Chamar a API do IAM usando solicitações de consulta HTTP

É possível acessar os serviços IAM e AWS STS de forma programática usando a API de consulta. As solicitações da API de consulta são solicitações HTTPS que devem conter um parâmetro Action para indicar a ação a ser realizada. O IAM e o AWS STS dão suporte a solicitações GET e POST para todas as ações. Ou seja, a API não exige que você use GET para algumas ações e POST para outras. No entanto, solicitações GET estão sujeitas à limitação de tamanho de um URL, embora esse limite dependa do navegador, um limite típico é de 2.048 bytes. Portanto, para as solicitações da API de consulta que exigem tamanhos maiores, você deve usar uma solicitação POST.

A resposta é um documento XML. Para obter detalhes sobre a resposta, consulte as páginas de ação individual na Referência da API do IAM ou na Referência da API do AWS Security Token Service.

dica

Em vez de fazer chamadas diretas para as operações da API do IAM ou do AWS STS, você pode usar um dos AWS SDKs. Os AWS SDKs consistem em bibliotecas e código de exemplo de várias linguagens de programação e plataformas (Java, Ruby, .NET, iOS, Android etc.). Os SDKs constituem uma forma conveniente de criar acesso programático para o IAM e a AWS. Por exemplo, os SDKs processam tarefas como assinatura criptográfica de solicitações (veja abaixo), gerenciamento de erros e novas tentativas automáticas de solicitações. Para obter informações sobre os AWS SDKs, incluindo como fazer download deles e instalá-los, consulte a página Ferramentas para a Amazon Web Services.

Para obter mais detalhes sobre as ações da API e os erros, consulte a Referência da API do IAM ou a Referência da API do AWS Security Token Service.

Endpoints

O IAM e o AWS STS têm, cada um, um único endpoint global:

• (IAM) https://iam.amazonaws.com

• (AWS STS) https://sts.amazonaws.com

nota

O AWS STS também dá suporte ao envio de solicitações para endpoints regionais além do endpoint global. Para poder usar o AWS STS em uma região, você deve primeiro ativar o STS nessa região para a sua Conta da AWS. Para obter mais informações sobre como ativar regiões adicionais para o AWS STS, consulte Gerenciar o AWS STS em uma Região da AWS.

Para obter mais informações sobre endpoints e regiões da AWS para todos os serviços, consulte Cotas e endpoints de serviço na Referência geral da AWS.

HTTPS obrigatório

Como a API de consulta retorna informações confidenciais, como credenciais de segurança, você deve usar HTTPS com todas as solicitações de API.

Assinar solicitações de API do IAM

As solicitações devem ser assinadas usando um ID da chave de acesso e uma chave de acesso secreta. É altamente recomendado que você não use as credenciais da Usuário raiz da conta da AWS para tarefas diárias com o IAM. Você pode usar as credenciais para um usuário do IAM ou usar o AWS STS para gerar credenciais de segurança temporárias.

Para assinar suas solicitações de API, recomendamos o uso do AWS Signature Version 4. Para obter informações sobre como usar o Signature Version 4, acesse Processo de assinatura do Signature Version 4 na Referência geral da AWS.

Se você precisar usar o Signature Version 2, informações sobre como usá-lo estão disponíveis na Referência geral da AWS.

Para obter mais informações, consulte as informações a seguir.

• Credenciais de segurança da AWS. Fornece informações gerais sobre os tipos de credenciais usadas para acessar a AWS.

• Práticas recomendadas de segurança no IAM. Apresenta uma lista de sugestões para usar o serviço IAM para ajudar a proteger seus recursos da AWS.

• Credenciais de segurança temporárias no IAM. Descreve como criar e usar credenciais de segurança temporárias.