請求暫時性安全憑證 - AWS Identity and Access Management
AWS STS 與 AWS 區域搭配使用— AssumeRole 跨帳戶委派和透過自訂身分經紀人的聯合 AssumeRoleWithWebIdentity—透過以 Web 為基礎的身分提供者聯合AssumeRoleWithSAML — 透過與 SAML 2.0 相容的企業身分識別提供者進行聯合 GetFederationToken—透過自訂身分經紀人聯合— GetSessionToken 不信任環境中使用者的暫時憑證比較 AWS STS API 操作

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

請求暫時性安全憑證

要請求臨時安全登入資料,您可以在 AWS API 中使用 AWS Security Token Service (AWS STS) 操作。這些作業包括建立並為受信任的使用者提供可控制資源存取權的臨時安全登入 AWS 資料的作業。如需有關的更多資訊 AWS STS,請參閱IAM 中的暫時安全憑證。若要了解可用來在擔任角色時請求暫時性安全憑證的不同方法,請參閱使用 IAM 角色

若要呼叫 API 操作,您可以使用其中一個 AWS 軟體開發套件。適用於多種程式設計語言和環境的軟體開發套件,包括 Java、.NET、Python、Ruby、Android 和 iOS。開發套件會負責的工作諸如以密碼演算法簽署請求,必要時重試請求,以及處理錯誤回應。您也可以使用 AWS STS 查詢 API,如 AWS Security Token Service API 參考資料中所述。最後,兩個指令行工具支援這些 AWS STS 指令:AWS Command Line Interface、和 AWS Tools for Windows PowerShell.

AWS STS API 操作創建一個包含臨時安全憑據的新會話,其中包括訪問 key pair 和會話令牌。存取金鑰對包含存取金鑰 ID 和秘密金鑰。使用者 (或使用者執行的應用程式) 可以使用這些憑證來存取您的資源。您可以使用 AWS STS API 操作以程式設計方式建立角色工作階段並傳遞工作階段原則和工作階段 所產生工作階段許可會是角色的以身分為基礎的政策和工作階段政策的交集。如需有關工作階段政策的詳細資訊,請參閱 工作階段政策。如需有關工作階段標籤的詳細資訊,請參閱 傳遞工作階段標籤 AWS STS

注意

AWS STS API 操作返回的會話令牌的大小不固定。我們強烈建議您不對大小上限做出任何假設。一般權杖大小小於 4096 個位元組,但有可能會不同。

AWS STS 與 AWS 區域搭配使用

您可以將 AWS STS API 呼叫傳送至全域端點或其中一個區域端點。如果您選擇比較靠近您的端點,您可以減少延遲並改善您的 API 呼叫的效能。如果可以不再與原始端點通訊,您也可以選擇將您的呼叫導向至其他區域性端點。如果您使用的是各種 AWS SDK 之一,請在進行 API 呼叫之前使用該 SDK 方法來指定區域。如果您手動建構 HTTP API 請求,則必須您自己將請求直接導向到正確的端點。如需詳細資訊,請參閱區域與端點的AWS STS 一節AWS STS 在一個管理 AWS 區域

以下是您可用來取得暫時登入資料的 API 作業,以便在您的 AWS 環境和應用程式中使用。

— AssumeRole 跨帳戶委派和透過自訂身分經紀人的聯合

AssumeRoleAPI 操作對於允許現有 IAM 使用者存取他們尚未擁有存取權限的 AWS 資源非常有用。例如,使用者可能需要存取另一個 AWS 帳戶中的資源。它也能夠用來暫時獲得特殊許可,例如,提供多重要素驗證 (MFA)。您必須使用作用中的登入資料呼叫此 API。若要了解誰可以呼叫此操作,請參閱 比較 AWS STS API 操作。如需更多詳細資訊,請參閱 建立角色以委派許可給 IAM 使用者設定受 MFA 保護的 API 存取

此呼叫必須使用有效的 AWS 安全憑證進行。當您進行此呼叫時,您傳遞了下列資訊:

  • 應用程式應擔任角色的 Amazon Resource Name (ARN)。

  • (選用) 持續時間,指定暫時安全憑證的持續時間。使用 DurationSeconds 參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 查看角色的最大工作階段持續時間設定。如果您不傳遞此參數,暫時性憑證會在一個小時內到期。此 API 的 DurationSeconds 參數不同於您用來指定主控台工作階段持續時間的 SessionDuration HTTP 參數。在主控台登入權杖的聯合端點請求中使用 SessionDuration HTTP 參數。如需詳細資訊,請參閱 啟用自訂身分識別代理存取主 AWS 控台

  • 角色工作階段名稱。當不同主體使用角色時,請使用此字串值來識別工作階段。基於安全考量,管理員可以在 AWS CloudTrail 日誌中檢視此欄位,以協助識別在 AWS中執行動作的人員。當您擔任該角色時,系統管理員可能會請求您將 IAM 使用者名稱指定為工作階段名稱。如需詳細資訊,請參閱 sts:RoleSessionName

  • (選用) 來源身分。您可以要求使用者在擔任角色時指定來源身分。設定來源身分之後,就無法變更值。針對在角色工作階段期間所採取的所有動作,這會出現在請求中。來源身分值在鏈結的角色工作階段間會持續存在。您可以使用 AWS CloudTrail 記錄檔中的來源身分識別資訊來決定誰對角色執行動作。如需有關使用來源身分的詳細資訊,請參閱 監控並控制使用擔任角色所採取的動作

  • (選用) 內嵌或受管的工作階段政策。這些政策會限制角色工作階段獲派自角色的以身分為基礎政策的許可。所產生工作階段的許可會是角色的以身分為基礎的政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策

  • (選用) 工作階段標籤。您可以承擔角色,然後使用暫時憑證提出請求。當您這麼做時,工作階段的主體標籤會包括角色標籤和傳遞的工作階段標籤。如果您使用暫時憑證發起呼叫,新的工作階段也會繼承來自呼叫發起工作階段的轉移工作階段標籤。如需有關工作階段標籤的詳細資訊,請參閱 傳遞工作階段標籤 AWS STS

  • (選用) MFA 資訊。如果設定為使用多重要素驗證 (MFA),則包含 MFA 裝置的識別符,以及該裝置所提供的一次性程式碼。

  • (選用) ExternalId 值,可在將您的帳戶存取權委派給第三方時使用。這個值有助於確保只有指定的第三方可以存取角色。如需詳細資訊,請參閱 將 AWS 資源的存取權授予第三方時如何使用外部 ID。

以下範例顯示使用 AssumeRole 的範例請求及回應。此範例請求假設指定時間內的 demo 角色具有已包含的工作階段政策工作階段標籤外部 ID來源身分。產生的工作階段名為 John-session

範例請求
https://sts.amazonaws.com/
?Version=2011-06-15
&Action=AssumeRole
&RoleSessionName=John-session
&RoleArn=arn:aws::iam::123456789012:role/demo
&Policy=%7B%22Version%22%3A%222012-10-17%22%2C%22Statement%22%3A%5B%7B%22Sid%22%3A%20%22Stmt1%22%2C%22Effect%22%3A%20%22Allow%22%2C%22Action%22%3A%20%22s3%3A*%22%2C%22Resource%22%3A%20%22*%22%7D%5D%7D
&DurationSeconds=1800
&Tags.member.1.Key=Project
&Tags.member.1.Value=Pegasus
&Tags.member.2.Key=Cost-Center
&Tags.member.2.Value=12345
&ExternalId=123ABC
&SourceIdentity=DevUser123
&AUTHPARAMS

在上述範例中顯示的政策值是以下政策的 URL 編碼版本:

{"Version":"2012-10-17","Statement":[{"Sid":"Stmt1","Effect":"Allow","Action":"s3:*","Resource":"*"}]}

範例中的 AUTHPARAMS 參數是簽章的預留位置。簽章是您必須包含在 AWS HTTP API 要求中的驗證資訊。我們建議使用 AWS 開發套件來建立 API 請求。執行此作業的其中一個好處是開發套件會為您處理請求簽署。如果您必須手動建立和簽署 API 要求,AWS 請參閱中的「使用簽名版本 4 簽署請求」Amazon Web Services 一般參考以瞭解如何簽署請求。

除了暫時性安全憑證外,回應包含聯合身分使用者的 Amazon Resource Name (ARN) 和憑證過期時間。

範例 回應範例
<AssumeRoleResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<AssumeRoleResult>
<SourceIdentity>DevUser123</SourceIdentity>
<Credentials>
  <SessionToken>
   AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW
   LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
   QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
   9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
   +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==
  </SessionToken>
  <SecretAccessKey>
   wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
  </SecretAccessKey>
  <Expiration>2019-07-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
</Credentials>
<AssumedRoleUser>
  <Arn>arn:aws:sts::123456789012:assumed-role/demo/John</Arn>
  <AssumedRoleId>ARO123EXAMPLE123:John</AssumedRoleId>
</AssumedRoleUser>
<PackedPolicySize>8</PackedPolicySize>
</AssumeRoleResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</AssumeRoleResponse>
注意

AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有單獨限制的封裝二進位格式。即使您的純文字符合其他需求,您的請求也可能因不符限制而失敗。PackedPolicySize 回應元素會按百分比指出請求的政策和標籤與大小上限的距離。

AssumeRoleWithWebIdentity—透過以 Web 為基礎的身分提供者聯合

這個 AssumeRoleWithWebIdentity API 操作會傳回資料聯合身分使用者的一組臨時安全登入操作,該使用者透過公有身分提供者進行驗證。公有身分提供者的範例包含 Login with Amazon、Facebook、Google 或任何與身分提供者相容的 OpenID Connect (OIDC)。此作業對於建立需要存取的行動應用程式或以用戶端為基礎的 Web 應用程式非常有用 AWS。使用此操作意味著您的使用者不需要自己的身分 AWS 或 IAM 身分。如需詳細資訊,請參閱 OIDC 聯盟

建議您不要直接撥打電話AssumeRoleWithWebIdentity,而是使用 Amazon Cognito 和 Amazon Cognito 登入資料提供者搭配開發套件進行行動 AWS 開發。如需詳細資訊,請參閱 Amplify 文件 中的 Amplify 身分驗證

如果您不是使用 Amazon Cognito,則呼叫 AWS STS的 AssumeRoleWithWebIdentity 動作。這是一個未簽署的呼叫,表示應用程式不需要存取任何 AWS 安全憑證,就能進行呼叫。當您進行此呼叫時,您傳遞了下列資訊:

  • 應用程式應擔任角色的 Amazon Resource Name (ARN)。如果您的應用程式支援多種方式讓使用者登入,您必須定義多個角色,每個身分提供者一個角色。呼叫 AssumeRoleWithWebIdentity 應該包含角色的 ARN,其特定於使用者登入時所使用的提供者。

  • 在應用程式驗證使用者後應用程式從 IdP 取得的權杖。

  • 您可以設定 IdP,將屬性傳遞至權杖做為工作階段標籤

  • (選用) 持續時間,指定暫時安全憑證的持續時間。使用 DurationSeconds 參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 查看角色的最大工作階段持續時間設定。如果您不傳遞此參數,暫時性憑證會在一個小時內到期。此 API 的 DurationSeconds 參數不同於您用來指定主控台工作階段持續時間的 SessionDuration HTTP 參數。在主控台登入權杖的聯合端點請求中使用 SessionDuration HTTP 參數。如需詳細資訊,請參閱 啟用自訂身分識別代理存取主 AWS 控台

  • 角色工作階段名稱。當不同主體使用角色時,請使用此字串值來識別工作階段。基於安全考量,管理員可以在 AWS CloudTrail 日誌中檢視此欄位,以了解在 AWS中執行動作的人員。當您擔任角色時,系統管理員可能會請求您提供工作階段名稱的特定值。如需詳細資訊,請參閱 sts:RoleSessionName

  • (選用) 來源身分。您可以要求聯合身分使用者在擔任角色時指定來源身分。設定來源身分之後,就無法變更值。針對在角色工作階段期間所採取的所有動作,這會出現在請求中。來源身分值在鏈結的角色工作階段間會持續存在。您可以使用 AWS CloudTrail 記錄檔中的來源身分識別資訊來決定誰對角色執行動作。如需有關使用來源身分的詳細資訊,請參閱 監控並控制使用擔任角色所採取的動作

  • (選用) 內嵌或受管的工作階段政策。這些政策會限制角色工作階段獲派自角色的以身分為基礎政策的許可。所產生工作階段的許可會是角色的以身分為基礎的政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策

    注意

    AssumeRoleWithWebIdentity 呼叫未簽署 (加密)。因此,如果請求是透過信任的媒介傳輸,您應該只包含選用的工作階段政策。在這種情況下,有人可以更改政策以移除限制。

打電話時AssumeRoleWithWebIdentity, AWS 驗證令牌的真實性。例如,視提供者而定, AWS 可能會呼叫提供者,並包含應用程式已傳遞的權杖。假設身份提供程序驗證令牌, AWS 則將以下信息返回給您:

  • 一組暫時性安全憑證。這些包含存取金鑰 ID、私密存取金鑰和工作階段權杖。

  • 所擔任角色的角色 ID 和 ARN。

  • SubjectFromWebIdentityToken 值,其中包含唯一的使用者 ID。

當您擁有臨時安全登入資料時,您可以使用它們進行 AWS API 呼叫。這與使用長期安全登入資料進行 AWS API 呼叫的程序相同。差別在於您必須包含工作階段權杖,這個權杖可讓 AWS 驗證臨時安全憑證是否有效。

您的應用程式應該快取憑證。預設情況下,如上所述,憑證在一小時後到期。如果您不在 AWS SDK 中使用 Amazonsts CredentialsProvider 操作,則由您和您的應用程序重新調AssumeRoleWithWebIdentity用。呼叫此操作,或取得一組新的暫時性安全憑證,之後舊的憑證才會過期。

AssumeRoleWithSAML — 透過與 SAML 2.0 相容的企業身分識別提供者進行聯合

這個 AssumeRoleWithSAML API 操作會傳回聯合身分使用者的一組臨時安全憑證,該使用者透過您組織現有的身分系統進行驗證。使用者還必須使用 SAML 2.0 (安全聲明標記語言) 來將身分驗證和授權資訊傳遞至 AWS。這個 API 操作適用於整合他們自己的身分系統的組織 (例如,Windows Active Directory 或 OpenLDAP),而軟體可以產生 SAML 聲明。這種整合會提供有關使用者身分和許可 (例如 Active Directory Federation Services 或 Shibboleth) 的資訊。如需詳細資訊,請參閱 SAML 2.0 聯合身分

注意

AssumeRoleWithSAML 呼叫未簽署 (加密)。因此,如果請求是透過信任的媒介傳輸,您應該只包含選用的工作階段政策。在這種情況下,有人可以更改政策以移除限制。

這是一個未簽署的呼叫,表示應用程式不需要存取任何 AWS 安全憑證,就能進行呼叫。當您進行此呼叫時,您傳遞了下列資訊:

  • 應用程式應擔任角色的 Amazon Resource Name (ARN)。

  • 在描述身分提供者的 IAM 中建立的 SAML 提供者的 ARN。

  • SAML 身分提供者會在其對您應用程式的登入請求的身分驗證回應中,提供以基數 64 編碼的 SAML 聲明。

  • 您可以設定 IdP,將屬性傳遞至 SAML 聲明做為工作階段標籤

  • (選用) 持續時間,指定暫時安全憑證的持續時間。使用 DurationSeconds 參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 查看角色的最大工作階段持續時間設定。如果您不傳遞此參數,暫時性憑證會在一個小時內到期。此 API 的 DurationSeconds 參數不同於您用來指定主控台工作階段持續時間的 SessionDuration HTTP 參數。在主控台登入權杖的聯合端點請求中使用 SessionDuration HTTP 參數。如需詳細資訊,請參閱 啟用自訂身分識別代理存取主 AWS 控台

  • (選用) 內嵌或受管的工作階段政策。這些政策會限制角色工作階段獲派自角色的以身分為基礎政策的許可。所產生工作階段的許可會是角色的以身分為基礎的政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策

  • 角色工作階段名稱。當不同主體使用角色時,請使用此字串值來識別工作階段。基於安全考量,管理員可以在 AWS CloudTrail 日誌中檢視此欄位,以了解在 AWS中執行動作的人員。當您擔任角色時,系統管理員可能會請求您提供工作階段名稱的特定值。如需詳細資訊,請參閱 sts:RoleSessionName

  • (選用) 來源身分。您可以要求聯合身分使用者在擔任角色時指定來源身分。設定來源身分之後,就無法變更值。針對在角色工作階段期間所採取的所有動作,這會出現在請求中。來源身分值在鏈結的角色工作階段間會持續存在。您可以使用 AWS CloudTrail 記錄檔中的來源身分識別資訊來決定誰對角色執行動作。如需有關使用來源身分的詳細資訊,請參閱 監控並控制使用擔任角色所採取的動作

呼叫時AssumeRoleWithSAML, AWS 會驗證 SAML 宣告的真實性。假設身分識別提供者驗證宣告, AWS 則會將下列資訊傳回給您:

  • 一組暫時性安全憑證。這些包含存取金鑰 ID、私密存取金鑰和工作階段權杖。

  • 所擔任角色的角色 ID 和 ARN。

  • Audience 值,其包含 SAML 聲明的 Recipient 元素的 SubjectConfirmationData 屬性值。

  • Issuer 值,其包含 SAML 聲明的 Issuer 元素的值。

  • 包含從 SAML 提供者的Issuer值、 AWS 帳戶 ID 和易記名稱建立的雜湊值的NameQualifier元素。當結合 Subject 元素時,他們可唯一識別聯合身分使用者。

  • Subject 元素,其包含 SAML 聲明的 NameID 元素的 Subject 元素值。

  • SubjectType 元素指出 Subject 元素的格式。此值可以是 persistenttransient 或在您的 SAML 聲明中使用的 FormatSubject 元素的完整 NameID URI。如需 NameID 元素的 Format 屬性的詳細資訊,請參閱 設定驗證回應的 SAML 宣告

當您擁有臨時安全登入資料時,您可以使用它們進行 AWS API 呼叫。這與使用長期安全登入資料進行 AWS API 呼叫的程序相同。差別在於您必須包含工作階段權杖,這個權杖可讓 AWS 驗證臨時安全憑證是否有效。

您的應用程式應該快取憑證。預設情況下,憑證會在一小時後到期。如果您沒有在 AWS SDK 中使用 Amazonsts CredentialsProvider 操作,則由您和您的應用程序重新調AssumeRoleWithSAML用。呼叫此操作,或取得一組新的暫時性安全憑證,之後舊的憑證才會過期。

GetFederationToken—透過自訂身分經紀人聯合

這個 GetFederationToken API 操作會傳回一組臨時安全憑證供聯合身分使用者使用。此 API 與 AssumeRole 不同,其中的預設過期時段是實質上比較長 (12 小時,而不是 1 小時)。此外,您可以使用 DurationSeconds 參數來指定暫時性安全憑證的持續時間,以保持有效。產生的認證在指定的持續時間內有效,介於 900 秒 (15 分鐘) 到 129,600 秒 (36 小時) 之間。較長的到期時間有助於減少呼叫次數, AWS 因為您不需要經常取得新的認證。

當您提出此請求時,您可以使用特定 IAM 使用者的憑證。臨時安全憑證的許可,取決於您呼叫 GetFederationToken 時傳遞的工作階段政策。所產生工作階段的許可會是 IAM 使用者政策和您傳遞之工作階段政策的交集。工作階段政策不能用來授予超出即將請求聯合的 IAM 使用者之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策

當您使用 GetFederationToken 操作傳回的暫時憑證時,工作階段的主體標籤會包含使用者的標籤和傳遞的工作階段標籤。如需有關工作階段標籤的詳細資訊,請參閱 傳遞工作階段標籤 AWS STS

GetFederationToken 呼叫會傳回暫時性安全憑證,該憑證由工作階段字符、存取金鑰、私密金鑰和過期時間組成。如果您想要管理您組織內的許可 (例如,使用 Proxy 應用程式以指派許可),您可以使用 GetFederationToken

以下範例顯示使用 GetFederationToken 的範例請求及回應。此範例請求會將指定期間的呼叫發起使用者與工作階段政策 ARN 和工作階段標籤聯合在一起。產生的工作階段名為 Jane-session

範例請求
https://sts.amazonaws.com/
?Version=2011-06-15
&Action=GetFederationToken
&Name=Jane-session
&PolicyArns.member.1.arn==arn%3Aaws%3Aiam%3A%3A123456789012%3Apolicy%2FRole1policy
&DurationSeconds=1800
&Tags.member.1.Key=Project
&Tags.member.1.Value=Pegasus
&Tags.member.2.Key=Cost-Center
&Tags.member.2.Value=12345
&AUTHPARAMS

上述範例中顯示的政策 ARN 包含以下 URL 編碼 ARN:

arn:aws:iam::123456789012:policy/Role1policy

此外,請注意範例中的 &AUTHPARAMS 參數表示身分驗證資訊的預留位置。這是名,您必須將其包含在 AWS HTTP API 請求中。我們建議使用 AWS 開發套件來建立 API 請求。執行此作業的其中一個好處是開發套件會為您處理請求簽署。如果您必須手動建立和簽署 API 要求,AWS 請前往中的「Amazon Web Services 一般參考使用簽名版本 4 簽署請求」,瞭解如何簽署請求。

除了暫時性安全憑證外,回應包含聯合身分使用者的 Amazon Resource Name (ARN) 和憑證過期時間。

範例 回應範例
<GetFederationTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<GetFederationTokenResult>
<Credentials>
  <SessionToken>
   AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW
   LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
   QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
   9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
   +scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCEXAMPLE==
  </SessionToken>
  <SecretAccessKey>
  wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
  </SecretAccessKey>
  <Expiration>2019-04-15T23:28:33.359Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE;</AccessKeyId>
</Credentials>
<FederatedUser>
  <Arn>arn:aws:sts::123456789012:federated-user/Jean</Arn>
  <FederatedUserId>123456789012:Jean</FederatedUserId>
</FederatedUser>
<PackedPolicySize>4</PackedPolicySize>
</GetFederationTokenResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</GetFederationTokenResponse>
注意

AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有單獨限制的封裝二進位格式。即使您的純文字符合其他需求,您的請求也可能因不符限制而失敗。PackedPolicySize 回應元素會按百分比指出請求的政策和標籤與大小上限的距離。

AWS 建議您在資源層級授與許可 (例如,將以資源為基礎的政策附加到 Amazon S3 儲存貯體),您可以省略該Policy參數。不過,如果您不包含聯合身分使用者的政策,暫時性安全憑證將不會授予任何許可。在這種情況下,您「必須」使用資源政策,來授予聯合身分使用者存取您 AWS 資源的許可。

例如,假設您的 AWS 帳戶 號碼是 111122223333,而且您有一個想要允許蘇珊訪問的 Amazon S3 存儲桶。Susan 的暫時性安全憑證不包含儲存貯體的政策。在這種情況下,您需要確保儲存貯體具有其 ARN 與 Susan 的 ARN 相符的政策,例如 arn:aws:sts::111122223333:federated-user/Susan

— GetSessionToken 不信任環境中使用者的暫時憑證

這個 GetSessionToken API 操作會傳回一組臨時安全憑證供現有 IAM 使用者使用。這對於提供增強的安全性非常有用,例如僅在為 IAM 使用者啟用 MFA 時允許 AWS 請求。因為憑證為暫時性,它們可在您有透過較不安全環境存取您資源的 IAM 使用者時,提供增強的安全性。較不安全環境的範例包含行動裝置或 Web 瀏覽器。如需詳細資訊,請參閱 AWS Security Token Service API 參考GetSessionToken中的請求暫時性安全憑證或。

在預設情況下,IAM 使用者的暫時性安全憑證的有效期最長為 12 小時。但是,您可以使用 DurationSeconds 參數請求持續時間最短為 15 分鐘最長為 36 小時。出於安全原因,令牌 AWS 帳戶根使用者 的持續時間限制為一小時。

GetSessionToken 會傳回暫時性安全憑證,其由工作階段字符、存取金鑰 ID 和私密存取金鑰組成。以下範例顯示使用 GetSessionToken 的範例請求及回應。回應還包括暫時性安全憑證的過期時間。

範例請求
https://sts.amazonaws.com/
?Version=2011-06-15
&Action=GetSessionToken
&DurationSeconds=1800
&AUTHPARAMS

範例中的 AUTHPARAMS 參數是簽章的預留位置。簽章是您必須包含在 AWS HTTP API 要求中的驗證資訊。我們建議使用 AWS 開發套件來建立 API 請求。執行此作業的其中一個好處是開發套件會為您處理請求簽署。如果您必須手動建立和簽署 API 要求,AWS 請前往中的「Amazon Web Services 一般參考使用簽名版本 4 簽署請求」,瞭解如何簽署請求。

範例 回應範例
<GetSessionTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<GetSessionTokenResult>
<Credentials>
  <SessionToken>
   AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/L
   To6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3z
   rkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtp
   Z3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE
  </SessionToken>
  <SecretAccessKey>
  wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
  </SecretAccessKey>
  <Expiration>2011-07-11T19:55:29.611Z</Expiration>
  <AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
</Credentials>
</GetSessionTokenResult>
<ResponseMetadata>
<RequestId>58c5dbae-abef-11e0-8cfe-09039844ac7d</RequestId>
</ResponseMetadata>
</GetSessionTokenResponse>

或者,GetSessionToken要求可以包含SerialNumber和 AWS 多重要素驗證 (MFA) 驗證的TokenCode值。如果提供的值有效,請 AWS STS 提供包含 MFA 驗證狀態的臨時安全登入資料。然後,只要 MFA 驗證有效,就可以使用臨時安全登入資料來存取受 MFA 保護的 API 作業或 AWS 網站。

以下範例顯示 GetSessionToken 請求,其中包含 MFA 驗證碼和裝置序號。

https://sts.amazonaws.com/
?Version=2011-06-15
&Action=GetSessionToken
&DurationSeconds=7200
&SerialNumber=YourMFADeviceSerialNumber
&TokenCode=123456
&AUTHPARAMS
注意

呼叫 AWS STS 可以是全球端點或您啟動的任何區域端點 AWS 帳戶。如需詳細資訊,請參閱區域與端點的AWS STS 一節

範例中的 AUTHPARAMS 參數是簽章的預留位置。簽章是您必須包含在 AWS HTTP API 要求中的驗證資訊。我們建議使用 AWS 開發套件來建立 API 請求。執行此作業的其中一個好處是開發套件會為您處理請求簽署。如果您必須手動建立和簽署 API 要求,AWS 請參閱中的「使用簽名版本 4 簽署請求」Amazon Web Services 一般參考以瞭解如何簽署請求。

比較 AWS STS API 操作

下表比較傳回臨時安全登入資料之 AWS STS API 作業的功能。若要了解可用來在擔任角色時請求暫時性安全憑證的不同方法,請參閱使用 IAM 角色。若要瞭解可讓您傳遞工作階段標籤的不同 AWS STS API 作業,請參閱傳遞工作階段標籤 AWS STS

比較您的 API 選項
AWS STS API 誰可以呼叫 憑證存留期 (最小 | 最大 | 預設) MFA 支援¹ 工作階段政策支援² 產生的暫時憑證限制
AssumeRole 具現有暫時性安全憑證的 IAM 使用者或 IAM 角色 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時

無法呼叫 GetFederationTokenGetSessionToken
AssumeRoleWith薩姆爾 任何使用者;呼叫者必須傳遞 SAML 身分驗證回應,指出通過已知身分提供者的身分驗證 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時

無法呼叫 GetFederationTokenGetSessionToken
AssumeRoleWithWebIdentity 任何用戶; 調用者必須傳遞符合 OIDC 的 JWT 令牌,該令牌指示來自已知身份提供者的身份驗證 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時

無法呼叫 GetFederationTokenGetSessionToken
GetFederationToken IAM 使用者或 AWS 帳戶根使用者

IAM 使用者:15 分鐘 | 36 小時 | 12 小時

根使用者:15 分鐘 | 1 小時 | 1 小時

無法使用 AWS CLI 或 AWS API 呼叫 IAM 作業。此限制不適用主控台工作階段。

無法調用除 GetCallerIdentity .以外的 AWS STS 操作

允許 SSO 到主控台。⁵
GetSessionToken IAM 使用者或 AWS 帳戶根使用者

IAM 使用者:15 分鐘 | 36 小時 | 12 小時

根使用者:15 分鐘 | 1 小時 | 1 小時

除非請求包含 MFA 資訊,否則無法呼叫 IAM API 操作。

除了AssumeRole或之外,無法呼叫 AWS STS API 作業GetCallerIdentity

不允許 SSO 到主控台。⁶

¹ MFA 支援。當您呼叫 AssumeRole 和 GetSessionToken API 作業時,您可以包含多因素驗證 (MFA) 裝置的相關資訊。這可確保 API 呼叫所產生的暫時性安全憑證,僅可由使用 MFA 裝置進行身分驗證的使用者使用。如需詳細資訊,請參閱 設定受 MFA 保護的 API 存取

² 工作階段政策支援。工作階段政策是一種政策,且您會在以程式設計方式建立角色或聯合身分使用者的臨時工作階段時,做為參數進行傳遞。這個政策會限制工作階段獲派自角色或使用者之以身分為基礎政策的許可。所產生工作階段的許可會是實體的身分類型政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策

³ 最大工作階段持續時間設定。使用 DurationSeconds 參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 查看角色的最大工作階段持續時間設定

GetCallerIdentity. 執行此操作不需要任何許可。如果管理員將明確拒絕存取 sts:GetCallerIdentity 動作的政策新增到 IAM 使用者或角色,您仍然可以執行此操作。不需要許可,因為當 IAM 使用者或角色被拒絕存取時,會傳回相同的資訊。若要檢視範例回應,請參閱 我未獲得授權,不得執行:iam:DeleteVirtualMFADevice

Single sign-on (SSO) 至主控台。若要支援 SSO, AWS 可讓您呼叫同盟端點 (https://signin.aws.amazon.com/federation) 並傳遞臨時安全性登入資料。端點會傳回權杖,您可用來建構 URL,直接將使用者登入主控台,而不需要密碼。如需詳細資訊,請參閱 AWS 安全性部落格中的使 SAML 2.0 聯合身分使用者能夠存取 AWS Management Console如何啟用 AWS 管理主控台的跨帳戶存取

擷取臨時登入資料後,您無法透 AWS Management Console 過將認證傳遞至同盟單一登入端點來存取。如需更多詳細資訊,請參閱 啟用自訂身分識別代理存取主 AWS 控台