素值的Subject元素。Subject

    • SubjectType 元素指出 Subject 元素的格式。該值可以是 persistenttransient,或者完整FormatURI來自SAML斷言中使用的SubjectNameID元素。如需 NameID 元素的 Format 屬性的詳細資訊,請參閱 設定身分驗證回應的SAML宣告

  3. 使用回應中傳回的臨時安全認證來撥 AWS API打電話。這與使用長期安全登入資料 AWS API撥打電話相同的程序。差別在於您必須包含工作階段權杖,這個權杖可讓 AWS 驗證臨時安全憑證是否有效。

您的應用程式應該快取憑證。預設情況下,憑證會在一小時後到期。如果您未在中使用「A mazonSTSCredentials Provider」動作 AWS SDK,則由您和您的應用程式AssumeRoleWithSAML重新呼叫。呼叫此操作,或取得一組新的暫時性安全憑證,之後舊的憑證才會過期。

透過自訂身分代理程式要求認證

GetFederationTokenAPI作業會傳回同盟使用者的一組暫時安全登入資料。這API與預設到期期限相當長 (12 小時而非一小時) 的不同之處AssumeRole在於。此外,您可以使用 DurationSeconds 參數來指定暫時性安全憑證的持續時間,以保持有效。產生的認證在指定的持續時間內有效,介於 900 秒 (15 分鐘) 到 129,600 秒 (36 小時) 之間。較長的到期時間有助於減少呼叫次數, AWS 因為您不需要經常取得新的認證。

  1. IAM使用特定用戶的 AWS 安全憑據進行身份驗證。此呼叫必須使用有效的 AWS 安全憑證進行。

  2. 呼叫 GetFederationToken 操作。

GetFederationToken 呼叫會傳回暫時性安全憑證,該憑證由工作階段字符、存取金鑰、私密金鑰和過期時間組成。如果您想要管理您組織內的許可 (例如,使用 Proxy 應用程式以指派許可),您可以使用 GetFederationToken

以下範例顯示使用 GetFederationToken 的範例請求及回應。此範例要求會在指定的持續時間內,將呼叫使用者與工作階段原則ARN和工作階段標記聯合。產生的工作階段名為 Jane-session

範例請求
https://sts.amazonaws.com/
?Version=2011-06-15
&Action=GetFederationToken
&Name=Jane-session
&PolicyArns.member.1.arn==arn%3Aaws%3Aiam%3A%3A123456789012%3Apolicy%2FRole1policy
&DurationSeconds=1800
&Tags.member.1.Key=Project
&Tags.member.1.Value=Pegasus
&Tags.member.2.Key=Cost-Center
&Tags.member.2.Value=12345
&AUTHPARAMS

上述範例中ARN顯示的策略包括下列URL編碼ARN:

arn:aws:iam::123456789012:policy/Role1policy

此外,請注意範例中的 &AUTHPARAMS 參數表示身分驗證資訊的預留位置。這是名,您必須將其包含在 AWS HTTPAPI請求中。我們建議您使用建立AWS SDKs要API求,而這樣做的一個好處就是為您簽署SDKs處理要求。如果您必須手動建立並簽署API請求,AWS 請前往中的「Amazon Web Services 一般參考使用簽名版本 4 簽署請求」,瞭解如何簽署請求。

除了臨時安全登入資料之外,回應還包括聯合身分使用者的 Amazon 資源名稱 (ARN) 和登入資料的到期時間。

範例 回應範例
<GetFederationTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<GetFederationTokenResult>
<Credentials>
  <SessionToken>
   AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW
   LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
   QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
   9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
   +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCEXAMPLE==
  </SessionToken>
  <SecretAccessKey>
  wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
  </SecretAccessKey>
  <Expiration>2019-04-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE;</AccessKeyId>
</Credentials>
<FederatedUser>
  <Arn>arn:aws:sts::123456789012:federated-user/Jean</Arn>
  <FederatedUserId>123456789012:Jean</FederatedUserId>
</FederatedUser>
<PackedPolicySize>4</PackedPolicySize>
</GetFederationTokenResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</GetFederationTokenResponse>
注意

AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有單獨限制的封裝二進位格式。即使您的純文字符合其他需求,您的請求也可能因不符限制而失敗。PackedPolicySize 回應元素會按百分比指出請求的政策和標籤與大小上限的距離。

AWS 建議您在資源層級授與許可 (例如,將以資源為基礎的政策附加到 Amazon S3 儲存貯體),您可以省略該Policy參數。不過,如果您不包含聯合身分使用者的政策,暫時性安全憑證將不會授予任何許可。在這種情況下,您「必須」使用資源政策,來授予聯合身分使用者存取您 AWS 資源的許可。

例如,假設您的 AWS 帳戶 號碼是 111122223333,而且您有一個想要允許蘇珊訪問的 Amazon S3 存儲桶。Susan 的暫時性安全憑證不包含儲存貯體的政策。在這種情況下,您需要確保存儲桶具有與 Susan 匹配ARN的策略ARN,例如arn:aws:sts::111122223333:federated-user/Susan

要求未受信任環境中的使用者認證

GetSessionTokenAPI作業會將一組暫時的安全性登入資料傳回給現有IAM使用者。這對於提供增強的安全性非常有用,例如僅在MFA為使用IAM者啟用時允許 AWS 要求。由於認證是暫時的,因此當您有IAM使用者透過較不安全的環境存取您的資源時,它們會提供增強的安全性。較不安全環境的範例包含行動裝置或 Web 瀏覽器。

  1. IAM使用特定用戶的 AWS 安全憑據進行身份驗證。此呼叫必須使用有效的 AWS 安全憑證進行。

  2. 呼叫 GetSessionToken 操作。

  3. GetSessionToken 會傳回暫時性安全憑證,其由工作階段字符、存取金鑰 ID 和私密存取金鑰組成。

依預設,IAM使用者的臨時安全登入資料有效期最長為 12 小時。但是,您可以使用 DurationSeconds 參數請求持續時間最短為 15 分鐘最長為 36 小時。出於安全原因,令牌 AWS 帳戶根使用者 的持續時間限制為一小時。

以下範例顯示使用 GetSessionToken 的範例請求及回應。回應還包括暫時性安全憑證的過期時間。

範例請求
https://sts.amazonaws.com/
?Version=2011-06-15
&Action=GetSessionToken
&DurationSeconds=1800
&AUTHPARAMS

範例中的 AUTHPARAMS 參數是簽章的預留位置。簽章是您必須包含在 AWS HTTPAPI要求中的驗證資訊。我們建議您使用建立AWS SDKs要API求,而這樣做的一個好處就是為您簽署SDKs處理要求。如果您必須手動建立並簽署API請求,AWS 請前往中的「Amazon Web Services 一般參考使用簽名版本 4 簽署請求」,瞭解如何簽署請求。

範例 回應範例
<GetSessionTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<GetSessionTokenResult>
<Credentials>
  <SessionToken>
   AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/L
   To6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3z
   rkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtp
   Z3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE
  </SessionToken>
  <SecretAccessKey>
  wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
  </SecretAccessKey>
  <Expiration>2011-07-11T19:55:29.611Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
</Credentials>
</GetSessionTokenResult>
<ResponseMetadata>
<RequestId>58c5dbae-abef-11e0-8cfe-09039844ac7d</RequestId>
</ResponseMetadata>
</GetSessionTokenResponse>

或者,GetSessionToken要求可以包含SerialNumber和 AWS 多重要素驗證 (MFA) 驗證的TokenCode值。如果提供的值有效,則會 AWS STS 提供包含MFA驗證狀態的臨時安全登入資料。然後,只要MFA驗證有效,就可以使用臨時安全登入資料來存取MFA受保護的API作業或 AWS 網站。

下列範例顯示包含MFA驗證碼和裝置序號的GetSessionToken要求。

https://sts.amazonaws.com/
?Version=2011-06-15
&Action=GetSessionToken
&DurationSeconds=7200
&SerialNumber=YourMFADeviceSerialNumber
&TokenCode=123456
&AUTHPARAMS
注意

呼叫 AWS STS 可以是全球端點或您啟動的任何區域端點 AWS 帳戶。如需詳細資訊,請參閱區域與端點的AWS STS 一節

範例中的 AUTHPARAMS 參數是簽章的預留位置。簽章是您必須包含在 AWS HTTPAPI要求中的驗證資訊。我們建議您使用建立AWS SDKs要API求,而這樣做的一個好處就是為您簽署SDKs處理要求。如果您必須手動建立和簽署API請求,AWS 請參閱中的「使用簽名版本 4 簽署請求」Amazon Web Services 一般參考以瞭解如何簽署請求。