本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
請求暫時性安全憑證
若要要求臨時安全登入資料,您可以在中使用 AWS Security Token Service (AWS STS) 作業 AWS API。這些作業包括建立並為受信任的使用者提供可控制資源存取權的臨時安全登入 AWS 資料的作業。如需有關的更多資訊 AWS STS,請參閱IAM 中的暫時安全憑證。若要了解可用來在擔任角色時請求暫時性安全憑證的不同方法,請參閱假定角色的方法。
若要呼叫作API業,您可以使用其中一個 AWS SDKs
這些 AWS STS API作業會建立新的工作階段,其中包含存取 key pair 和工作階段 Token 的臨時安全認證。存取金鑰對包含存取金鑰 ID 和秘密金鑰。使用者 (或使用者執行的應用程式) 可以使用這些憑證來存取您的資源。您可以建立角色工作階段,並使用作業以程式設計方式傳遞工作階段原則和工 AWS STS API作 所產生工作階段許可會是角色的以身分為基礎的政策和工作階段政策的交集。如需有關工作階段政策的詳細資訊,請參閱 工作階段政策。如需有關工作階段標籤的詳細資訊,請參閱 傳遞工作階段標籤 AWS STS。
注意
AWS STS API操作返回的會話令牌的大小不固定。我們強烈建議您不對大小上限做出任何假設。一般權杖大小小於 4096 個位元組,但有可能會不同。
AWS STS 與 AWS 區域搭配使用
您可以將 AWS STS API呼叫傳送至全域端點或其中一個區域端點。如果您選擇離您更近的端點,則可以減少延遲並提高API通話效能。如果可以不再與原始端點通訊,您也可以選擇將您的呼叫導向至其他區域性端點。如果您使用的是其中一種 AWS SDKs,請在API撥打電話之前使用該SDK方法來指定 Region。如果您手動建構要HTTPAPI求,則必須自行將要求導向至正確的端點。如需詳細資訊,請參閱區域與端點的AWS STS 一節和 AWS STS 在一個管理 AWS 區域。
以下是您可用來取得暫時認證的API作業,以便在您的 AWS 環境和應用程式中使用。
— AssumeRole 跨帳戶委派和透過自訂身分經紀人的聯合
此AssumeRole
API作業對於允許現有IAM使用者存取他們尚未擁有存取權限的 AWS 資源非常有用。例如,使用者可能需要存取另一個 AWS 帳戶中的資源。作為暫時取得特權存取的方法也很有用,例如,提供多重要素驗證 ()。MFA您必須API使用活動憑據調用此信息。若要了解誰可以呼叫此操作,請參閱 比較操 AWS STS API作。如需詳細資訊,請參閱 建立角色以將權限委派給IAM使用者 和 使用安全API存取 MFA。
此呼叫必須使用有效的 AWS 安全憑證進行。當您進行此呼叫時,您傳遞了下列資訊:
-
應用程式應承擔的角色的 Amazon 資源名稱 (ARN)。
-
(選用) 持續時間,指定暫時安全憑證的持續時間。使用
DurationSeconds
參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 更新角色的工作階段持續時間上限。如果您不傳遞此參數,暫時性憑證會在一個小時內到期。此DurationSeconds
參數與您API用來指定主控台工作階段持續時間的SessionDuration
HTTP參數不同。在向聯合端點發出請求中的SessionDuration
HTTP參數用於控制台登錄令牌。如需詳細資訊,請參閱啟用自訂身分識別代理存取主 AWS 控台。 -
角色工作階段名稱。當不同主體使用角色時,請使用此字串值來識別工作階段。基於安全考量,管理員可以在 AWS CloudTrail 日誌中檢視此欄位,以協助識別在 AWS中執行動作的人員。當您擔任角色時,您的管理員可能會要求您將IAM使用者名稱指定為工作階段名稱。如需詳細資訊,請參閱sts:RoleSessionName。
-
(選用) 來源身分。您可以要求使用者在擔任角色時指定來源身分。設定來源身分之後,就無法變更值。針對在角色工作階段期間所採取的所有動作,這會出現在請求中。來源身分值在鏈結的角色工作階段間會持續存在。您可以使用 AWS CloudTrail 記錄檔中的來源身分識別資訊來決定誰對角色執行動作。如需有關使用來源身分的詳細資訊,請參閱 監控並控制使用擔任角色所採取的動作。
-
(選用) 內嵌或受管的工作階段政策。這些政策會限制角色工作階段獲派自角色的以身分為基礎政策的許可。所產生工作階段的許可會是角色的以身分為基礎的政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策。
-
(選用) 工作階段標籤。您可以承擔角色,然後使用暫時憑證提出請求。當您這麼做時,工作階段的主體標籤會包括角色標籤和傳遞的工作階段標籤。如果您使用暫時憑證發起呼叫,新的工作階段也會繼承來自呼叫發起工作階段的轉移工作階段標籤。如需有關工作階段標籤的詳細資訊,請參閱 傳遞工作階段標籤 AWS STS。
-
(可選)MFA信息。如果配置為使用多因素身份驗證(MFA),則您將包含設備的標識符以及該MFA設備提供的一次性代碼。
-
(選用)
ExternalId
值,可在將您的帳戶存取權委派給第三方時使用。這個值有助於確保只有指定的第三方可以存取角色。如需詳細資訊,請參閱訪問由第三方 AWS 帳戶 擁有。
以下範例顯示使用 AssumeRole
的範例請求及回應。此範例請求假設指定時間內的 demo
角色具有已包含的工作階段政策、工作階段標籤、外部 ID 和來源身分。產生的工作階段名為 John-session
。
範例請求
https://sts.amazonaws.com/ ?Version=2011-06-15 &Action=AssumeRole &RoleSessionName=John-session &RoleArn=arn:aws::iam::123456789012:role/demo &Policy=%7B%22Version%22%3A%222012-10-17%22%2C%22Statement%22%3A%5B%7B%22Sid%22%3A%20%22Stmt1%22%2C%22Effect%22%3A%20%22Allow%22%2C%22Action%22%3A%20%22s3%3A*%22%2C%22Resource%22%3A%20%22*%22%7D%5D%7D &DurationSeconds=1800 &Tags.member.1.Key=Project &Tags.member.1.Value=Pegasus &Tags.member.2.Key=Cost-Center &Tags.member.2.Value=12345 &ExternalId=123ABC &SourceIdentity=DevUser123 &AUTHPARAMS
上述範例中顯示的原則值是下列原則的URL編碼版本:
{"Version":"2012-10-17","Statement":[{"Sid":"Stmt1","Effect":"Allow","Action":"s3:*","Resource":"*"}]}
範例中的 AUTHPARAMS
參數是簽章的預留位置。簽章是您必須包含在 AWS HTTPAPI要求中的驗證資訊。我們建議您使用建立AWS SDKs
除了臨時安全登入資料之外,回應還包括聯合身分使用者的 Amazon 資源名稱 (ARN) 和登入資料的到期時間。
範例 回應範例
<AssumeRoleResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<AssumeRoleResult>
<SourceIdentity>DevUser123</SourceIdentity>
<Credentials>
<SessionToken>
AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW
LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
+scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCR/oLxBA==
</SessionToken>
<SecretAccessKey>
wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
</SecretAccessKey>
<Expiration>2019-07-15T23:28:33.359Z</Expiration>
<AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
</Credentials>
<AssumedRoleUser>
<Arn>arn:aws:sts::123456789012:assumed-role/demo/John</Arn>
<AssumedRoleId>ARO123EXAMPLE123:John</AssumedRoleId>
</AssumedRoleUser>
<PackedPolicySize>8</PackedPolicySize>
</AssumeRoleResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</AssumeRoleResponse>
注意
AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有單獨限制的封裝二進位格式。即使您的純文字符合其他需求,您的請求也可能因不符限制而失敗。PackedPolicySize
回應元素會按百分比指出請求的政策和標籤與大小上限的距離。
AssumeRoleWithWebIdentity—透過以 Web 為基礎的身分提供者聯合
此AssumeRoleWithWebIdentity
API作業會針對透過公用身分識別提供者驗證的聯合身分使用者傳回一組臨時安全性登入資料。公共身份提供商的例子包括使用亞馬遜,Facebook,谷歌或任何 OpenID Connect(OIDC)兼容的身份提供商進行登錄。此作業對於建立需要存取的行動應用程式或以用戶端為基礎的 Web 應用程式非常有用 AWS。使用此操作意味著您的用戶不需要自己的IAM身份 AWS 或身份。如需詳細資訊,請參閱OIDC 聯盟。
建議您不要直接撥打電話AssumeRoleWithWebIdentity
,而是使用 Amazon Cognito 和 Amazon Cognito 登入資料提供者搭配進行行動開 AWS SDKs發。如需詳細資訊,請參閱 Amplify 文件 中的 Amplify 身分驗證
如果您不是使用 Amazon Cognito,則呼叫 AWS STS的 AssumeRoleWithWebIdentity
動作。這是一個未簽署的呼叫,表示應用程式不需要存取任何 AWS 安全憑證,就能進行呼叫。當您進行此呼叫時,您傳遞了下列資訊:
-
應用程式應承擔的角色的 Amazon 資源名稱 (ARN)。如果您的應用程式支援多種方式讓使用者登入,您必須定義多個角色,每個身分提供者一個角色。呼叫
AssumeRoleWithWebIdentity
應包含使ARN用者登入之提供者特定角色的角色。 -
在應用程式驗證使用者後應用程式從 IdP 取得的權杖。
-
您可以設定 IdP,將屬性傳遞至權杖做為工作階段標籤。
-
(選用) 持續時間,指定暫時安全憑證的持續時間。使用
DurationSeconds
參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 更新角色的工作階段持續時間上限。如果您不傳遞此參數,暫時性憑證會在一個小時內到期。此DurationSeconds
參數與您API用來指定主控台工作階段持續時間的SessionDuration
HTTP參數不同。在向聯合端點發出請求中的SessionDuration
HTTP參數用於控制台登錄令牌。如需詳細資訊,請參閱啟用自訂身分識別代理存取主 AWS 控台。 -
角色工作階段名稱。當不同主體使用角色時,請使用此字串值來識別工作階段。基於安全考量,管理員可以在 AWS CloudTrail 日誌中檢視此欄位,以了解在 AWS中執行動作的人員。當您擔任角色時,系統管理員可能會請求您提供工作階段名稱的特定值。如需詳細資訊,請參閱sts:RoleSessionName。
-
(選用) 來源身分。您可以要求聯合身分使用者在擔任角色時指定來源身分。設定來源身分之後,就無法變更值。針對在角色工作階段期間所採取的所有動作,這會出現在請求中。來源身分值在鏈結的角色工作階段間會持續存在。您可以使用 AWS CloudTrail 記錄檔中的來源身分識別資訊來決定誰對角色執行動作。如需有關使用來源身分的詳細資訊,請參閱 監控並控制使用擔任角色所採取的動作。
-
(選用) 內嵌或受管的工作階段政策。這些政策會限制角色工作階段獲派自角色的以身分為基礎政策的許可。所產生工作階段的許可會是角色的以身分為基礎的政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策。
注意
AssumeRoleWithWebIdentity
呼叫未簽署 (加密)。因此,如果請求是透過信任的媒介傳輸,您應該只包含選用的工作階段政策。在這種情況下,有人可以更改政策以移除限制。
打電話時AssumeRoleWithWebIdentity
, AWS 驗證令牌的真實性。例如,視提供者而定, AWS 可能會呼叫提供者,並包含應用程式已傳遞的權杖。假設身份提供程序驗證令牌, AWS 則將以下信息返回給您:
-
一組暫時性安全憑證。這些包含存取金鑰 ID、私密存取金鑰和工作階段權杖。
-
角色 ID 和假ARN定角色的。
-
SubjectFromWebIdentityToken
值,其中包含唯一的使用者 ID。
當您擁有臨時安全登入資料時,您可以使用它們撥 AWS API打電話。這與使用長期安全登入資料 AWS API撥打電話相同的程序。差別在於您必須包含工作階段權杖,這個權杖可讓 AWS 驗證臨時安全憑證是否有效。
您的應用程式應該快取憑證。預設情況下,如上所述,憑證在一小時後到期。如果您未在中使用 A mazonSTSCredentials ProviderAssumeRoleWithWebIdentity
再次調用。呼叫此操作,或取得一組新的暫時性安全憑證,之後舊的憑證才會過期。
AssumeRoleWithSAML-通過與 2.0 兼容的SAML企業身份提供商進行聯盟
此AssumeRoleWithSAML
API作業會針對已由組織現有身分識別系統驗證的聯合身分使用者傳回一組臨時安全登入資料。用戶還必須使用 SAML
注意
AssumeRoleWithSAML
呼叫未簽署 (加密)。因此,如果請求是透過信任的媒介傳輸,您應該只包含選用的工作階段政策。在這種情況下,有人可以更改政策以移除限制。
這是一個未簽署的呼叫,表示應用程式不需要存取任何 AWS 安全憑證,就能進行呼叫。當您進行此呼叫時,您傳遞了下列資訊:
-
應用程式應承擔的角色的 Amazon 資源名稱 (ARN)。
-
在中建立ARN的SAML提供者IAM,描述身分識別提供者。
-
以 base64 編碼的SAML斷言,該斷言是由身份提供者在對您應用程序的登錄請求的SAML身份驗證響應中提供的。
-
您可以配置 IdP 以將屬性作為會話標籤傳遞到SAML斷言中。
-
(選用) 持續時間,指定暫時安全憑證的持續時間。使用
DurationSeconds
參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 更新角色的工作階段持續時間上限。如果您不傳遞此參數,暫時性憑證會在一個小時內到期。此DurationSeconds
參數與您API用來指定主控台工作階段持續時間的SessionDuration
HTTP參數不同。在向聯合端點發出請求中的SessionDuration
HTTP參數用於控制台登錄令牌。如需詳細資訊,請參閱啟用自訂身分識別代理存取主 AWS 控台。 -
(選用) 內嵌或受管的工作階段政策。這些政策會限制角色工作階段獲派自角色的以身分為基礎政策的許可。所產生工作階段的許可會是角色的以身分為基礎的政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策。
-
角色工作階段名稱。當不同主體使用角色時,請使用此字串值來識別工作階段。基於安全考量,管理員可以在 AWS CloudTrail 日誌中檢視此欄位,以了解在 AWS中執行動作的人員。當您擔任角色時,系統管理員可能會請求您提供工作階段名稱的特定值。如需詳細資訊,請參閱sts:RoleSessionName。
-
(選用) 來源身分。您可以要求聯合身分使用者在擔任角色時指定來源身分。設定來源身分之後,就無法變更值。針對在角色工作階段期間所採取的所有動作,這會出現在請求中。來源身分值在鏈結的角色工作階段間會持續存在。您可以使用 AWS CloudTrail 記錄檔中的來源身分識別資訊來決定誰對角色執行動作。如需有關使用來源身分的詳細資訊,請參閱 監控並控制使用擔任角色所採取的動作。
當你打電話時AssumeRoleWithSAML
, AWS 驗證SAML斷言的真實性。假設身分識別提供者驗證宣告, AWS 則會將下列資訊傳回給您:
-
一組暫時性安全憑證。這些包含存取金鑰 ID、私密存取金鑰和工作階段權杖。
-
角色 ID 和假ARN定角色的。
-
包含SAML宣告之
SubjectConfirmationData
元素之Recipient
屬性值的值。Audience
-
包含SAML宣告之
Issuer
元素值的值。Issuer
-
包含從值、 AWS 帳戶 ID 和SAML提供者易記名稱建立的雜湊
Issuer
值的NameQualifier
元素。當結合Subject
元素時,他們可唯一識別聯合身分使用者。 -
包含SAML宣告
NameID
元素中元素值的Subject
元素。Subject
-
SubjectType
元素指出Subject
元素的格式。該值可以是persistent
transient
,或者完整Format
URI來自SAML斷言中使用的Subject
和NameID
元素。如需NameID
元素的Format
屬性的詳細資訊,請參閱 設定驗證回SAML應的宣告。
當您擁有臨時安全登入資料時,您可以使用它們撥 AWS API打電話。這與使用長期安全登入資料 AWS API撥打電話相同的程序。差別在於您必須包含工作階段權杖,這個權杖可讓 AWS 驗證臨時安全憑證是否有效。
您的應用程式應該快取憑證。預設情況下,憑證會在一小時後到期。如果您未在中使用「A mazonSTSCredentials ProviderAssumeRoleWithSAML
重新呼叫。呼叫此操作,或取得一組新的暫時性安全憑證,之後舊的憑證才會過期。
GetFederationToken—透過自訂身分經紀人聯合
此GetFederationToken
API作業會傳回同盟使用者的一組暫時安全登入資料。這API與預設到期期限相當長 (12 小時而非一小時) 的不同之處AssumeRole
在於。此外,您可以使用 DurationSeconds
參數來指定暫時性安全憑證的持續時間,以保持有效。產生的認證在指定的持續時間內有效,介於 900 秒 (15 分鐘) 到 129,600 秒 (36 小時) 之間。較長的到期時間有助於減少呼叫次數, AWS 因為您不需要經常取得新的認證。
當您提出此要求時,您會使用特定使用IAM者的認證。臨時安全憑證的許可,取決於您呼叫 GetFederationToken
時傳遞的工作階段政策。產生的工作階段權限是IAM使用者原則與您傳遞的工作階段原則的交集。工作階段原則無法用來授與比要求聯合之使用IAM者之身分型原則所允許的權限更多。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策。
當您使用 GetFederationToken
操作傳回的暫時憑證時,工作階段的主體標籤會包含使用者的標籤和傳遞的工作階段標籤。如需有關工作階段標籤的詳細資訊,請參閱 傳遞工作階段標籤 AWS STS。
GetFederationToken
呼叫會傳回暫時性安全憑證,該憑證由工作階段字符、存取金鑰、私密金鑰和過期時間組成。如果您想要管理您組織內的許可 (例如,使用 Proxy 應用程式以指派許可),您可以使用 GetFederationToken
。
以下範例顯示使用 GetFederationToken
的範例請求及回應。此範例要求會在指定的持續時間內,將呼叫使用者與工作階段原則ARN和工作階段標記聯合。產生的工作階段名為 Jane-session
。
範例請求
https://sts.amazonaws.com/ ?Version=2011-06-15 &Action=GetFederationToken &Name=Jane-session &PolicyArns.member.1.arn==arn%3Aaws%3Aiam%3A%3A123456789012%3Apolicy%2FRole1policy &DurationSeconds=1800 &Tags.member.1.Key=Project &Tags.member.1.Value=Pegasus &Tags.member.2.Key=Cost-Center &Tags.member.2.Value=12345 &AUTHPARAMS
上述範例中ARN顯示的策略包括下列URL編碼ARN:
arn:aws:iam::123456789012:policy/Role1policy
此外,請注意範例中的 &AUTHPARAMS
參數表示身分驗證資訊的預留位置。這是簽名,您必須將其包含在 AWS HTTPAPI請求中。我們建議您使用建立AWS SDKs
除了臨時安全登入資料之外,回應還包括聯合身分使用者的 Amazon 資源名稱 (ARN) 和登入資料的到期時間。
範例 回應範例
<GetFederationTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<GetFederationTokenResult>
<Credentials>
<SessionToken>
AQoDYXdzEPT//////////wEXAMPLEtc764bNrC9SAPBSM22wDOk4x4HIZ8j4FZTwdQW
LWsKWHGBuFqwAeMicRXmxfpSPfIeoIYRqTflfKD8YUuwthAx7mSEI/qkPpKPi/kMcGd
QrmGdeehM4IC1NtBmUpp2wUE8phUZampKsburEDy0KPkyQDYwT7WZ0wq5VSXDvp75YU
9HFvlRd8Tx6q6fE8YQcHNVXAkiY9q6d+xo0rKwT38xVqr7ZD0u0iPPkUL64lIZbqBAz
+scqKmlzm8FDrypNC9Yjc8fPOLn9FX9KSYvKTr4rvx3iSIlTJabIQwj2ICCEXAMPLE==
</SessionToken>
<SecretAccessKey>
wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
</SecretAccessKey>
<Expiration>2019-04-15T23:28:33.359Z</Expiration>
<AccessKeyId>AKIAIOSFODNN7EXAMPLE;</AccessKeyId>
</Credentials>
<FederatedUser>
<Arn>arn:aws:sts::123456789012:federated-user/Jean</Arn>
<FederatedUserId>123456789012:Jean</FederatedUserId>
</FederatedUser>
<PackedPolicySize>4</PackedPolicySize>
</GetFederationTokenResult>
<ResponseMetadata>
<RequestId>c6104cbe-af31-11e0-8154-cbc7ccf896c7</RequestId>
</ResponseMetadata>
</GetFederationTokenResponse>
注意
AWS 轉換會將傳遞的工作階段原則和工作階段標籤壓縮為具有單獨限制的封裝二進位格式。即使您的純文字符合其他需求,您的請求也可能因不符限制而失敗。PackedPolicySize
回應元素會按百分比指出請求的政策和標籤與大小上限的距離。
AWS 建議您在資源層級授與許可 (例如,將以資源為基礎的政策附加到 Amazon S3 儲存貯體),您可以省略該Policy
參數。不過,如果您不包含聯合身分使用者的政策,暫時性安全憑證將不會授予任何許可。在這種情況下,您「必須」使用資源政策,來授予聯合身分使用者存取您 AWS
資源的許可。
例如,假設您的 AWS 帳戶 號碼是 111122223333,而且您有一個想要允許蘇珊訪問的 Amazon S3 存儲桶。Susan 的暫時性安全憑證不包含儲存貯體的政策。在這種情況下,您需要確保存儲桶具有與 Susan 匹配ARN的策略ARN,例如arn:aws:sts::111122223333:federated-user/Susan
。
— GetSessionToken 不信任環境中使用者的暫時憑證
GetSessionToken
API作業會將一組暫時的安全性登入資料傳回給現有的IAM使用者。這對於提供增強的安全性非常有用,例如僅在MFA為使用IAM者啟用時允許 AWS 要求。由於認證是暫時的,因此當您有IAM使用者透過較不安全的環境存取您的資源時,它們會提供增強的安全性。較不安全環境的範例包含行動裝置或 Web 瀏覽器。如需詳細資訊,請參閱〈AWS Security Token Service API參考〉GetSessionToken中的請求暫時性安全憑證或。
根據預設,IAM使用者的臨時安全登入資料有效期最長為 12 小時。但是,您可以使用 DurationSeconds
參數請求持續時間最短為 15 分鐘最長為 36 小時。出於安全原因,令牌 AWS 帳戶根使用者 的持續時間限制為一小時。
GetSessionToken
會傳回暫時性安全憑證,其由工作階段字符、存取金鑰 ID 和私密存取金鑰組成。以下範例顯示使用 GetSessionToken
的範例請求及回應。回應還包括暫時性安全憑證的過期時間。
範例請求
https://sts.amazonaws.com/ ?Version=2011-06-15 &Action=GetSessionToken &DurationSeconds=1800 &AUTHPARAMS
範例中的 AUTHPARAMS
參數是簽章的預留位置。簽章是您必須包含在 AWS HTTPAPI要求中的驗證資訊。我們建議您使用建立AWS SDKs
範例 回應範例
<GetSessionTokenResponse xmlns="https://sts.amazonaws.com/doc/2011-06-15/">
<GetSessionTokenResult>
<Credentials>
<SessionToken>
AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/L
To6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3z
rkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtp
Z3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE
</SessionToken>
<SecretAccessKey>
wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
</SecretAccessKey>
<Expiration>2011-07-11T19:55:29.611Z</Expiration>
<AccessKeyId>AKIAIOSFODNN7EXAMPLE</AccessKeyId>
</Credentials>
</GetSessionTokenResult>
<ResponseMetadata>
<RequestId>58c5dbae-abef-11e0-8cfe-09039844ac7d</RequestId>
</ResponseMetadata>
</GetSessionTokenResponse>
或者,GetSessionToken
要求可以包含SerialNumber
和 AWS 多重要素驗證 (MFA) 驗證的TokenCode
值。如果提供的值有效,則會 AWS STS 提供包含MFA驗證狀態的臨時安全登入資料。然後,只要MFA驗證有效,就可以使用臨時安全登入資料來存取MFA受保護的API作業或 AWS 網站。
下列範例顯示包含MFA驗證碼和裝置序號的GetSessionToken
要求。
https://sts.amazonaws.com/ ?Version=2011-06-15 &Action=GetSessionToken &DurationSeconds=7200 &SerialNumber=YourMFADeviceSerialNumber &TokenCode=123456 &AUTHPARAMS
注意
呼叫 AWS STS 可以是全球端點或您啟動的任何區域端點 AWS 帳戶。如需詳細資訊,請參閱區域與端點的AWS STS 一節。
範例中的 AUTHPARAMS
參數是簽章的預留位置。簽章是您必須包含在 AWS HTTPAPI要求中的驗證資訊。我們建議您使用建立AWS SDKs
比較操 AWS STS API作
下表比較傳回暫時安全登入資料 AWS STS 之API作業的功能。若要了解可用來在擔任角色時請求暫時性安全憑證的不同方法,請參閱假定角色的方法。若要瞭解可讓您傳遞工 AWS STS API作階段標籤的不同作業,請參閱傳遞工作階段標籤 AWS STS。
AWS STS API | 誰可以呼叫 | 憑證存留期 (最小 | 最大 | 預設) | MFA支援 ¹ | 工作階段政策支援² | 產生的暫時憑證限制 |
---|---|---|---|---|---|
AssumeRole | IAM具有現有臨時安全認證的使用者或IAM角色 | 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時 | 是 | 是 |
無法呼叫 |
AssumeRoleWithSAML | 任何使用者;呼叫者必須傳遞SAML驗證回應,指出來自已知身分提供者的驗證 | 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時 | 否 | 是 |
無法呼叫 |
AssumeRoleWithWebIdentity | 任何使用者;呼叫者必須傳遞OIDC合規的 JWT Token,以指示來自已知身分提供者的驗證 | 15 分鐘 | 最大工作階段持續時間設定³ | 1 小時 | 否 | 是 |
無法呼叫 |
GetFederationToken | IAM使用者或 AWS 帳戶根使用者 |
IAM用戶:15 米 | 36 小時 根使用者:15 分鐘 | 1 小時 | 1 小時 |
否 | 是 |
無法使用 AWS CLI 或呼叫IAM作業 AWS API。此限制不適用主控台工作階段。 無法調用除 SSO允許控制台。 |
GetSessionToken | IAM使用者或 AWS 帳戶根使用者 |
IAM用戶:15 米 | 36 小時 根使用者:15 分鐘 | 1 小時 | 1 小時 |
是 | 否 |
除非請求中包含MFA信息,否則無法調用IAMAPI操作。 除了 SSO不允許控制台。 |
¹ MFA支援服務。當您呼叫 AssumeRole 和 GetSessionToken API作業時,您可以包含多因素驗證 (MFA) 裝置的相關資訊。這可確保API呼叫產生的臨時安全登入資料只能由經過MFA裝置驗證的使用者使用。如需詳細資訊,請參閱使用安全API存取 MFA。
² 工作階段政策支援。工作階段政策是一種政策,且您會在以程式設計方式建立角色或聯合身分使用者的臨時工作階段時,做為參數進行傳遞。這個政策會限制工作階段獲派自角色或使用者之以身分為基礎政策的許可。所產生工作階段的許可會是實體的身分類型政策和工作階段政策的交集。工作階段政策不能用來授予超出即將擔任角色之以身分為基礎政策所允許的許可。如需有關角色工作階段許可的詳細資訊,請參閱 工作階段政策。
³ 最大工作階段持續時間設定。使用 DurationSeconds
參數來指定 900 秒 (15 分鐘) 到角色的最大工作階段持續時間設定之間的角色工作階段持續時間。若要了解如何檢視角色的最大值,請參閱 更新角色的工作階段持續時間上限。
GetCallerIdentity. 執行此操作不需要任何許可。如果系統管理員將原則新增至您的IAM使用者或角色,明確拒絕存取sts:GetCallerIdentity
動作,您仍然可以執行此作業。不需要權限,因為當IAM使用者或角色遭到拒絕存取時,會傳回相同的資訊。若要檢視範例回應,請參閱 我沒有授權執行:iam:DeleteVirtualMFADevice。
單點登錄(SSO)到控制台。若要支援SSO, AWS 可讓您呼叫同盟端點 (https://signin.aws.amazon.com/federation
) 並傳遞臨時安全登入資料。端點返回一個令牌,您可以用它來構建一URL個直接將用戶簽署到控制台,而無需密碼。如需詳細資訊,請參閱 AWS
安全性部落格中的啟用 SAML 2.0 聯合身分的使用者存取 AWS Management Console和如何啟用 AWS 管理主控台的跨帳戶存取
擷取臨時登入資料後,您無法透 AWS Management Console 過將認證傳遞至同盟單一登入端點來存取。如需詳細資訊,請參閱啟用自訂身分識別代理存取主 AWS 控台。