Compare credenciais do AWS STS
A tabela a seguir compara os recursos das operações da API no AWS STS que retornam credenciais de segurança temporárias. Para saber mais sobre os diferentes métodos que você pode usar para solicitar credenciais de segurança temporárias ao assumir uma função, consulte Métodos para assumir um perfil. Para saber mais sobre as diferentes operações de API do AWS STS que permitem passar tags de sessão, consulte Passar tags de sessão no AWS STS.
nota
Você pode enviar chamadas de API do AWS STS para um endpoint global ou para um dos endpoints regionais. Se escolher um endpoint mais próximo a você, você poderá reduzir a latência e melhorar a performance de suas chamadas de API. Você também pode optar por direcionar suas chamadas para um endpoint regional alternativo se não puder mais se comunicar com o endpoint original. Se estiver usando um dos vários SDKs da AWS, use o método do respectivo SDK para especificar uma região antes de fazer a chamada de API. Se construir manualmente as solicitações de API HTTP, você deverá direcionar a solicitação para o endpoint correto. Para obter mais informações, consulte a seção AWS STS de Regiões e endpoints e Gerenciar o AWS STS em uma Região da AWS.
API do AWS STS | Quem pode chamar | Vida útil da credencial (mín.|máx.|padrão) | Suporte a MFA¹ | Suporte à política de sessão² | Restrições nas credenciais temporárias resultantes |
---|---|---|---|---|---|
AssumeRole | Usuário do IAM ou função do IAM com credenciais de segurança temporárias existentes | 15 min | Configuração de duração máxima da sessão³ | 1 h | Sim | Sim |
Não pode chamar |
AssumeRoleWithSAML | Todo chamador de usuário; deve passar uma resposta de autenticação de SAML que indica a autenticação de um provedor de identidade conhecido | 15 min | Configuração de duração máxima da sessão³ | 1 h | Não | Sim |
Não pode chamar |
AssumeRoleWithWebIdentity | Qualquer usuário; o chamador deve passar um token JWT compatível com OIDC que indique a autenticação por um provedor de identidade conhecido | 15 min | Configuração de duração máxima da sessão³ | 1 h | Não | Sim |
Não pode chamar |
GetFederationToken | Usuário do IAM ou Usuário raiz da conta da AWS |
Usuário do IAM: 15 min | 36 h | 12 h Usuário raiz: 15 min | 1 h | 1 h |
Não | Sim |
Não é possível chamar operações do IAM usando a AWS CLI ou a API da AWS. Essa limitação não se aplica a sessões do console. Não é possível chamar operações do AWS STS, exceto Logon único para console é permitido.⁵ |
GetSessionToken | Usuário do IAM ou Usuário raiz da conta da AWS |
Usuário do IAM: 15 min | 36 h | 12 h Usuário raiz: 15 min | 1 h | 1 h |
Sim | Não |
Não é possível chamar as operações da API do IAM, a menos que as informações da MFA sejam incluídas na solicitação. Não pode chamar as operações de API do AWS STS exceto Logon único para console não é permitido.⁶ |
¹ Compatibildade com MFA. Você pode incluir informações sobre um dispositivo de autenticação multifator (MFA) quando chamar as operações de API AssumeRole e GetSessionToken. Isso garante que as credenciais de segurança temporárias que resultam da chamada de API possam ser usadas somente pelos usuários que são autenticados com um dispositivo MFA. Para ter mais informações, consulte Acesso seguro à API com a MFA.
² Suporte à política de sessão. As políticas de sessão são políticas que você transmite como um parâmetro quando você cria de forma programática uma sessão temporária para uma função ou um usuário federado. Esta política limita as permissões da política baseada em identidade da função ou do usuário que são atribuídas à sessão. As permissões da sessão resultam da interseção das políticas baseadas em identidade da entidade e das políticas de sessão. As políticas de sessão não podem ser usadas para conceder mais permissões do que as permitidas pela política baseada em identidade da função que está sendo assumida. Para obter mais informações sobre as permissões de sessão da função, consulte Políticas de sessão.
³ Configuração de duração máxima da sessão. Use o parâmetro DurationSeconds
para especificar a duração da sessão da função de 900 segundos (15 minutos) até o valor configurado de duração máxima da sessão para a função. Para saber como visualizar o valor máximo para sua função, consulte Atualizar a duração máxima da sessão de um perfil.
⁴ GetCallerIdentity. Nenhuma permissão é necessária para executar essa operação. Se um administrador adicionar uma política ao seu usuário ou função do IAM que negue explicitamente o acesso à ação sts:GetCallerIdentity
, você ainda poderá executar esta operação. As permissões não são necessárias porque as mesmas informações são retornadas quando um usuário ou uma função do IAM tem acesso negado. Para visualizar uma resposta de exemplo, consulte Não estou autorizado a executar: iam:DeleteVirtualMFADevice.
⁵ Logon único (SSO) para o console. Para dar suporte a SSO, a AWS permite chamar um endpoint da federação (https://signin.aws.amazon.com/federation
) e passar credenciais de segurança temporárias. O endpoint retorna um token que pode ser usado para construir um URL que assina um usuário diretamente no console sem a necessidade de uma senha. Para obter mais informações, consulte Habilitar o acesso de usuários federados SAML 2.0 ao AWS Management Console e Como habilitar o acesso entre contas ao Console de Gerenciamento da AWS
⁶ Depois de recuperar as credenciais temporárias, você não poderá acessar o AWS Management Console transmitindo as credenciais para o endpoint de logon único de federação. Para ter mais informações, consulte Habilitar o acesso do intermediador de identidades personalizado ao console da AWS.